A raíz de una serie de ataques a objetivos de atención médica de EE. UU., NHS Digital advirtió a las organizaciones de servicios de salud del Reino Unido que estén en alerta después de registrar un aumento significativo en el uso de varios cargadores, incluidos Bazar y Buer, casi con certeza como resultado de Microsoft- lideró el derribo del troyano Trickbot convertido en botnet en octubre de 2020.
Bazar, un conjunto de herramientas modular diseñado por los operadores de Trickbot, Wizard Spider, incorpora gran parte de la misma funcionalidad que Trickbot, mientras que Buer, observado por primera vez en 2019, se vende como un cuentagotas alternativo de malware como servicio más barato.
NHS Digital dijo que evaluó que Bazar en particular es ahora la principal herramienta de post-acceso de Wizard Spider, y varios equipos de investigación de seguridad lo han corroborado.
Los investigadores de Cofense Intelligence dijeron que el aumento del uso de Bazar para entregar Ryuk de hecho siguió de cerca la interrupción de las operaciones de Trickbot.
“En las últimas semanas, evaluamos con gran confianza que BazarBackdoor ha sido el cargador más predominante de Ryuk”, dijo la firma. «Con menos confianza, evaluamos que esta ola de actividad de Ryuk puede ser, en parte, una represalia por las interrupciones de TrickBot de septiembre».
Los componentes de Bazar generalmente se entregan en campañas de spear phishing operadas a través de Sendgrid, un servicio de marketing por correo electrónico de buena fe. Los correos electrónicos contienen enlaces a archivos de Microsoft Office o Google Docs, y el atractivo generalmente se relaciona con una amenaza de despido de un empleado o un pago de débito.
A su vez, estos correos electrónicos se vinculan a la carga útil inicial, un cargador preliminar sin cabeza que finalmente descarga, desempaqueta y carga Bazar. La firma agregó que las campañas más nuevas parecen renunciar a la distribución de spam en favor de ataques operados por humanos contra interfaces de administración o servicios en la nube expuestos.
Por lo general, una vez que hayan obtenido el control del sistema de destino usando Bazar, Wizard Spider descargará un kit de herramientas de posexplotación, como Cobalt Strike o Metasploit, para recopilar información de destino y enumerar la red, momento en el que recopilarán las credenciales para ingresar. otros sistemas y comprometerán toda la red, luego implementarán Ryuk ransomware. NHS Digital dijo que las campañas actuales de Bazar podrían lograr esto en menos de cinco horas.
Mientras tanto, Buer también se propaga a través de spear phishing y, en última instancia, también puede resultar en un ataque de ransomware Ryuk.
“Este año, los devastadores ataques de ransomware han sido, lamentablemente, una fiebre del oro para los ciberdelincuentes, y no se parece a nada que haya experimentado la industria de la ciberseguridad”, dijo Peter Mackenzie, gerente de respuesta a incidentes de Sophos. “Casi el 85% de los ataques que [recently launched] Sophos Rapid Response ha estado involucrado en ransomware incluido hasta ahora, en particular Ryuk, REvil / Sodinokibi y Maze, y puedo decir con confianza que la mayoría de los otros ataques que nos llamaron para detener también habrían resultado en ransomware, si no lo hubiéramos hecho. actuó tan rápido.
“Las herramientas de fácil acceso hacen posible que los atacantes obtengan mayores ganancias en una semana de trabajo de lo que la mayoría de las personas obtendrán en su vida. Los delincuentes se infiltran en las redes y planifican sigilosamente sus ataques en segundo plano antes de lanzar estratégicamente el ransomware como carga útil final, a menudo durante las horas de la noche cuando nadie está mirando para ejecutar en tantas máquinas como sea posible «.
Mackenzie agregó: «Sophos Rapid Response toma medidas inmediatas para extinguir el incendio, que en el caso de un hospital al que ayudamos este mes después de que fue atacado por el ransomware Ryuk y se vio obligado a cerrar, significó la diferencia de vida o muerte».
NHS Digital ha elaborado consejos de remediación específicos para permitir a las organizaciones del NHS prevenir y detectar infecciones de Bazar y Buer, así como indicadores de compromiso.