Arcus Media Ransomware

Publicado hace 2 meses 03-07-2024

Arcus Media es un nuevo grupo de ransomware que fue detectado por primera vez el 24 de mayo de 2024. El grupo se destaca por sus métodos de extorsión directa y doble, su programa de afiliados único y su modalidad de negocio de Ransomware-as-a-Service (RaaS) por lo que cualquier actor malicioso puede contratar su ransomware. [2][1]

Los vectores de ataque iniciales de Arcus Media incluyen correos electrónicos de phishing, la implementación de binarios de ransomware personalizados y el empleo de técnicas de ofuscación para evadir la detección. [2][1]

Una vez dentro del sistema de las víctimas, establece tareas programadas en el sistema operativo para garantizar su ejecución persistente incluso después de reinicios o intentos de eliminación manual, asegurando que el ransomware se mantenga activo y continúe sus actividades maliciosas. Con el fin de evadir las defensas del sistema y pasar desapercibido, el malware desactiva las soluciones de seguridad como antivirus e IDS. Durante esta fase, también pueden realizar escaneos en la red para identificar otros dispositivos vulnerables y expandir su alcance.

Arcus Media exfiltra los datos robados, como archivos confidenciales o información financiera, desde los sistemas comprometidos hacia servidores controlados. Ya con la información exfiltrada, Arcus Media publica una prueba de los datos exfiltrados en su sitio, junto con el tiempo para vender o publicar los datos.

El sitio de la Dark Web del grupo Arcus Media ransomware se ve de la siguiente manera:

Figura 1. Sitio de la Dark Web de Arcus Media ransomware. [4]

Taxonomía de ataque de MITTRE ATT&CK
 

Táctica Técnica ID
Acceso Inicial Phishing T1566
Execution User Execution: Malicious File T1204.002
Persistence Scheduled Task/Job T1053
Defense Evasion Modify Registry T1112
  Disable or Modify Tools T1562.001
  Obfuscated Files or Information: Encrypted/Encoded File T1027.013
Credential Access OS Credential Dumping T1003
  Brute Force T1110
Reconnaissance Active Scanning T1595
Lateral Movement Remote Services: Remote Desktop Protocol T1021.001
Exfiltration Automated Exfiltration T1020
Command and Control Encrypted Channel: Asymmetric Cryptography T1573.002
  Application Layer Protocol: File Transfer Protocols T1071.002
Impact Data Encrypted for Impact T1486


 

Recomendaciones

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor

Referencias

  1. Bruno, M. (2024, 4 junio). New threat actor Drop: ARCUS MEDIA. The Moloch. https://themoloch.com/infosec/new-threat-actor-drop-arcus-media/
  2. Ai, H. (2024, 18 junio). Ransomware Attack on Frigorífico Boa Carne by Arcus Media. https://ransomwareattacks.halcyon.ai/attacks/ransomware-attack-on-frigorifico-boa-carne-by-arcus-media#:~:text=Arcus%20Media%2C%20a%20ransomware%20group%20that%20has%20been,binaries%2C%20and%20employing%20obfuscation%20techniques%20to%20evade%20detection
  3. NIST CFS. (2024, febrero 26). NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST. Recuperado el 30 de mayo de 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
  4. Ransomware.live. (s. f.). Ransomware Groups’ Victims Tracking & Monitoring. https://ransomware.live/#/group/arcusmedia

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 1 hora 19-09-2024

Broadcom ha publicado el pasado 17 de septiembre un aviso de seguridad en el que se mencionan 2 vulnerabilidades que afectan a su software de virtualización VMware. Específicamente, las vulnerabilidades son:  CVE-2024-38812, con un puntaje CVSS de 9.8, se cl......

Incidente de Seguridad Fortinet
Publicado hace 6 días 12-09-2024

Fortinet, uno de los principales actores en el sector de la ciberseguridad, ha confirmado una violación de datos tras la afirmación de un atacante de haber sustraído archivos del servidor Microsoft SharePoint de la compañía. Como una de las emp......

Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024

Microsoft, al igual que otros fabricantes, calendariza sus noticias sobre seguridad cada segundo martes de cada mes, lo cual llaman "Patch Tuesday". En este mes de septiembre de 2024, publicó en su página de Security Update Guide su aviso sobre ciberseguri......

BOLETINES RECIENTES

...
Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 1 hora 19-09-2024
Leer más
...
Incidente de Seguridad Fortinet
Publicado hace 6 días 12-09-2024
Leer más
...
Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024
Leer más