Arcus Media Ransomware
Arcus Media es un nuevo grupo de ransomware que fue detectado por primera vez el 24 de mayo de 2024. El grupo se destaca por sus métodos de extorsión directa y doble, su programa de afiliados único y su modalidad de negocio de Ransomware-as-a-Service (RaaS) por lo que cualquier actor malicioso puede contratar su ransomware. [2][1]
Los vectores de ataque iniciales de Arcus Media incluyen correos electrónicos de phishing, la implementación de binarios de ransomware personalizados y el empleo de técnicas de ofuscación para evadir la detección. [2][1]
Una vez dentro del sistema de las víctimas, establece tareas programadas en el sistema operativo para garantizar su ejecución persistente incluso después de reinicios o intentos de eliminación manual, asegurando que el ransomware se mantenga activo y continúe sus actividades maliciosas. Con el fin de evadir las defensas del sistema y pasar desapercibido, el malware desactiva las soluciones de seguridad como antivirus e IDS. Durante esta fase, también pueden realizar escaneos en la red para identificar otros dispositivos vulnerables y expandir su alcance.
Arcus Media exfiltra los datos robados, como archivos confidenciales o información financiera, desde los sistemas comprometidos hacia servidores controlados. Ya con la información exfiltrada, Arcus Media publica una prueba de los datos exfiltrados en su sitio, junto con el tiempo para vender o publicar los datos.
El sitio de la Dark Web del grupo Arcus Media ransomware se ve de la siguiente manera:
Figura 1. Sitio de la Dark Web de Arcus Media ransomware. [4]
Taxonomía de ataque de MITTRE ATT&CK
| Táctica | Técnica | ID |
| Acceso Inicial | Phishing | T1566 |
| Execution | User Execution: Malicious File | T1204.002 |
| Persistence | Scheduled Task/Job | T1053 |
| Defense Evasion | Modify Registry | T1112 |
| Disable or Modify Tools | T1562.001 | |
| Obfuscated Files or Information: Encrypted/Encoded File | T1027.013 | |
| Credential Access | OS Credential Dumping | T1003 |
| Brute Force | T1110 | |
| Reconnaissance | Active Scanning | T1595 |
| Lateral Movement | Remote Services: Remote Desktop Protocol | T1021.001 |
| Exfiltration | Automated Exfiltration | T1020 |
| Command and Control | Encrypted Channel: Asymmetric Cryptography | T1573.002 |
| Application Layer Protocol: File Transfer Protocols | T1071.002 | |
| Impact | Data Encrypted for Impact | T1486 |
Recomendaciones
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor
Referencias
- Bruno, M. (2024, 4 junio). New threat actor Drop: ARCUS MEDIA. The Moloch. https://themoloch.com/infosec/new-threat-actor-drop-arcus-media/
- Ai, H. (2024, 18 junio). Ransomware Attack on Frigorífico Boa Carne by Arcus Media. https://ransomwareattacks.halcyon.ai/attacks/ransomware-attack-on-frigorifico-boa-carne-by-arcus-media#:~:text=Arcus%20Media%2C%20a%20ransomware%20group%20that%20has%20been,binaries%2C%20and%20employing%20obfuscation%20techniques%20to%20evade%20detection
- NIST CFS. (2024, febrero 26). NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST. Recuperado el 30 de mayo de 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
- Ransomware.live. (s. f.). Ransomware Groups’ Victims Tracking & Monitoring. https://ransomware.live/#/group/arcusmedia
