Ransomware APT73

Publicado hace 4 días 08-11-2024

Un ransomware llamado APT73 ha estado tomando fuerza en el mes de octubre de 2024. La primera aparición de este grupo en la escena criminal fue en abril de 2024, cuando cobró su primera víctima de ransomware. [1] 

Se cree que este grupo es derivado de otro llamado Lockbit, un grupo muy famoso que se convirtió en uno de los principales ransomwares a nivel mundial, pero como suele pasar con estos, surgieron variantes y una de ellas puede ser Apt73 debido múltiples similitudes entre sus sitios de filtraciones, contacto e información. [1] 

Como se mencionó antes, este grupo tiene un sitio de filtraciones, el que usan para llevar a cabo sus tácticas de doble extorsión. Estas consisten en exfiltrar la información antes de cifrarla para amenazar a la víctima de publicar su información de no pagarse el rescate por esta. En su sitio listan las víctimas que están en un periodo para pagar el rescate de su información, también filtran la información en este mismo sitio de las víctimas que no pagaron el rescate a tiempo. [1] 


Imagen de su sitio de filtraciones [1] 
 

Este grupo tenía presencia en redes sociales, específicamente en la red social X (Twitter), en la cual seguían a muchas personalidades de Finlandia. Aunque aún no se sabe de dónde es el grupo, esto puede indicar que podría tratarse del lugar de origen del grupo o circundante a esa área. [1] 

El grupo se renombró como Bashe en el mes de octubre sin razón aparente y empezó a tomar comportamientos un poco fuera de lo común, pero que se han observado en otros grupos no tan grandes, como lo es el listar víctimas con información ya filtrada y compartida en foros criminales y también ha listado víctimas de otro grupo de ransomware llamado BlackBasta, esto último si bien también puede significar una asociación entre los dos ransomwares, no se está seguro de la razón de publicar viejas víctimas del otro grupo. [1]  

 

A screenshot of a computerDescription automatically generated
Imagen del sitio de filtraciones ya renombrado. [1] 
 

Indicadores de Compromiso:

IOC

Tipo 

6d170d36a4d6b47987f51445b24e587c 

MD5 

94895ed0dc352981fbec38b5348ec3ae3be26371 

SHA-1 

f1a00e2fe86455b9d1a384d5e96185e016816acd1d7ef3460e232e9ecb9da794 

SHA-256 

176.97.75.205 

IPv4 

http://eraleignews.com/ 

URL 

http://qcgv5tfer4f46ns6ohh72zeyyh5uavoiybypzpt3lmwk5ecyqykptgqd.onion/files/trifecta.zip 

URL 

eraleignews.com 

Dominio 

qcgv5tfer4f46ns6ohh72zeyyh5uavoiybypzpt3lmwk5ecyqykptgqd.onion 

Dominio 

ns1.eraleignews.com 

Hostname 

ns2.eraleignews.com 

Hostname 

ns3.eraleignews.com 

Hostname 

ns4.eraleignews.com 

Hostname 

 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Krishnan, R. (2024. abril 20) APT73/ERALEIG NEWS: UNVEILING NEW RANSOMWARE GROUP. Recuperado el 5 de noviembre del 2024 en: https://rakeshkrish.medium.com/apt73-eraleig-news-unveiling-new-ransomware-group-55aec3e873ff 

  2. WATCHGUARD. (S.F.) Mamba 2FA: A new contender in the AiTM phishing ecosystem. Recuperado el 10 de octubre del 2024 en: https://blog.sekoia.io/mamba-2fa-a-new-contender-in-the-aitm-phishing-ecosystem/#h-commercialisation-of-mamba-2fa-phishing-pages 

  3. Bheeshmar. (2024, abril) APT73: A New Ransomware Group on Dark Web. Recuperado el 5 de noviembre del 2024 en: https://otx.alienvault.com/pulse/662607505dec7b3b12a44a40 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Ransomware APT73
Publicado hace 4 días 08-11-2024

Un ransomware llamado APT73 ha estado tomando fuerza en el mes de octubre de 2024. La primera aparición de este grupo en la escena criminal fue en abril de 2024, cuando cobró su primera víctima de ransomware. [1]  Se cree que este grupo es derivado de......

Actualización del Ransomware RansomHub
Publicado hace 6 días 06-11-2024

Un nuevo ataque del grupo de ransomware Ransomhub sale a la luz, afectando a una aerolínea mexicana. RansomHub funciona bajo el modelo Ransomware-as-a-Service (RaaS), mediante el cual afiliados de diversos países pueden acceder a sus herramientas a cambio de una pa......

Vulnerabilidad en Cisco Firepower Threat Defense Software (CVE-2024-20412, CVSS 9.3, Critica)
Publicado hace 1 semana 31-10-2024

El pasado 23 de octubre de 2024, Cisco publicó varios avisos de seguridad que afectaban a sus productos, abordando vulnerabilidades con criticidad que va desde media hasta crítica. Entre los avisos de seguridad emitidos, se encontraba una vulnerabilidad que afecta a......

BOLETINES RECIENTES

...
Ransomware APT73
Publicado hace 4 días 08-11-2024
Leer más
...
Actualización del Ransomware RansomHub
Publicado hace 6 días 06-11-2024
Leer más
...
Vulnerabilidad en Cisco Firepower Threat Defense Software (CVE-2024-20412, CVSS 9.3, Critica)
Publicado hace 1 semana 31-10-2024
Leer más