Los nuevos piratas informáticos de ‘Luna Moth’ violan las organizaciones a través de renovaciones de suscripción falsas

Un nuevo grupo de extorsión de datos ha estado violando empresas para robar información confidencial, amenazando a las víctimas con poner los archivos a disposición del público a menos que paguen un rescate.

La pandilla recibió el nombre de Luna Moth y ha estado activa desde al menos marzo en campañas de phishing que entregaron herramientas de acceso remoto (RAT) que permiten el robo de datos corporativos.

 

Ataque de suplantación de identidad

El equipo de Respuesta a Incidentes de la empresa de seguridad cibernética Sygnia ha estado rastreando la actividad del grupo de rescate Luna Moth, señalando que el actor está tratando de construir una reputación usando el nombre Silent Ransom Group (SRG).

En un informe a principios de este mes, Sygnia dice que el modus operandi de Luna Moth (también rastreado como TG2729) se parece al de un estafador, aunque el objetivo es obtener acceso a información confidencial.

Para lograrlo, Luna Moth se basa en ataques de phishing. Durante los últimos tres meses, el grupo manejó una campaña a gran escala para atraer a las víctimas con correos electrónicos de suscripción falsos para usar los servicios de Zoho, MasterClass o Duolingo.

Las víctimas recibirían un mensaje supuestamente de uno de los servicios antes mencionados anunciando que la suscripción está a punto de finalizar y que se renovará automáticamente, con 24 horas para procesar el pago.

emai

Luna Moth utiliza direcciones de correo electrónico con nombres que se hacen pasar por las marcas utilizadas en la campaña de phishing. Mirando más de cerca, la estafa es obvia ya que los mensajes provienen de cuentas de Gmail.

El correo electrónico viene con una factura falsa en el archivo adjunto, que proporciona un contacto para aquellos que desean obtener más detalles sobre la suscripción o cancelarla.

Luna_Moth

Llamar al número de teléfono que figura en la factura pone a la víctima en contacto con el estafador, quien proporciona instrucciones para instalar una herramienta de acceso remoto en el sistema.

 

Herramientas y tácticas comunes

Como se ve en el modus operandi, Luna Moth está lejos de ser un actor de amenazas sofisticado y la herramienta que utilizan respalda esta teoría.

Según Sygnia, la pandilla utiliza soluciones de escritorio remoto disponibles en el mercado, como Atera, AnyDesk, Synchro y Splashtop.

En muchos de los ataques observados, los actores de amenazas instalaron más de una RAT en la máquina de la víctima para redundancia y persistencia, dicen los investigadores.

Otras herramientas instaladas manualmente por los actores de amenazas incluyen SoftPerfect Network Scanner, SharpShares y Rclone, que colectivamente ayudan a los adversarios con el reconocimiento en la red para localizar archivos valiosos, pivotar y robar los datos.

Estas herramientas se han visto en ataques anteriores de estafadores que atraían a las víctimas con correos electrónicos de facturación falsos para renovar la suscripción del antivirus.

Sygnia dice que los actores de amenazas no se dirigen a víctimas específicas. Despliega ataques oportunistas en los que agarran todo lo que pueden acceder y luego proceden a extorsionar a la víctima.

Sin embargo, las demandas del actor de amenazas son bastante altas, ya que los investigadores dicen que Luna Moth puede pedir "millones de dólares en rescate".

Docenas de dominios utilizados
A pesar de la falta de sofisticación, Sygnia descubrió que Luna Moth ha estado usando cerca de 90 nombres de dominio como parte de su infraestructura o para alojar datos de empresas violadas.

Todos los sitios utilizados para el phishing tenían nombres que se asemejan a la marca suplantada; en este caso, Zoho, MasterClass y Duolingo, y los investigadores encontraron más de 40. El resto se utilizó como servidores de exfiltración.

Si bien la extorsión está ampliamente asociada con las operaciones de ransomware, parece que robar datos confidenciales sin cifrar los sistemas se está convirtiendo en una nueva forma de monetizar las infracciones corporativas.

Otro grupo de extorsión de datos se llama Karakurt , que los investigadores conectaron con la operación de ransomware Conti recientemente cerrada.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies