Se ha enfrentado que los actores de amenazas que desplegan las familias de ransomware de Hilván Black Hilván y Cactus confían en el mismo módulo de Encogimiento (BC) para apoyar un control persistente sobre los hosts infectados, un signo que los afiliados previamente asociados con Black Hilván pueden activo transicionado a Cactus.
«Una vez infiltrado, otorga a los atacantes una amplia variedad de capacidades de control remoto, lo que les permite ejecutar comandos en la máquina infectada», dijo Trend Micro en un observación del lunes. «Esto les permite robar datos confidenciales, como credenciales de inicio de sesión, información financiera y archivos personales».
Vale la pena señalar que los detalles del módulo BC, que la compañía de seguridad cibernética está rastreando como QbackConnect correcto a las superposiciones con el cargador Qakbot, fueron documentados por primera vez a fines de enero de 2025 por el equipo de inteligencia cibernética de Walmart y Sophos, el final de los cuales ha designado el clúster el nombre STAC5777.
Durante el año pasado, las cadenas de ataque de Black Hilván han explotado cada vez más tácticas de hostigamiento por correo electrónico para engañar a los posibles objetivos para instalar presencia rápida a posteriori de ser contactado por el actor de amenazas bajo el pretexto de soporte de TI o personal de presencia.
Luego, el paso sirve como un conducto para unir un cargador DLL malvado («winhttp.dll») llamado Reedbed usando OneDrivestandaloneUpdater.exe, un ejecutable genuino responsable de refrescar Microsoft OneDrive. El cargador finalmente descifra y ejecuta el módulo BC.
Trend Micro dijo que observó un ataque de ransomware de cactus que empleó el mismo modus operandi para implementar la conexión de retroceso, pero todavía fue más allá para sobrellevar a sitio varias acciones posteriores a la explotación como el movimiento adyacente y la exfiltración de datos. Sin confiscación, los esfuerzos para reducir la red de la víctima terminaron en el fracaso.
La convergencia de las tácticas asume un significado singular a la luz de las recientes filtraciones de registro de chat de Black Hilván que dejó al descubierto el funcionamiento interno y la estructura organizativa de la pandilla del crimen electrónico.
Específicamente, ha surgido que los miembros de la tripulación motivada financieramente compartieron credenciales válidas, algunas de las cuales se han obtenido de registros de robadores de información. Algunos de los otros puntos de paso iniciales prominentes son los portales de protocolo de escritorio remoto (RDP) y los puntos finales VPN.
«Los actores de amenazas están utilizando estas tácticas, técnicas y procedimientos (TTP): presencia rápida, presencia rápida como aparejo remota y retroceso, para implementar el ransomware indignado Hilván», dijo Trend Micro.
«Específicamente, hay evidencia que sugiere que los miembros han hecho la transición del agrupación de ransomware indignado Hilván al agrupación de ransomware Cactus. Esta conclusión se extrae del observación de tácticas, técnicas y procedimientos (TTP) similares que se utiliza».
