EncryptHub Despliega Ransomware y Stealers mediante Phishing y Aplicaciones Troyanas

Un actor cibernético conocido como EncryptHub ha intensificado sus ataques mediante sofisticadas tácticas de phishing, utilizando aplicaciones troyanas y servicios de distribución de malware para robar información y desplegar ransomware.

EncryptHub, un grupo de cibercriminales motivados financieramente, ha estado orquestando una serie de complejas campañas de ataque que apuntan a las organizaciones mediante el uso de técnicas avanzadas de ingeniería social. Estas tácticas incluyen el uso de phishing, smishing (phishing por SMS) y vishing (phishing por voz) con el objetivo de engañar a las víctimas para que instalen malware en sus sistemas.

Un nuevo informe de Outpost24 KrakenLabs ha revelado que el grupo de amenazas cibernéticas conocido como EncryptHub ha intensificado sus campañas de ciberataques. Este actor de amenaza, rastreado también como LARVA-208 por PRODAFT, está utilizando aplicaciones troyanas, servicios de distribución de malware de terceros y sofisticadas tácticas de phishing para robar información y desplegar ransomware. A lo largo de los últimos nueve meses, EncryptHub ha comprometido a más de 600 objetivos en múltiples sectores.

Los sitios de phishing están alojados en proveedores de alojamiento a prueba de balas como Yalishand. Una vez obtenido el acceso, EncryptHub procede a ejecutar los scripts de PowerShell que conducen al despliegue de malware robador como Fickle, StealC y Rhadamanthys. El objetivo final de los ataques en la mayoría de los casos es entregar ransomware y exigir un rescate.

Uno de los otros métodos comunes adoptados por los agentes de amenazas se refiere al uso de aplicaciones troyanas disfrazadas de software legítimo para el acceso inicial. Estas incluyen versiones falsificadas de QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 y Palo Alto Global Protect.

Estas aplicaciones atrapadas por botín, una vez instaladas, desencadenan un proceso multietapa que actúa como vehículo de entrega para cargas útiles en la fase posterior como Kematian Stealer para facilitar el robo de galletas.

La compañía dijo a The Hacker News que el grupo de spear-phishing está afiliado a los grupos de ransomware RansomHub y Blacksuit y ha estado usando tácticas avanzadas de ingeniería social para comprometer más de 618 objetivos de alto valor en múltiples industrias en los últimos nueve meses.

«El actor usualmente crea un sitio de phishing que apunta a la organización para obtener las credenciales VPN de la víctima», dijo PRODAFT. «A continuación, se llama a la víctima y se le pide que introduzca los detalles de la víctima en el sitio de phishing para cuestiones técnicas, haciéndose pasar por un equipo de TI o asistente. Si el ataque contra la víctima no es una llamada sino un mensaje de texto SMS directo, se usa un enlace falso de Microsoft Teams para convencer a la víctima».

Al menos desde el 2 de enero de 2025, un componente crucial de la cadena de distribución de EncryptHub ha sido el uso de un servicio PPI de terceros llamado LabInstalls, que facilita las instalaciones de malware a granel para pagar a los clientes a partir de $10 (100 cargas) a $450 (10.000 cargas). «EncryptHub confirmó que era su cliente al dejar retroalimentación positiva en LabInstalls vendiendo hilo en el foro underground de habla rusa XSS de primer nivel, incluso incluyendo una captura de pantalla que evidencia el uso del servicio», dijo Outpost24.

PRODAFT, una empresa suiza de ciberseguridad, ha confirmado que el grupo detrás de EncryptHub está vinculado a los operadores de ransomware como RansomHub y Blacksuit, y se sospecha que el grupo también está utilizando tácticas de ingeniería social avanzadas para engañar a víctimas de alto valor en diversas industrias. A medida que EncryptHub sigue evolucionando y ajustando sus tácticas de ataque, la necesidad de medidas de seguridad proactivas y monitoreo constante se vuelve aún más crítica. Las organizaciones deben adoptar estrategias de seguridad en capas para mitigar los riesgos que plantea este actor de amenaza, que continúa buscando nuevas formas de explotar vulnerabilidades para maximizar sus beneficios.

Los expertos en ciberseguridad aconsejan a las empresas y usuarios que mantengan un nivel alto de vigilancia, implementando controles de seguridad como la autenticación multifactorial y capacitación en seguridad para prevenir caer en ataques de phishing. Además, es fundamental que las organizaciones cuenten con sistemas de detección y respuesta ante incidentes (EDR) para identificar y neutralizar posibles amenazas a tiempo.

Scroll al inicio