Detección del Ataque de Ransomware TellYouThePass: Hackers Explotan CVE-2024-4577 para Instalar Web Shells e Introducir Malware
Tabla de contenidos:
Los operadores del ransomware TellYouThePass han sido detectados detrás de una novedosa campaña adversaria que aprovecha la vulnerabilidad de PHP-CGI rastreada como CVE-2024-4577. Los adversarios explotan la falla para cargar web shells y distribuir el ransomware TellYouThePass en instancias comprometidas.
Detectar la Campaña de Ransomware TellYouThePass
A la luz del recién descubierto error de PHP-CGI que está siendo rápidamente aprovechado para ataques en estado salvaje, facilitando la distribución del ransomware TellYouThePass, los profesionales de la seguridad deben abordar proactivamente esta amenaza emergente. Para detectar posibles intrusiones de TellYouThePass en sus etapas más tempranas, la Plataforma SOC Prime para la defensa cibernética colectiva proporciona un conjunto dedicado de reglas Sigma.
Simplemente presiona el Explorar Detecciones botón a continuación y profundiza de inmediato en la pila de detección relevante compatible con más de 30 tecnologÃas SIEM, EDR y Data Lake. Todas las reglas están enriquecidas con CTI accionable, acompañadas por amplia metadata, y mapeadas al marco MITRE ATT&CK® para facilitar la investigación de amenazas.
Con los operadores de TellYouThePass estando entre los primeros en aprovechar el error CVE-2024-4577 en campañas en curso, los defensores cibernéticos podrÃan esperar más intentos de explotación para este fallo. Para detectar exploits asociados, usa una regla Sigma listada a continuación.
Para aquellos que buscan contenido más curado que aborde el caso de uso de Detección Proactiva de Vulnerabilidades, la Plataforma SOC Prime agrega la mayor colección de algoritmos curados disponibles con este enlace.
Análisis de Ataques de Ransomware TellYouThePass
El equipo de Investigación de Amenazas de Imperva notificó recientemente a la comunidad global de defensores cibernéticos sobre ataques en curso que aprovechan la crÃtica falla de PHP conocida como CVE-2024-4577 para infectar aún más las instancias objetivo con ransomware. Según la investigación, la actividad adversaria ha estado activa desde la primera década de junio y puede vincularse con las operaciones del ransomware TellYouThePass.
TellYouThePass es una cepa básica de ransomware que ha estado en el ámbito de las amenazas cibernéticas durante medio decenio. El ransomware ha resurgido, coincidiendo con la explotación de vulnerabilidades de Log4j.
El análisis de Imperva descubrió un conjunto de ataques ofensivos de TellYouThePass dirigidos a cargar web shells y distribuir muestras maliciosas en instancias afectadas. Los operadores de ransomware explotaron CVE-2024-3577 para ejecutar código PHP arbitrario en los dispositivos afectados. Utilizaron esto último para ejecutar un archivo de aplicación HTML alojado en el servidor web del adversario a través del binario mshta.exe. Mshta.exe, un LOLBin nativo de Windows capaz de ejecutar cargas útiles remotas, sugiere que los atacantes están aprovechando un enfoque de «vivir de la tierra».
El ransomware TellYouThePass utilizado en la campaña más reciente aparece en forma de muestras .NET entregadas a través de aplicaciones HTML. El flujo de infección comienza con la entrega de un archivo HTA con el VBScript malicioso. Tras la activación, el ransomware envÃa una solicitud HTTP al servidor C2, ocultando detalles del dispositivo dentro de lo que parece ser una solicitud de recursos CSS para evadir la detección. También genera una nota de rescate «READ_ME10.html», ofreciendo instrucciones para recuperar archivos.
Para mitigar los riesgos de emergentes ataques de ransomware, los defensores recomiendan mantenerse constantemente vigilantes y aplicar parches de vulnerabilidades de manera oportuna. Dado que los ataques en estado salvaje que aprovechan CVE-2024-4577 podrÃan ya haber expuesto más de 450 mil servidores PHP, principalmente alojados en los EE.UU. y Alemania, según estadÃsticas de Censys, es imperativo fortalecer la seguridad empresarial. La suite completa de productos de SOC Prime para IngenierÃa de Detección impulsada por IA, Caza Automatizada de Amenazas, y Validación del Stack de Detección sirve como una solución todo-en-uno para defender proactivamente contra amenazas emergentes y persistentes y equipar a su organización con capacidades defensivas avanzadas para interrumpir a los adversarios antes de que ataquen.
