AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Crypto24 perfecciona sus ataques con herramientas personalizadas para evadir defensas y maximizar el impacto

admin

#### Introducción

Durante los últimos meses, el grupo de ransomware Crypto24 ha intensificado sus campañas dirigidas a organizaciones de distintos sectores, destacándose por el uso de utilidades personalizadas diseñadas para evadir soluciones de seguridad, extraer información confidencial y cifrar sistemas de manera eficaz. Su evolución técnica plantea nuevos desafíos para los equipos de ciberseguridad y exige una revisión profunda de las estrategias de defensa, detección y respuesta en las redes corporativas.

#### Contexto del Incidente o Vulnerabilidad

Crypto24, identificado inicialmente en 2023, ha migrado rápidamente de técnicas estándar de ransomware a tácticas más sofisticadas basadas en el desarrollo de herramientas propias. Su actividad se ha detectado principalmente en Europa y Norteamérica, afectando a medianas y grandes empresas de sectores como manufactura, servicios profesionales y tecnología. Según informes recientes, el grupo está explotando vulnerabilidades conocidas y accesos iniciales obtenidos mediante credenciales filtradas o ataques de phishing dirigidos.

Los ataques de Crypto24 suelen implicar movimiento lateral mediante el abuso de protocolos RDP y SMB, así como la utilización de herramientas de post-explotación para establecer persistencia y preparar la red para la doble extorsión: cifrado y exfiltración de datos sensibles.

#### Detalles Técnicos

Los investigadores han asociado las campañas recientes de Crypto24 con varias CVE de alta crítica, entre ellas:

– **CVE-2023-23397** (Microsoft Outlook): Permite la ejecución remota de código mediante el envío de mensajes especialmente manipulados.
– **CVE-2022-26923** (Active Directory Certificate Services): Facilita la escalada de privilegios en entornos Windows.

Crypto24 ha desarrollado utilidades específicas para evadir EDR y antivirus. Entre sus TTP mapeadas por MITRE ATT&CK destacan:

– **T1059** (Command and Scripting Interpreter): Uso de PowerShell y scripts personalizados para la descarga y ejecución de payloads.
– **T1562** (Impair Defenses): Desactivación de servicios de seguridad y manipulación de logs mediante binarios legítimos de Windows (Living-off-the-Land Binaries, LOLBins).
– **T1041** (Exfiltration Over C2 Channel): Transferencia de datos cifrados a servidores remotos controlados por el atacante.
– **T1486** (Data Encrypted for Impact): Cifrado de archivos con algoritmos AES-256, usando llaves únicas por víctima.

Los indicadores de compromiso (IoC) asociados incluyen:

– Hashes SHA256 de ejecutables personalizados.
– Comunicación saliente a dominios y direcciones IP fuera de rango habitual (Tor y VPNs).
– Archivos con extensiones .crypto24 tras el cifrado.
– Herramientas internas de Crypto24 (por ejemplo, “xorcrypt.exe” y “stealthdump.dll”), aún no detectadas por la mayoría de los motores antivirus.

Se han encontrado versiones de exploits empaquetados para frameworks como Metasploit y Cobalt Strike, lo que sugiere que Crypto24 integra herramientas de red team y ofensivas en sus operaciones, además de su propio arsenal.

#### Impacto y Riesgos

Según estimaciones de analistas, hasta un **17% de los ataques de ransomware dirigidos a empresas europeas en el primer trimestre de 2024** han sido atribuidos a Crypto24. Las demandas de rescate oscilan entre **0,8 y 2,5 millones de euros**, dependiendo del tamaño y la criticidad de la organización.

El impacto va más allá del cifrado: la exfiltración de datos sensibles expone a las empresas a sanciones regulatorias bajo el **GDPR** y, a partir de octubre de 2024, a las exigencias de notificación y resiliencia de la **Directiva NIS2**. La pérdida de datos, la interrupción operacional y la exposición de propiedad intelectual representan riesgos críticos.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el impacto y prevenir infecciones por variantes de Crypto24, se recomiendan las siguientes acciones:

– **Actualización inmediata** de sistemas y software, especialmente servidores de correo, servicios de directorio y VPN.
– **Despliegue de EDR avanzados** con capacidades de detección basada en comportamiento y machine learning.
– **Segmentación de red** y restricción de privilegios, aplicando el principio de mínimo privilegio.
– **Monitorización de logs** y análisis de tráfico saliente en busca de patrones anómalos e IoC conocidos.
– **Entrenamiento en concienciación** para empleados sobre phishing y ataques de ingeniería social.
– **Copias de seguridad cifradas y fuera de línea**, probadas periódicamente para garantizar la recuperación.

#### Opinión de Expertos

Diversos especialistas en ciberseguridad coinciden en que la sofisticación de Crypto24 marca una tendencia preocupante: “El desarrollo de utilidades propias capaces de evadir EDR supone un salto cualitativo en el ecosistema ransomware. Las organizaciones deben adoptar un enfoque proactivo y multidimensional en defensa”, afirma Jorge Ramírez, analista senior en un CERT europeo.

Por su parte, la consultora S21sec advierte: “La doble extorsión se ha consolidado como modus operandi. La vigilancia sobre la exfiltración es tan importante como la protección ante el cifrado”.

#### Implicaciones para Empresas y Usuarios

El auge de grupos como Crypto24 obliga a las empresas a revisar de forma continua sus políticas de seguridad, especialmente en lo referente a la detección y respuesta ante incidentes. El cumplimiento normativo (GDPR, NIS2) se convierte en un imperativo no solo legal, sino estratégico, para limitar daños reputacionales y sanciones económicas.

Para los usuarios, la amenaza se traduce en un posible robo de datos personales y afectación de servicios esenciales, subrayando la importancia de la higiene digital y la protección de sus credenciales.

#### Conclusiones

Crypto24 representa la nueva generación de ransomware: grupos organizados, técnicamente avanzados y con acceso a herramientas propias y de terceros. Su capacidad para evadir defensas y maximizar el daño obliga a los equipos de ciberseguridad a evolucionar hacia modelos de defensa activa, inteligencia de amenazas y respuesta ágil. Solo la combinación de tecnología, procesos y formación continua permitirá reducir el impacto de ataques como los de Crypto24 en el panorama actual.

(Fuente: www.bleepingcomputer.com)