EncryptHub

De CiberWiki
Revisión del 15:56 20 ago 2025 de Fernando.VH (discusión | contribs.) (Descripción de EncryptHub)
(difs.) ← Revisión anterior | Revisión actual (difs.) | Revisión siguiente → (difs.)

EncryptHub es un grupo de amenazas emergente, también conocido como LARVA-208 o Water Gamayun, que ha escalado rápidamente en notoriedad por sus campañas agresivas y diversificadas. Sus operaciones combinan ingeniería social —como llamadas telefónicas y solicitudes falsas de soporte técnico— con la explotación de vulnerabilidades críticas como CVE-2025-26633 (MSC EvilTwin) en Microsoft Management Console. Esta combinación les permite obtener acceso remoto, desplegar cargas maliciosas mediante scripts PowerShell y establecer comunicación cifrada con sus servidores de comando y control (C2).

El grupo se distingue por el abuso de plataformas legítimas como Brave Support y la creación de servicios falsos como videollamadas en RivaTalk, con el fin de distribuir malware de forma encubierta. Entre sus herramientas se encuentran SilentCrystal, un loader escrito en Golang, y un backdoor basado en el protocolo SOCKS5, que refuerzan su capacidad para el movimiento lateral, la persistencia y el robo de información sensible, incluyendo credenciales y datos de criptomonedas. Estas tácticas muestran un alto grado de sofisticación y adaptación frente a las defensas de seguridad.

Además, recientes investigaciones señalan que EncryptHub tiene vínculos con el ecosistema cibercriminal ruso y ha ampliado su alcance hacia ataques a servidores Microsoft SQL Server, utilizando fuerza bruta y exploits para infiltrarse en redes corporativas. Una vez dentro, combina minería de criptomonedas, robo de credenciales y despliegue de ransomware, lo que lo convierte en una amenaza multifacética capaz de causar tanto pérdidas económicas por criptominería como daños críticos por cifrado masivo de sistemas. Su profesionalización y reutilización de infraestructuras sugieren que forma parte de una red criminal en expansión.

Funcionamiento

1. Acceso inicial y vector de entrada

EncryptHub emplea principalmente dos vectores de entrada:

  • Ingeniería social: Se hacen pasar por personal de soporte técnico (generalmente vía llamadas telefónicas o solicitudes de Microsoft Teams) para convencer a la víctima de establecer sesiones de escritorio remoto y ejecutar comandos PowerShell.
  • Explotación de vulnerabilidades: Una de las más destacadas es CVE-2025-26633 (MSC EvilTwin) en Microsoft Management Console (MMC), que permite cargar archivos .msc maliciosos cuando un archivo legítimo con el mismo nombre es ejecutado. También se ha reportado explotación de servidores Microsoft SQL Server (MS-SQL) mediante fuerza bruta y exploits.

Con estos métodos, los atacantes consiguen la ejecución inicial de payloads en los sistemas comprometidos.

2. Carga inicial y ejecución de scripts

Una vez que el atacante obtiene acceso:

  • Se ejecutan scripts PowerShell como runner.ps1, que descargan y despliegan archivos .msc manipulados.
  • El exploit MSC EvilTwin redirige la ejecución de mmc.exe hacia el archivo malicioso ubicado en la ruta MUIPath (ej. en-US), logrando la ejecución arbitraria de código.
  • El script malicioso modifica parámetros como htmlLoaderUrl o {URI}, redirigiendo el flujo hacia un servidor C2 controlado por EncryptHub.

Estos archivos cargan un segundo script, build.ps1, encargado de:

  • Exfiltrar información básica del sistema (UUID, versión de SO, red).
  • Establecer persistencia en el equipo comprometido.
  • Mantener comunicación con el C2 mediante comandos cifrados con AES.

3. Comunicación y persistencia

El malware mantiene comunicación constante con servidores C2 utilizando varias técnicas:

  • AES para cifrado de comandos, asegurando que la comunicación no sea interceptada fácilmente.
  • Uso de plataformas legítimas como Brave Support para alojar y distribuir cargas maliciosas, abusando de cuentas con privilegios de subida de archivos.
  • Túneles cifrados mediante SOCKS5: EncryptHub implementa un backdoor escrito en Golang que funciona en dos modos:
    • Cliente: conecta la máquina comprometida con un C2 preconfigurado y envía información vía Telegram (usuario, dominio, IP pública, ISP, permisos de administrador).
    • Servidor: establece una infraestructura C2 basada en proxy SOCKS5, generando certificados TLS autofirmados para cifrar el tráfico.

Con estas técnicas, EncryptHub logra ocultar la comunicación maliciosa dentro de tráfico aparentemente legítimo.

4. Herramientas y arsenales

El grupo ha desarrollado y utilizado diferentes herramientas:

  • SilentCrystal (Loader en Golang): Replica la funcionalidad de los scripts PowerShell pero en binarios compilados, facilitando la ejecución de cargas sin depender de interpretes. Emplea directorios falsos como C:\Windows \System32 (con espacio final) para confundir al sistema y evadir defensas.
  • Fickle Stealer (Infostealer en PowerShell): Diseñado para:
    • Robar archivos sensibles.
    • Extraer información de hardware y software.
    • Obtener credenciales y datos de wallets de criptomonedas.
  • Backdoor SOCKS5: Permite el control remoto, tunneling de tráfico y manejo de múltiples sesiones concurrentes.
  • Cargas en plataformas falsas como RivaTalk: Un servicio que simula ser una app de videollamadas, pero en realidad distribuye binarios MSI maliciosos que instalan payloads y DLLs modificadas mediante side-loading (ej. abuso de userenv.dll).

5. Estrategias de evasión

EncryptHub aplica diversas técnicas para evadir detección y análisis:

  • Uso de DLL side-loading: cargar DLL maliciosas a través de binarios legítimos como el de Symantec ELAM.
  • Generación de tráfico falso HTTP hacia sitios populares para mezclar la comunicación del C2 con tráfico normal del navegador.
  • Uso de cifrado AES y canales alternativos como Telegram para dificultar la inspección de tráfico.
  • Requerimiento de códigos de acceso en descargas de plataformas falsas (ej. RivaTalk), con el fin de bloquear a investigadores y permitir solo a las víctimas obtener el payload.

6. Impacto final

El objetivo de EncryptHub varía según la campaña:

  • Robo de credenciales y datos sensibles (con especial interés en criptomonedas y accesos corporativos).
  • Instalación de criptomineros (Monero, principalmente).
  • Ransomware desplegado en fases finales contra entornos críticos.
  • Persistencia y control total de las máquinas comprometidas mediante comunicación cifrada y herramientas en Golang.

Esto convierte a EncryptHub en un grupo multifacético y modular, capaz de adaptarse a distintos entornos y objetivos, con un alto grado de profesionalización y colaboración dentro del ecosistema cibercriminal ruso.

Impacto y consecuencias

1. Impacto en la confidencialidad de la información

  • Robo de credenciales: A través de Fickle Stealer y payloads adicionales, EncryptHub extrae credenciales almacenadas en navegadores, sistemas corporativos y bases de datos. Esto incluye contraseñas, hashes de Active Directory y tokens de sesión.
  • Exfiltración de datos sensibles: Utilizando canales cifrados (AES + túneles SOCKS5) y técnicas de ofuscación, el grupo logra extraer información corporativa sin ser detectado fácilmente. Entre los datos más buscados se encuentran:
    • Documentos financieros.
    • Información de clientes o usuarios finales.
    • Llaves privadas y wallets de criptomonedas.
  • Acceso a comunicaciones internas: Con privilegios de administrador obtenidos mediante movimiento lateral, los atacantes pueden acceder a correos electrónicos, chats corporativos y archivos compartidos en servidores de red, lo que incrementa el riesgo de filtración o chantaje.

Consecuencia: Pérdida de información estratégica, exposición de datos regulados (ej. GDPR, HIPAA) y riesgo de extorsión con amenazas de “doble o triple extorsión” (cifrado de datos + filtración pública + acoso a clientes).

2. Impacto en la integridad de los sistemas

  • Ejecución de payloads maliciosos en memoria: Scripts como runner.ps1 y loaders como SilentCrystal alteran el comportamiento esperado del sistema, introduciendo modificaciones que permiten al atacante persistir sin necesidad de archivos visibles.
  • Side-loading de DLLs: Ejecución de bibliotecas maliciosas (userenv.dll) mediante binarios legítimos como los de Symantec ELAM, comprometiendo la integridad del software de seguridad.
  • Alteración de configuraciones críticas: Una vez comprometido un entorno, EncryptHub modifica políticas del sistema, deshabilita soluciones de seguridad y genera directorios falsos (ej. C:\Windows \System32 con espacio final), manipulando la estructura del sistema operativo.

Consecuencia: Los sistemas comprometidos ya no pueden considerarse confiables, incluso si aparentemente siguen funcionando, debido a la manipulación del software y configuraciones críticas.

3. Impacto en la disponibilidad

  • Criptominería en entornos corporativos: El despliegue de miners de Monero genera un consumo excesivo de CPU/GPU, ralentizando servidores y estaciones de trabajo, impactando en la productividad.
  • Despliegue de ransomware: En fases avanzadas, EncryptHub cifra datos en entornos críticos, bloqueando operaciones y requiriendo rescates en criptomonedas. Esto puede dejar fuera de servicio servidores de bases de datos, ERPs y sistemas de correo electrónico.
  • Interrupción de servicios en la nube y servidores expuestos: Al comprometer instancias de MS-SQL Server mal configuradas, los atacantes interrumpen el acceso a aplicaciones dependientes, afectando servicios en línea y operaciones 24/7.

Consecuencia: Pérdida temporal o total de disponibilidad en sistemas críticos, interrupción del negocio y parálisis operativa en sectores que dependen de TI.

4. Impacto en la red y la infraestructura

  • Movimiento lateral silencioso: Uso de herramientas legítimas de administración (PsExec, RDP, WMI) para expandirse sin activar alertas inmediatas.
  • Infraestructura C2 modular: El uso de Brave Support, dominios falsos como rivatalk.net y proxies SOCKS5 les permite mantener redundancia y resiliencia frente a intentos de desmantelamiento.
  • Generación de tráfico encubierto: Fake traffic HTTP hacia sitios populares para camuflar las comunicaciones con C2. Esto satura el monitoreo y dificulta la detección por IDS/IPS.

Consecuencia: Red comprometida en su totalidad, uso de recursos para ocultar tráfico malicioso y establecimiento de un punto de apoyo persistente para futuras intrusiones.

5. Impacto económico y reputacional

  • Costos directos: Pago de rescates, recuperación de datos, reinstalación de sistemas, contratación de servicios forenses y legales.
  • Costos indirectos: Pérdida de confianza de clientes, sanciones regulatorias por exposición de datos y caída en la valoración de la marca.
  • Mercado negro: Los datos robados son revendidos en foros clandestinos, lo que amplía la exposición a fraudes financieros y espionaje industrial.

Consecuencia: Empresas víctimas pueden sufrir pérdidas multimillonarias, daño reputacional duradero y pérdida de ventaja competitiva frente a competidores.

6. Impacto geopolítico y estratégico

  • EncryptHub muestra rasgos de colaboración con otros grupos de habla rusa, compartiendo infraestructura y TTPs.
  • Su profesionalización y modularidad lo posiciona como un actor APT híbrido, capaz de ejecutar campañas con fines financieros inmediatos (ransomware/criptojacking) y objetivos más estratégicos (exfiltración de información sensible).

Consecuencia: Incremento en el riesgo de campañas dirigidas a infraestructuras críticas (financieras, energéticas, gubernamentales), lo que eleva la amenaza de ataques con impacto nacional o regional.

Origen y motivación

EncryptHub tiene su origen en la evolución de un grupo de cibercriminales de habla rusa que, inicialmente, se centraban en la distribución de loaders y campañas de phishing, pero que con el tiempo consolidaron una infraestructura más compleja para operar como un ecosistema multifuncional de ciberdelincuencia; su motivación principal es económica, enfocada en la monetización a través del robo de credenciales, criptomonedas, exfiltración de datos corporativos sensibles y despliegue de ransomware, combinada con un interés estratégico en mantener control persistente sobre las redes comprometidas, lo que les permite no solo generar ingresos inmediatos mediante extorsión o venta de accesos en foros clandestinos, sino también sostener una reputación dentro del cibercrimen organizado como proveedores de herramientas avanzadas y confiables para otros actores maliciosos.

Obtenido de «https://darfe.es/ciberwiki/index.php?title=EncryptHub&oldid=2540»