MSSP español dirigido por BitPaymer Ransomware


Descubrimiento inicial

Esta semana llegó la noticia de que varias compañías en España fueron golpeadas por un ataque de ransomware. Los ataques de ransomware en sí no son nuevos, pero, al interactuar con uno de los casos en España, queremos resaltar en este web site qué tan bien preparado y dirigido puede ser un ataque y cómo parece estar personalizado específicamente contra sus víctimas.

En normal, los ataques de ransomware son ataques masivos en los que los adversarios intentan infectar a muchas víctimas al mismo tiempo y cobran rápidamente. Sin embargo, esto ha cambiado significativamente en los últimos dos años, donde cada vez más ataques de ransomware apuntan a objetivos de alto valor en todo tipo de sectores.

Las víctimas se infectan con un tipo diferente de malware antes de que ocurra el ataque authentic del ransomware. Parece que los adversarios están utilizando la foundation de infección para seleccionar o comprar las víctimas más prometedoras para una mayor explotación y ransomware, de manera equivalent a cómo se está utilizando la venta de acceso a escritorio remoto en foros subterráneos o canales privados de Telegram para la selección de víctimas para ransomware ataques

En los siguientes párrafos, lo guiaremos paso a paso a través del modus operandi de las etapas de ataque y las técnicas más importantes utilizadas y mapeadas en el marco MITER ATT & CK.

Las técnicas generales observadas en la campaña y la visualización del flujo:

Análisis técnico

La campaña general es bien conocida en la industria y el equipo detrás de ella regresó a la escena reutilizando algunos de los TTP observados hace un año y agregando nuevos como: escalada de privilegios, movimiento lateral y reconocimiento interno.

Paciente – Compromiso T1189 Generate-by

El punto de entrada para este tipo de campañas comienza con una URL que señala al usuario a un sitio world wide web falso (en caso de que el sitio world-wide-web esté comprometido) o una página legítima (en caso de que decidan usar un servicio de pago por instalación) utilizando ingeniería social tecnicas se engaña al usuario para que descargue la aplicación deseada que utilizará marcos como Empire o un software package equivalent para descargar e instalar malware de la siguiente etapa, que en este caso es Dridex.

Primera infección – Proxy de conexión T1090

Estos tipos de ataques no se limitan a un tipo de malware lo hemos observado siendo utilizado por:

Actualmente no está claro por qué uno seleccionaría una familia de malware sobre la otra, pero estas herramientas permiten el acceso remoto a la purple de la víctima. Este acceso puede ser utilizado por el actor como plataforma de lanzamiento para explotar aún más la purple de la víctima con malware adicional, marcos posteriores a la explotación o el acceso se puede vender en línea.

Desde hace bastante tiempo, el comportamiento de Dridex ha cambiado de su forma initial. Menos instalaciones de Dridex están vinculadas al robo de información bancaria y más infecciones de Dridex se están convirtiendo en un precursor de un ataque de ransomware dirigido.

Este cambio o adaptación es algo que también hemos observado con otras familias de malware.

Para esta campaña, la botnet Dridex utilizada fue 199:

Recolección de información: volcado de credenciales T1003

A partir de la infección, se infectan una o varias máquinas, y el siguiente paso es recopilar tantas credenciales como sea posible para realizar el movimiento lateral. Observamos el uso de Mimikatz para recopilar credenciales (privilegiadas) y reutilizarlas internamente para ejecutar computer software adicional en los servidores de Lively Listing u otras máquinas dentro de la red.

El uso de Mimikatz es bastante popular, ya que se ha observado en el modus operandi de más de 20 actores de amenazas diferentes.

Movimiento lateral – T1086 PowerShell

El uso de PowerShell ayuda a los atacantes a automatizar ciertas cosas una vez que están en una red. En este caso, observamos cómo se usaba Empire para diferentes scripts de PowerShell de proxy de calcetín para girar dentro de la red:

Al extraer información sobre la IP encontrada en la investigación, observamos que se compartió la infraestructura de los paneles Dridex C2 y este calcetín proxy.

PowerShell también se usó para encontrar carpetas específicas dentro de los sistemas infectados:

Una razón para que un atacante use un marco basado en PowerShell como Empire es el uso de diferentes módulos, como invoke-psexec o invoke-mimikatz, que pueden ejecutar procesos remotos en otros sistemas u obtener credenciales de cualquiera de los sistemas donde puede ejecuta Mimikatz. Cuando se implementan correctamente, estos módulos pueden aumentar significativamente la velocidad de explotación.

Una vez que los atacantes recopilaron suficientes cuentas con privilegios elevados y obtuvieron un management completo sobre el Directorio Activo, distribuirían y ejecutarían ransomware en la purple completa como el siguiente paso de su ataque, en este caso BitPaymer.

Detonación de ransomware: datos T1486 cifrados para impacto

BitPaymer parecía ser el objetivo closing de este ataque. Los actores detrás de BitPaymer invierten tiempo para conocer a sus víctimas y crean un binario personalizado para cada uno que incluye el nombre leet-speek de la víctima como la extensión del archivo para los archivos cifrados, es decir, «finanzas».«.

En la nota de ransomware, también observamos el uso del nombre de la compañía:

Observaciones

  • Uno de los servidores proxy remotos utilizados en la operación comparte la misma infraestructura que uno de los paneles C2 utilizados por Dridex.
  • Observamos cómo una infección de Dridex sirvió como punto de inicio para un compromiso extenso y la infección de ransomware BitPaymer.
  • Cada binario de Bitpaymer está especialmente preparado para cada objetivo, incluido el nombre de la extensión y el uso del nombre de la compañía en la nota de ransomware.
  • Ciertas ID de botnet de Dridex se ven en combinación con infecciones dirigidas de BitPaymer.
  • Las empresas no deben ignorar los indicadores de actividad de malware como Dridex, Azorult o NetSupport podrían ser un primer indicador de otra actividad maliciosa a seguir.
  • Todavía no está claro cómo el enlace de actualización falsa llegó a los usuarios, pero en operaciones similares, las campañas de SPAM probablemente se utilizaron para entregar la primera etapa.

Cobertura de McAfee

En función de los indicadores de compromiso encontrados, los detectamos con éxito con las siguientes firmas:

  • RDN / Generic.hbg
  • Trojan-FRGC! 7618CB3013C3
  • RDN / Generic.dx

Las IP C2 están etiquetadas como maliciosas en nuestro GTI.

McAfee ATD Sandbox Detonation

Highly developed Danger Detection (ATD) es un dispositivo especializado que identifica amenazas sofisticadas y difíciles de detectar ejecutando malware sospechoso en un espacio aislado, analizando su comportamiento y evaluando el impacto que puede tener en un punto closing y en una red.

Para este caso específico, el sandbox ATD muestra la actividad de Bitpaymer en un sistema:

Observamos el uso de icacls y takeown para cambiar los permisos dentro del sistema y las técnicas de vivir de la tierra son comúnmente utilizadas por diferentes tipos de malware.

ATD Sandbox extrajo firmas de comportamiento observando la detonación de Bitpaymer en el entorno aislado:

Tener la oportunidad de detonar malware en este entorno podría proporcionar indicadores sobre los tipos de amenazas y sus capacidades.

McAfee Genuine Shield

Análisis de las muestras obtenidas. de esta campaña habría sido detectado por Real Shield. Serious Shield está diseñado para detectar malware de día cero en tiempo casi true clasificándolo en función del comportamiento y el análisis estático. Authentic Guard utiliza el aprendizaje automático para automatizar la clasificación y es una huella de cliente pequeño sin firma, a la vez que admite el modo fuera de línea y el modo de clasificación en línea. Actual Shield mejora la detección hasta en un 30% además de las detecciones .DAT y McAfee Global Danger Intelligence, al tiempo que make inteligencia de amenazas procesable.

REGLA DE YARA

Tenemos una regla de YARA disponible en nuestro Repositorio ATR GitHub para detectar algunas de las versiones del ransomware BitPaymer.

COI

Un agradecimiento especial a John Fokker y Christiaan Beek por su ayuda con este site.





Source hyperlink