Descubrimiento inicial
Esta semana llegó la noticia de que varias compañías en España fueron golpeadas por un ataque de ransomware. Los ataques de ransomware en sí mismos no son nuevos, pero, al interactuar con uno de los casos en España, queremos resaltar en este blog qué tan bien preparado y dirigido puede ser un ataque y cómo parece estar personalizado específicamente contra sus víctimas.
En general, los ataques de ransomware son ataques masivos en los que los adversarios intentan infectar a muchas víctimas al mismo tiempo y cobran rápidamente. Sin embargo, esto ha cambiado significativamente en los últimos dos años, donde más y más ataques de ransomware están apuntando a objetivos de alto valor en todo tipo de sectores.
Las víctimas se infectan con un tipo diferente de malware antes de que se produzca el ataque real del ransomware. Parece que los adversarios están utilizando la base de infección para seleccionar o comprar las víctimas más prometedoras para una mayor explotación y ransomware, de manera similar a cómo se está utilizando la venta de acceso a escritorio remoto en foros subterráneos o canales privados de Telegram para la selección de víctimas para ransomware ataques
En los siguientes párrafos, lo guiaremos paso a paso a través del modus operandi de las etapas de ataque y las técnicas más importantes utilizadas y mapeadas contra el Marco MITER ATT & CK.
Las técnicas generales observadas en la campaña y la visualización del flujo:
Análisis técnico
La campaña general es bien conocida en la industria y el equipo detrás de ella regresó a la escena reutilizando algunos de los TTP observados hace un año y agregando otros nuevos como: escalada de privilegios, movimiento lateral y reconocimiento interno.
Paciente 0 – Compromiso T1189 Drive-by
El punto de entrada para este tipo de campañas comienza con una URL que señala al usuario a un sitio web falso (en caso de que el sitio web esté comprometido) o una página legítima (en caso de que decidan usar un servicio de pago por instalación) utilizando ingeniería social tecnicas; se engaña al usuario para que descargue la aplicación deseada que utilizará marcos como Empire o un software similar para descargar e instalar el malware de la siguiente etapa, que en este caso es Dridex.
Primera infección: Proxy de conexión T1090
Estos tipos de ataques no se limitan a un tipo de malware; lo hemos observado siendo utilizado por:
Actualmente no está claro por qué uno seleccionaría una familia de malware por encima de la otra, pero estas herramientas permiten el acceso remoto a la red de la víctima. Este acceso puede ser utilizado por el actor como plataforma de lanzamiento para explotar aún más la red de la víctima con malware adicional, marcos posteriores a la explotación o el acceso se puede vender en línea.
Desde hace bastante tiempo, el comportamiento de Dridex ha cambiado de su forma original. Menos instalaciones de Dridex están vinculadas al robo de información bancaria y más infecciones de Dridex se están convirtiendo en un precursor de un ataque de ransomware dirigido.
Este cambio o adaptación es algo que también hemos observado con otras familias de malware.
Para esta campaña, la botnet Dridex utilizada fue 199:
Recolección de información: volcado de credenciales T1003
A partir de la infección, se infectan una o varias máquinas, y el siguiente paso es recopilar tantas credenciales como sea posible para realizar el movimiento lateral. Observamos el uso de Mimikatz para recopilar credenciales (de alto privilegio) y reutilizarlas internamente para ejecutar software adicional en los servidores de Active Directory u otras máquinas dentro de la red.
El uso de Mimikatz es bastante popular, ya que se ha observado en el modus operandi de más de 20 actores de amenazas diferentes.
Movimiento lateral – T1086 PowerShell
El uso de PowerShell ayuda a los atacantes a automatizar ciertas cosas una vez que están en una red. En este caso, observamos cómo se utilizó Empire para diferentes scripts de PowerShell de proxy de calcetín para pivotar dentro de la red:
Al extraer información sobre la IP encontrada en la investigación, observamos que se compartió la infraestructura para los paneles Dridex C2 y este calcetín proxy.
PowerShell también se usó para encontrar carpetas específicas dentro de los sistemas infectados:
Una razón para que un atacante use un marco basado en PowerShell como Empire, es el uso de diferentes módulos, como invoke-psexec o invoke-mimikatz, que pueden ejecutar procesos remotos en otros sistemas u obtener credenciales de cualquiera de los sistemas donde puede ejecuta Mimikatz. Cuando se implementan correctamente, estos módulos pueden aumentar significativamente la velocidad de explotación.
Una vez que los atacantes recopilaron suficientes cuentas con privilegios altos y obtuvieron un control completo sobre el Active Directory, distribuirían y ejecutarían ransomware en la red completa como el siguiente paso de su ataque, en este caso BitPaymer.
Detonación de ransomware: datos T1486 cifrados para impacto
BitPaymer parecía ser el objetivo final de este ataque. Los actores detrás de BitPaymer invierten tiempo para conocer a sus víctimas y crean un binario personalizado para cada uno que incluye el nombre leet-speek de la víctima como la extensión del archivo para los archivos cifrados, es decir, "finanzas".
En la nota de ransomware, también observamos el uso del nombre de la compañía:
Observaciones
- Uno de los servidores proxy remotos utilizados en la operación comparte la misma infraestructura que uno de los paneles C2 utilizados por Dridex.
- Observamos cómo una infección de Dridex sirvió como punto de partida para un compromiso extenso y la infección de ransomware BitPaymer.
- Cada binario de Bitpaymer está especialmente preparado para cada objetivo, incluido el nombre de la extensión y el uso del nombre de la compañía en la nota de ransomware.
- Ciertas ID de botnet de Dridex se ven en combinación con infecciones dirigidas de BitPaymer.
- Las empresas no deben ignorar los indicadores de actividad de malware como Dridex, Azorult o NetSupport; podrían ser un primer indicador de otra actividad maliciosa a seguir.
- Todavía no está claro cómo el enlace de actualización falsa llegó a los usuarios, pero en operaciones similares, las campañas de SPAM probablemente se utilizaron para entregar la primera etapa.
Cobertura de McAfee
En función de los indicadores de compromiso encontrados, los detectamos con éxito con las siguientes firmas:
- RDN / Generic.hbg
- Trojan-FRGC! 7618CB3013C3
- RDN / Generic.dx
Las IP C2 están etiquetadas como maliciosas en nuestro GTI.
McAfee ATD Sandbox Detonation
Advanced Threat Detection (ATD) es un dispositivo especializado que identifica amenazas sofisticadas y difíciles de detectar al ejecutar malware sospechoso en un espacio aislado, analizar su comportamiento y evaluar el impacto que puede tener en un punto final y en una red.
Para este caso específico, el sandbox ATD muestra la actividad de Bitpaymer en un sistema:
Observamos el uso de icacls y takeown para cambiar los permisos dentro del sistema y las técnicas de vivir de la tierra son comúnmente utilizadas por diferentes tipos de malware.
ATD Sandbox extrajo firmas de comportamiento observando la detonación de Bitpaymer en el entorno aislado:
Tener la oportunidad de detonar malware en este entorno podría proporcionar indicadores sobre los tipos de amenazas y sus capacidades.
McAfee Real Protect
Análisis de las muestras obtenidas. de esta campaña habría sido detectado por Real Protect. Real Protect está diseñado para detectar malware de día cero en tiempo casi real clasificándolo en función del comportamiento y el análisis estático. Real Protect utiliza el aprendizaje automático para automatizar la clasificación y es una huella de cliente pequeño sin firma, al tiempo que admite el modo fuera de línea y el modo de clasificación en línea. Real Protect mejora la detección hasta en un 30% además de las detecciones .DAT y McAfee Global Threat Intelligence, al tiempo que produce inteligencia de amenazas procesable.
REGLA DE YARA
Tenemos una regla de YARA disponible en nuestro Repositorio ATR GitHub para detectar algunas de las versiones del ransomware BitPaymer.
COI
- 3ab42ca8ce81f9df0c4f7cd807528c5dd0fb5108
- 4862fbb188285586218cd96e69a2e4436827d2fe
- c1ad6c3ab06fc527c048cd15c6fc701b5a74a900
- 1d778359ab155cb190b9f2a7086c3bcb4082aa195ff8f754dae2d665fd20aa05
- 628c181e6b9797d8356e43066ae182a45e6c37dbee28d9093df8f0825c342d4c
- bd327754f879ff15b48fc86c741c4f546b9bbae5c1a5ac4c095df05df696ec4f
- 0f630aaf8b5c4e958445ec0c2d5ec47e
- 9b982fa4b42813279426449ddd6a1dbe
- c46ad4159c90bc11d6d94a28458553d7
Un agradecimiento especial a John Fokker y Christiaan Beek por su ayuda con este blog.
