McAfee ATR analiza Sodinokibi, también conocido como REvil Ransomware-as-a-Service – Crescendo


Episodio 4: Crescendo

Esta es la última entrega del análisis de McAfee Advanced Threat Research (ATR) de Sodinokibi y sus conexiones con GandGrab, la campaña más prolífica de Ransomware como servicio (RaaS) de 2018 y mediados de 2019.

En este episodio final de nuestra serie, ampliaremos las operaciones, técnicas y herramientas utilizadas por diferentes grupos afiliados que propagan el ransomware Sodinokibi.

Desde mayo, hemos observado varios modos diferentes de diferentes afiliados, por ejemplo:

  • Distribuir el ransomware utilizando phishing y documentos armados
  • Bat-files descargando cargas útiles de Pastebin e inyectándolas en un proceso en el sistema operativo
  • Compromiso de RDP y uso de archivos de script y herramientas para descifrar contraseñas para distribuir a través de la red de la víctima
  • Compromiso de los proveedores de servicios gestionados y uso de su software de distribución para difundir el ransomware

Para comprender más sobre cómo opera este enemigo, en McAfee Advanced Threat Research (ATR) decidimos operar una red global de honeypots. Éramos conscientes de lo animado mercado de comercio subterráneo de credenciales RDP y tenían curiosidad sobre lo que alguien haría con una máquina comprometida. ¿Distribuirían el ransomware Sodinokibi? ¿Ejecutarían las hazañas DejaBlue o BlueKeep? Nuestros honeypots RDP especialmente diseñados y construidos nos darían esas ideas.

Como las polillas a la llama

Desde junio hasta septiembre de 2019, observamos que varios grupos comprometen nuestras ollas de miel y realizan actividades relacionadas con Sodinokibi; pudimos monitorear completamente a los atacantes y sus acciones sin su conocimiento.

Es importante tener en cuenta la regla de oro bajo la cual operamos: en el momento en que se prepararon acciones criminales o estaban a punto de ejecutarse, el actor se desconectaría y la máquina se restablecería a su configuración original con una nueva dirección IP.

Notamos que algunos de nuestros servidores honeypot RDP fueron atacados por actores de habla persa que estaban cosechando credenciales activamente. Nuestro análisis de estos ataques nos condujo a varios canales subterráneos persas que ofrecen las mismas herramientas que observamos aparecer en las intrusiones de Sodinokibi. Algunas de estas herramientas son de código cerrado y personalizadas, y se originan dentro de los canales en nuestro análisis.

En este blog destacaremos algunas de las intrusiones que observamos.

Grupo 1: ID de afiliado desconocido

McAfee ATR observó que la actividad inicial contra nuestra olla de miel sudamericana comenzó a fines de mayo de 2019. Tuvimos plena visibilidad cuando el actor cargó una serie de herramientas, incluida Sodinokibi, durante el período de intrusión inicial.

La siguiente nota de rescate (uax291-readme.txt) se dejó caer en el sistema el 10 de junioth, 2019. El actor utilizó Masscan y NLBrute para escanear y apuntar a otros activos a través de RDP, lo que se ajusta al comportamiento que hemos visto en todas las demás intrusiones de Sodinokibi rastreadas por McAfee ATR. Luego, el actor creó una cuenta de usuario "copia de seguridad" y procedió a conectarse constantemente desde un rango de direcciones IP en Belgrado, Serbia.

Grupo 2 – ID de afiliado 34

Campaña 295 (basada en ID secundaria en la configuración de malware)

La siguiente variante de Sodinokibi apareció en nuestra olla de miel sudamericana con el nombre de archivo original de H.a.n.n.a.exe.

  • 8d7d333574708c2fe5c37fad1bdfbc5a9664b33d (8 de junioth2019)

Extrayendo la configuración de la muestra de ransomware tal como lo realizamos durante nuestro investigación de afiliados, el ID de afiliado es nr 34.

Tras la intrusión inicial, el actor creó varias cuentas de usuario en el sistema objetivo entre el 10 de junioth y el 11 de junioth. El malware Sodinokibi y la herramienta de obtención de credenciales Mimikatz se ejecutaron bajo la cuenta de usuario "ibm" que el actor creó como parte de la entrada al sistema.

Más información reveló que el actor se estaba conectando desde dos direcciones IP en Polonia y Finlandia a través de la cuenta "ibm". Estos inicios de sesión se originaron en estos países en un período de 24 horas entre el 10 de julio.th y 11th con los siguientes dos nombres únicos de máquina WIN-S5N2M6EGS5J y TS11. Se observó que el nombre de la máquina WIN-S5N2M6EGS5J fue utilizado por otro actor que creó la cuenta "asp" y se originó en la misma dirección IP polaca.

El actor desplegó una variante de la cosechadora de credenciales Mimikatz durante la intrusión, con el siguiente archivo BAT personalizado:

Hemos visto un uso constante de varios archivos personalizados utilizados para interactuar con herramientas de piratería que se comparten entre las comunidades clandestinas.

Otra herramienta, conocida como Everything.exe, también se ejecutó durante el mismo período. Esta herramienta se utilizó para indexar todo el sistema de archivos y lo que estaba en el sistema de destino. Esta herramienta no se considera maliciosa y fue desarrollada por una empresa legítima, pero se puede utilizar con fines de creación de perfiles. El uso de herramientas de reconocimiento para perfilar la máquina es interesante, ya que indica posibles intentos de movimiento lateral manual por parte del actor en el sistema de destino.

20 de julioth a 30th Intrusión

La actividad observada durante este período utilizó herramientas similares a las utilizadas en otras intrusiones que hemos observado en múltiples regiones, incluidas las de ID de afiliado 34.

En esta actividad, McAfee ATR identificó que NLBrute se ejecuta nuevamente para atacar a las víctimas sobre RDP; un patrón que hemos visto una y otra vez en intrusiones que involucran a Sodinokibi. Se observó una serie de inicios de sesión de Irán entre el 25 de julioth y el 30 de julioth2019.

También hemos visto aplicaciones de minería de criptomonedas implementadas en la mayoría de las intrusiones que involucran a Sodinokibi, lo que puede sugerir alguna actividad secundaria interesante para estos grupos. En este incidente descubrimos un archivo de configuración de puerta de minero con una dirección de Gmail.

Utilizando técnicas de investigación de Inteligencia de código abierto (OSINT), identificamos a un individuo que probablemente esté vinculado a la dirección de Gmail descubierta. Según nuestro análisis, es probable que esta persona forme parte de un equipo de descifrado de credenciales de habla persa que cosecha credenciales RDP y otros tipos de datos. El individuo está compartiendo información relacionada con los resultados de escaneo de Masscan y Kport para países específicos que pueden usarse para operaciones de fuerza bruta.

PERFIL DE ACTOR

Además, observamos a este actor en un canal de Telegram discutiendo operaciones que se alinean con el comportamiento que observamos durante las intrusiones en nuestra olla de miel. Los datos compartidos parecen ser el resultado de herramientas como Masscan o Kport-scan que se utilizarían para comprometer más activos.

DISCUSIÓN DE ESCANEO EN FARSI, EN CANAL PRIVADO

Se descubrió que otras herramientas se ejecutaron el mismo día que la actividad documentada incluyen:

Se ejecutó manualmente desde la línea de comando con los siguientes parámetros:

mimikatz.exe “privilegio :: depuración” “sekurlsa :: logonPasswords full” “salir”

Grupo 3 – ID de afiliado 19

Observamos las siguientes variantes de rescate de Sodinokibi atribuidas a este afiliado que aparecen en la olla de miel en el Medio Oriente. El atacante descargó un archivo, ابزار کرک. Zip, que se puede encontrar principalmente en canales privados en idioma farsi. La herramienta es básicamente un VPS Checker (realmente un cracker RDP) como se discutió en los canales subterráneos.

Campaña 36

Actividad del 3 de juniord a 26th indica que el atacante presente en el sistema estaba realizando operaciones relacionadas con el ransomware Sodinokibi. Al vincular la actividad, observamos una herramienta notable que el actor había utilizado durante la operación.

"Hidden-User.bat" fue diseñado para crear usuarios ocultos en el sistema de destino. Esta herramienta se vincula con alguna distribución subterránea en canales privados de habla farsi.

El archivo que se comparte es idéntico al que encontramos utilizado activamente en el caso Sodinokibi en diferentes instancias en junio de 2019, en diferentes ciudades de Medio Oriente. Encontramos que los siguientes usuarios que hablan farsi comparten y discuten esta herramienta específicamente (Cryptor007 y MR Amir), y otros activos en estos grupos. McAfee ATR observó que esta herramienta se usaba el 13 de junioth, 2019 y 26 de junioth, 2019 por los mismos actores en diferentes regiones.

HIDDEN-USER.bat

IMAGEN PUBLICADA DE LA HERRAMIENTA EN USO

Estas variantes de Sodinokibi están apareciendo estrictamente en Israel a partir de nuestras observaciones:

  • a3769a6748ba5d8023bcb161a5274e24d419bd36 (3 de juniord2019)
  • bbabc23525b3852d463ef17ba7b8a2cab831e2b9 (11 de junioth2019)

Observamos al actor dejar caer una de las variantes de Sodinokibi mencionadas anteriormente. En este caso, el inicio de sesión provino de una dirección IP originaria de Irán y con una máquina con un nombre persa femenino.

Los atacantes que se conectan probablemente hablan Farsi, como lo demuestra el historial de navegación descubierto por McAfee ATR, que indica de dónde provienen varias de las herramientas utilizadas, incluidos los sitios de intercambio de archivos de idioma Farsi, como Picofile.com y Soft98.ir , que contienen herramientas maliciosas como NLBrute, etc.

SITIO DE IDIOMAS FARSI ENCONTRADO EN LA HISTORIA DE NAVEGACIÓN

Observamos que el actor intentaba ejecutar un ataque de fuerza bruta RDP usando NLBrute descargado del sitio iraní Picofile.com. El objetivo era varios bloques de red en Omán y los Emiratos Árabes Unidos en el Medio Oriente.

En nuestro análisis descubrimos una oferta para instalar ransomware en servidores publicados en Farsi hablando el 19 de agostoth,. Esta fecha de publicación corresponde con el momento de los ataques observados en el Medio Oriente. Los servicios mencionados están dirigidos específicamente a servidores que se han obtenido a través de campañas de robo de credenciales RDP. Es posible que estos actores entren después del hecho e instalen ransomware en nombre del organizador principal, según la charla de actores. Un mensaje específico en idioma farsi indica estos servicios para una lista de países donde podrían instalar ransomware para el cliente potencial.

MENSAJE DE IDIOMA FARSI DEL CANAL DE IDIOMA PERSA

Herramientas y métodos del grupo 1

Los operadores responsables de las intrusiones que involucran variantes de Sodinokibi con una identificación de afiliado desconocida utilizan una variedad de métodos:

  • Intrusiones iniciales realizadas sobre el protocolo RDP
  • Usando Masscan para identificar víctimas potenciales
  • Ejecutar NLBrute con listas de contraseñas personalizadas

Herramientas y métodos del grupo 2

Los operadores responsables de las intrusiones que involucran variantes de Sodinokibi con PID 34 utilizan una variedad de métodos:

  • Intrusión a través del protocolo RDP
  • Ejecución manual de etapas posteriores de la operación.
  • Despliegue de Sodinokibi
  • Despliegue de Mimikatz
  • Utilización de minería CryptoCurrency
  • Despliegue de otras herramientas de fuerza bruta y corrector
  • Ejecución de escaneos masivos de puertos y otras actividades de reconocimiento para identificar objetivos potenciales
  • Ejecutar NLBrute con listas de contraseñas personalizadas
  • Algunos de los operadores aparecen escritos en farsi y se originan en el espacio de direcciones IP iraníes cuando se conectan a objetivos observados

Herramientas y métodos del grupo 3

Los operadores responsables de las intrusiones que involucran variantes de Sodinokibi con PID 19 utilizan una variedad de métodos:

  • Intrusión a través del protocolo RDP
  • Ejecución manual de etapas posteriores de la operación.
  • Probablemente un equipo de craqueo trabajando en nombre de un afiliado
  • Despliegue de Sodinokibi
  • Scripts personalizados para borrar registros y crear usuarios ocultos
  • Uso de Neshta para escanear recursos compartidos de red internos dentro de una organización en un esfuerzo por difundir Sodinokibi
  • Ejecución de escaneos masivos de puertos y otras actividades de reconocimiento para identificar objetivos potenciales
  • Uso limitado de exploits locales para obtener acceso administrativo
  • Ejecutar NLBrute con listas de contraseñas personalizadas
  • Algunos de los operadores parecen escribir en farsi y se originan en el espacio de direcciones IP iraníes cuando se conectan a objetivos observados

Conclusión

En nuestra serie de blogs sobre Sodinokibi, comenzamos analizando el código y nos hicimos la pregunta "¿Por qué persa?" Con la información recuperada de nuestras investigaciones de honeypot, podría darnos una hipótesis de que el idioma persa está presente debido a la participación de afiliados de habla persa. El tiempo y la evidencia lo dirán.

Observamos que muchos afiliados utilizan diferentes conjuntos de herramientas y habilidades para obtener ganancias y, a lo largo de la serie, destacamos diferentes aspectos de esta operación masiva en curso.

Para proteger su organización contra Sodinokibi, asegúrese de que su defensa esté en capas. Como se demostró, los actores a los que nos enfrentamos compran, hacen fuerza bruta o hacen phishing a su empresa o usan un tercero de confianza que tiene acceso a su red. Algunos pautas para que las organizaciones se protejan incluyen el uso de sandboxing, copia de seguridad de datos, educación de sus usuarios y restricción de acceso.

Mientras admitamos el modelo de ransomware, el ransomware existirá como lo ha sido durante los últimos cuatro años. No podemos luchar solos contra el ransomware y tenemos que unirnos como partes públicas y privadas. McAfee es uno de los socios fundadores de NoMoreRansom.org y está apoyando a las agencias de aplicación de la ley de todo el mundo en la lucha contra el ransomware.

Esperamos que hayas disfrutado leyendo esta serie de blogs sobre Sodinokibi.





Enlace a la noticia original