Lazarus Group cambia de marcha con ransomware personalizado


El grupo APT vinculado a Corea del Norte ha desarrollado su propia variedad de ransomware para conducir mejor el robo financiero, informan investigadores.

Lazarus Group, un destacado grupo de amenazas persistentes avanzadas (APT) vinculado a Corea del Norte, está detrás de una cepa poco conocida de ransomware utilizada en ataques a principios de este año. Su creación y distribución de ransomware VHD indica un cambio en la estrategia, informan investigadores que lo han estado observando.

El ransomware VHD se aprovechó en ataques contra dos organizaciones en marzo y abril de 2020, informan investigadores de Kaspersky. Las víctimas, una ubicada en Francia y otra en Asia, son grandes empresas en diferentes sectores de la industria. Este ransomware fue el variable principal que los unió, y los analistas notaron algunos rasgos que los llevaron a la atribución del Grupo Lazarus.

El malware en sí «no se destaca de lo común», dice Ivan Kwiatkowski, investigador senior de seguridad de Kaspersky. «Durante nuestro primer encuentro con él, sentimos que definitivamente era reciente y carecía de madurez».

En una descripción de este primer ataque, los investigadores dicen que VHD está escrito en C ++ y rastrea discos conectados para cifrar archivos y eliminar carpetas llamadas Información de volumen del sistema, que están vinculadas a la función de punto de restauración de Home windows. El malware detiene procesos que podrían bloquear archivos importantes, como Microsoft Trade y SQL Server. La forma en que los operadores implementaron la criptografía es «muy poco ortodoxa y no de vanguardia», aunque no es rompible, explica Kwiatkowski.

Lo que les recordó a las campañas de APT en este incidente fue el uso de una utilidad de difusión que codifica las credenciales de las víctimas. Esto propagó el ransomware dentro de la crimson y mantuvo credenciales administrativas y direcciones IP específicas de la víctima. La utilidad utilizó estas credenciales para forzar el servicio del Bloque de mensajes del servidor (SMB) en cada máquina que encontró cuando se realizó una conexión, VHD se copió y ejecutó a través de llamadas WMI.

«Esto no es un TTP (tácticas, técnicas y procedimientos) que generalmente observamos con los actores de amenazas de delitos cibernéticos que generalmente se basan en técnicas de prueba de lápiz para ir directamente después de la infraestructura de Active Directory de la víctima y lograr el handle complete sobre la crimson», agrega Kwiatkowski. Esta técnica recordó a los investigadores las campañas de APT SonySPE, Shamoon y OlympicDestroyer, todos limpiadores con capacidades de desparasitación.

El ataque no se ajustaba al patrón de las campañas tradicionales de ransomware. Los investigadores encontraron que el VHD no estaba muy extendido y solo encontraron algunas muestras en su telemetría y algunas referencias públicas. Esto indica que no se comercializa en foros de mercado, que generalmente es cómo se monetiza.

Poco después, el Equipo de Respuesta a Incidentes de Kaspersky manejó otro ataque que involucra VHD. Creen que los atacantes explotaron una puerta de enlace VPN vulnerable para obtener acceso a partir de ahí, obtuvieron privilegios administrativos, implementaron una puerta trasera y se hicieron cargo del servidor de Lively Directory. Esto les permitió implementar VHD en todas las máquinas de la purple en el transcurso de 10 horas.

Este ataque no empleó una utilidad de propagación, sino que implementó VHD a través de un descargador que todavía se cree que está en desarrollo. «Con toda probabilidad, los atacantes sintieron que había controlado una porción lo suficientemente grande de la crimson de la víctima y que no necesitaban recurrir a métodos tan ruidosos para distribuir el ransomware a todas las máquinas de las víctimas», dice Kwiatkowski.

La puerta trasera es una instancia de un marco multiplataforma denominado MATA. Hasta donde los investigadores saben, Lazarus Team es el único propietario de MATA, lo que lleva a su atribución como propietario y operador del ransomware VHD. No creen que VHD esté en uso entre otros grupos criminales.

Sin embargo, ha habido otras menciones públicas de ransomware VHD en weblogs especializados, lo que indica que ha habido otros ataques que desconocen. El papel de Lazarus Team como único propietario y distribuidor de VHD indica que puede estar experimentando con nuevas tácticas.

Un cambio de estrategia
El Grupo Lazarus siempre se ha centrado en las ganancias financieras, pero tradicionalmente ha estado involucrado con la banca y el fraude dirigido a la red financiera SWIFT, dice Kwiatkowski. Si bien las motivaciones del grupo no han cambiado, sospecha que las noticias sobre ransomware dirigido han recordado a los atacantes lo lucrativos que pueden ser estos ataques.

Su movimiento para crear e implementar ransomware personalizado está en desacuerdo con lo que los investigadores saben sobre el ecosistema de ransomware, que generalmente involucra a varios grupos independientes sin enlaces además de sus conexiones comerciales. El grupo detrás de una intrusión inicial generalmente no es el mismo grupo que comprometió el servidor de Active Directory de una víctima, que no es el grupo que escribió el código de ransomware utilizado en un ataque, investigadores de Kaspersky decir en una publicación de website.

En estos ataques, el Grupo Lazarus también ha evitado pasos comunes en los ataques de ransomware: sus atacantes no parecen estar buscando copias de seguridad, no están buscando documentos financieros para establecer un precio de rescate adecuado y no están amenazando con filtrarse información interna

Si bien no hay una razón clara de por qué Lazarus Group se va solo, los investigadores predicen que está tratando de aumentar las ganancias financieras. Es obvio, dicen, que el grupo no podrá igualar la eficiencia de los demás.

«Presumimos que Lazarus está tratando de manejar todos estos roles por sí mismo, porque es su forma percibida de cortar intermediarios y maximizar las ganancias», dice Kwiatkowski. «Analizaremos de cerca los incidentes futuros, ya que indicará si esta estrategia dio resultado».

Contenido relacionado:

Regístrese ahora para el Black Hat Usa totalmente digital de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Kelly Sheridan es la Editora de private de Dark Looking through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente informó para InformationWeek, donde cubrió Microsoft, y Insurance policies & Technological innovation, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia unique