Tome un "NetWalk" en el lado salvaje


Resumen Ejecutivo

El ransomware NetWalker, inicialmente conocido como Mailto, se detectó por primera vez en agosto de 2019. Desde entonces, se descubrieron nuevas variantes a lo largo de 2019 y principios de 2020, con un fuerte repunte observado en marzo de este año.

NetWalker ha evolucionado notablemente hacia un modelo de ransomware-como-servicio (RaaS) más estable y robusto, y nuestra investigación sugiere que los operadores de malware están apuntando y atrayendo una gama más amplia de afiliados criminales emprendedores y técnicamente avanzados.

McAfee Advanced Threat Research (ATR) descubrió una gran suma de bitcoins vinculados a NetWalker que sugieren que sus esfuerzos de extorsión son efectivos y que muchas víctimas no han tenido otra opción que sucumbir a sus demandas criminales.

Abordamos nuestra investigación de NetWalker con algunas ideas posibles sobre el actor de la amenaza detrás de él, solo para luego refutar nuestra propia hipótesis. Creemos que la inclusión de nuestro pensamiento y los medios con los que desacreditamos nuestra propia teoría, resaltan la importancia de una investigación exhaustiva y agradecemos una mayor discusión sobre este tema. Creemos que comienza discusiones valiosas y ayuda a evitar esfuerzos duplicados de investigación por parte de otros. También alentamos a nuestros pares en la industria a compartir información con nosotros en caso de que tenga más evidencia.

McAfee protege a sus clientes contra el malware cubierto en este blog en todos sus productos, incluidos antivirus personal, punto final y puerta de enlace. Para obtener más información sobre cómo los productos McAfee pueden defenderse contra este tipo de ataques, visite nuestro blog sobre Creación de una arquitectura de seguridad adaptable contra NetWalker.

Eche un vistazo a McAfee Insights para estar al tanto de los últimos desarrollos e inteligencia de NetWalker sobre otras amenazas cibernéticas, todo curado por el equipo de McAfee ATR. No solo eso, Insights también lo ayudará a priorizar las amenazas, predecir si sus contramedidas funcionarán y prescribir acciones correctivas.

Introducción

Desde 2019, el ransomware NetWalker ha alcanzado una gran cantidad de objetivos diferentes, principalmente en países de Europa occidental y EE. UU. Desde finales de 2019, la pandilla NetWalker ha indicado una preferencia por organizaciones más grandes en lugar de individuos. Durante la pandemia de COVID-19, los adversarios detrás de NetWalker claramente establecido que los hospitales no serán atacados; queda por ver si cumplen con su palabra.

El ransomware agrega una extensión aleatoria a los archivos infectados y utiliza el cifrado Salsa20. Utiliza algunos trucos para evitar la detección, como una nueva técnica de evasión de defensa, conocida como carga reflectante de DLL, para inyectar un DLL de la memoria.

El colectivo NetWalker, al igual que aquellos detrás de Maze, REvil y otros ransomware, amenaza con publicar los datos de las víctimas si no se pagan los rescates.

Como se mencionó anteriormente, NetWalker RaaS prioriza la calidad sobre la cantidad y busca personas que hablen ruso y tengan experiencia con grandes redes. Se busca especialmente a las personas que ya tienen un punto de apoyo en la red de una víctima potencial y pueden extraer datos con facilidad. Esto no es sorprendente, teniendo en cuenta que publicar los datos de las víctimas es parte del modelo de NetWalker.

Las siguientes secciones están dedicadas a presentar el malware NetWalker y mostrar el estado de telemetría antes de pasar al análisis técnico de malware del comportamiento del ransomware. Explicaremos cómo funciona el descifrador y mostraremos algunas interacciones entre los operadores de NetWalker y sus víctimas. Después de esto, discutimos los cambios en el modus operandi desde septiembre de 2019, especialmente con respecto al comportamiento de pago. Luego mostramos nuestros intentos, infructuosos como fueron, de descubrir un vínculo entre NetWalker y las variantes de ransomware anteriores, aparentemente no relacionadas. Finalmente, ofrecemos una descripción general de los COI relacionados con NetWalker y sus técnicas MITER ATT & CK.

Telemetría

Usando los sensores Insights de McAfee, podemos mostrar la prevalencia global del ransomware NetWalker.

Figura 1. McAfee MVISION Insights muestra la prevalencia global del ransomware NetWalker

Análisis técnico

Nota de rescate (antes de marzo de 2020)

Antes de marzo de 2020, la nota de rescate de NetWalker indicaba cómo comunicarse directamente con el adversario utilizando servicios de cuenta de correo electrónico anónimos con nombres aleatorios (como kkeessnnkkaa@cock.li y hhaaxxhhaaxx@tuta.io):

Figura 2. Ejemplo de nota de rescate antes de marzo de 2020

Nota de rescate (después de marzo de 2020)

El 12 de marzo de 2020, un investigador compartió una captura de pantalla de una nueva nota de rescate de NetWalker en un Pío y podemos ver que los atacantes han cambiado el método de contacto significativamente. La comunicación por correo electrónico se ha interrumpido por completo con las víctimas que ahora deben contactar a través de la interfaz de NetWalker Tor donde, después de enviar su clave de usuario, serán redirigidas a un chat con el soporte técnico de NetWalker. Este cambio en el método de contacto coincide con publicaciones subterráneas en foros donde NetWalker reveló que estaba abriendo su RaaS para nuevos afiliados. La página Tor no fue el único cambio notable que destacaremos en este blog.

Figura 3. Ejemplo de nota de rescate después de marzo de 2020

Análisis de NetWalker

Figura 4. Comportamiento de NetWalker

Análisis de recursos de NetWalker (antes de marzo de 2020)

El malware NetWalker utiliza un tipo de recurso personalizado (1337 o 31337) que contiene toda su configuración. Este archivo se extrae en la memoria y se descifra utilizando el algoritmo RC4 con una clave codificada en el recurso.

Antes del 12 de marzo de 2020, NetWalker utilizó el proceso de contacto por correo electrónico entre su operación de soporte y las víctimas para proceder con el pago y enviar el programa de descifrado. Para hacer esto, NetWalker usó su archivo de configuración en el recurso para establecer su modo de cifrado, el nombre de la nota de rescate, etc., y los contactos de correo electrónico.

Nombre wwllww.exe
Talla 96256 bytes
Tipo de archivo exe
SHA 256 58e923ff158fb5aecd293b7a0e0d305296110b83c6e270786edcc4fea1c8404c
Tiempo de compilación 6 de diciembre de 2019

Figura 5. Recurso de NetWalker de wwllww.exe

Una vez descifrado, el archivo de configuración revela varios parámetros, lo que nos permite comprender cómo funciona (cómo constituye la nota de rescate, el número de subprocesos asignados para el cifrado, etc.):

mpk Llave pública
modo Modo de encriptación
thr Subprocesos asignados para el proceso de cifrado
spsz Fragmento de cifrado
namesz Longitud del nombre
idsz Longitud de identificación
crmask .mailto (correo electrónico). CARNÉ DE IDENTIDAD
correo Correo de contacto
archivo Nombre de la nota de rescate
prestar Nota de rescate codificada B64
blanco Lista blanca de cifrado
matar Procesos, tareas, nombres de servicio para terminar
desbloqueador Lista de exclusión de descifrado

Análisis de recursos de NetWalker (después de marzo de 2020)

Cuando Netwalker cambió su modo de contacto y cambió del correo electrónico al envío de la clave de usuario directamente en el portal web del blog del grupo, el archivo de configuración en el recurso también cambió. Encontramos cambios en el archivo de configuración, como la desaparición de los campos "mail" y "crmask" de contacto (previamente configurados como XXX @ cock.li, XXX @ tuta.io, etc., y .mailto (correo electrónico). CARNÉ DE IDENTIDAD). Este campo fue reemplazado por "onion1" y "onion2", y estos campos se configuran con la URL del blog NetWalker / página de pago (hxxp: // rnfdsgmdrqqd.onion/). También notamos que los desarrolladores de NetWalker complementaron su campo "desbloqueador" con algunos valores específicos (por ejemplo, "psexec.exe, sistema, forti * .exe, fmon.exe *, etc.").

Nombre cnt.ex
Talla 70656 bytes
Tipo de archivo exe
SHA 256 26dfa8512e892dc8397c4ccbbe10efbcf85029bc2ad7b6b6fe17d26f946a01bb
Tiempo de compilación 2 de mayo de 2020

Figura 6. Recurso de NetWalker de cnt.ex

Por lo general, los atacantes usan RC_DATA o un BITMAP malicioso. Este último puede, por ejemplo, ser un mapa de bits normal (formato de imagen de matriz abierta utilizado por Windows) que puede ser utilizado por malware para ejecutar código o como un dropper de carga útil. Los píxeles de la imagen son una representación binaria real de la carga útil. Este proceso se puede resumir como Exe -> Recursos -> BMP con datos incrustados en píxeles recuperados y descifrados, p. una DLL -> Carga útil), etc. Sin embargo, en este caso, utilizan este tipo personalizado especial para aumentar la ofuscación. Los desarrolladores de NetWalker eligieron tipos personalizados utilizando estructuras 1337 o 31337, por lo que el formato de los recursos no cambia. Sin embargo, como dijimos, varios valores han cambiado o han sido reemplazados:

mpk Llave pública
modo Modo de encriptación
spsz Fragmento de cifrado
thr Subprocesos asignados para el proceso de cifrado
namesz Longitud del nombre
idsz Longitud de identificación
archivo Nombre de la nota de rescate
cebolla1 URL del blog 1
cebolla 2 URL del blog 2
blanco Lista blanca de cifrado
matar Procesos, tareas, nombres de servicio para terminar
red Cifrado de recursos de red
desbloqueador Lista de exclusión de descifrado
prestar Nota de rescate codificada B64

Análisis ejecutable de NetWalker (posterior a marzo de 2020)

La muestra de malware utilizada para esta publicación de blog tiene la misma información:

Nombre c21ecd18f0bbb28112240013ad42dad5c01d20927791239ada5b

61e1c6f5f010

Talla 70656 bytes
Tipo de archivo exe
SHA 256 c21ecd18f0bbb28112240013ad42dad5c01d20927791239ada5b

61e1c6f5f010

Tiempo de compilación 2 de mayo de 2020

El malware descomprimido es un archivo binario de 32 bits que se puede encontrar como un archivo EXE.

Figura 7. Muestra de información del malware

La primera acción del malware es combinar todas las funciones requeridas que necesita en una función grande, combinando los módulos ya cargados en Windows con archivos DLL adicionales como se describe a continuación.

En lugar de buscar la función de la manera habitual, el malware crea un hash CRC32 del nombre de cada función y se compara con los valores codificados. Además, en lugar de utilizar la función "GetProcAddress", el malware utiliza el Bloque de entorno de proceso (PEB) para dificultar el análisis.

Figura 8. Obtenga el módulo accediendo al PEB y usando un CRC32

Si no se puede descubrir el módulo, se cargará con "LdrLoadDll", una función nativa de Windows, para intentar evitar los enganches en las funciones habituales, p. "LoadLibraryW":

Figura 9. Cargar biblioteca usando LdrLoadDll

Figura 10. Obtenga funciones del módulo, p. Ej. usando un hash CRC32

Si el malware no puede obtener una función, irá a una llamada de "suspensión" y terminará por sí mismo.

Más tarde, el malware extrae el archivo de configuración de un recurso con un tipo personalizado y un nombre personalizado utilizando las funciones "FindResourceA", "LockResource", "LoadResource" y "SizeOfResource". El archivo extraído en la memoria se descifra utilizando el algoritmo RC4 con una clave codificada en el recurso.

La estructura del recurso es:

  • 4 bytes -> El tamaño de la clave codificada para descifrar el archivo de configuración.
  • Tamaño variable -> la clave codificada para descifrar el archivo de configuración.
  • Tamaño variable -> el archivo de configuración encriptado.

El malware lee los primeros 4 bytes y reserva memoria con el tamaño de la contraseña y reserva memoria del recurso menos 4 bytes y el tamaño de la contraseña. Finalmente, descifra el archivo de configuración:

Figura 11. Obtenga el archivo de configuración y descifre

Si el malware no puede obtener el archivo de configuración, terminará solo.

Después de obtener el archivo de configuración, el malware lo analizará y guardará los campos en la memoria y escribirá la información del registro para cifrar los archivos en la máquina. El malware intentará primero escribir en la sección de registro “HKEY_LOCAL_MACHINE” pero si no puede crearlo, usará la sección de registro “HKEY_CURRENT_USER”:

Figura 12. Escribir en el registro

Una vez completada la escritura en el registro, obtendrá algunos privilegios utilizando un token como SE_DEBUG_PRIVILEGE y SE_IMPERSONATE_PRIVILEGE:

Figura 13. Obtenga algunos privilegios especiales en el token

Más tarde, el malware crea tres hilos, uno para obtener información sobre la máquina, como la versión del sistema operativo, uno para obtener procesos y el último para obtener servicios en el sistema.

Después de este paso, obtendrá el directorio del sistema y usará "VSSadmin" para eliminar las instantáneas de volumen del sistema. Las instantáneas de volumen pueden contener copias de los archivos cifrados y serían una opción para restaurar si no existe una copia de seguridad.

Figura 14. Eliminar los volúmenes sombra

Más tarde, el malware enumerará las unidades lógicas, preparará la nueva extensión para los archivos cifrados futuros, en función del tamaño que se define en la configuración del ransomware con una extensión aleatoria, y cifrará todos los archivos en las unidades de tipo fijo y unidades remotas con el Nueva extensión.

Figura 15. Cripta los archivos

Después de completar todos estos pasos, creará la nota de rescate en el escritorio utilizando las funciones "SHGetFolderPathlW" y "CreateFileW". Posteriormente, escribirá la nota de rescate de la memoria en un nuevo archivo con la función "WriteFile". El malware creará la nota de rescate en la carpeta raíz (por ejemplo, "c: ") de cada unidad lógica. A continuación, lanzará "notepad.exe" con un argumento en el archivo de nota de rescate para mostrar al usuario lo que sucedió en el sistema:

Figura 16. Creación de la nota de rescate en el escritorio y las unidades raíz

Finalmente, después del cifrado de los archivos y la creación de la nota de rescate, el malware crea un archivo bat en la carpeta% temp% de la máquina con un nombre temporal y escribe el contenido para destruirse a sí mismo utilizando el programa "taskkill". El script por lotes eliminará la muestra de malware con su ruta utilizando el comando "del" y finalmente eliminará el archivo bat con el comando "del% 0%". Por supuesto, como el malware usa el comando "del" sin destruirse antes de la eliminación, puede recuperarse con algunas herramientas forenses con suerte (lo mismo puede decirse del archivo bat).

De esta forma, el malware intenta eliminarse de la máquina para evitar ser detectado y analizado por investigadores de seguridad:

Figura 17. Obtenga la ruta Temp y cree un archivo temporal como un murciélago y ejecútelo

Finalmente, el malware terminará con "ExitProcess".

Descifrador

Cuando una víctima de NetWalker pasa por soporte técnico (vea un ejemplo de esto a continuación) y paga el rescate exigido por el grupo, podrá descargar el desencriptador para limpiar su entorno.

Figura 18. Conversación con operadores de NetWalker

La descarga se realiza directamente desde el sitio de NetWalker Tor, donde la página de pago cambia a una página de descarga que certifica que el pago se realizó y recibió:

Figura 19. Descarga de Decryptor

El descifrador se entrega en un archivo zip que contiene el ejecutable del descifrador y una nota que explica cómo ejecutar el programa correctamente:

Figura 20. Entrega de descifrador

El programa lanza una interfaz gráfica que permite al usuario descifrar su estación de trabajo de forma automática o manual:

Figura 21. Ejecución de descifrador

Al final del proceso de descifrado, el programa indica la cantidad de archivos descifrados, elimina la nota de rescate si el usuario ha marcado esa opción y finaliza, dejando que el usuario reanude su trabajo de manera pacífica:

Figura 22. Decryptor ha finalizado el proceso de descifrado

El programa descifrador parece único y está vinculado específicamente a una víctima. En nuestro ejemplo, solo descifra los archivos que pertenecen a la víctima que realizó el pago con la clave de usuario especificada en la nota de rescate.

Publicidad subterránea

En marzo de 2020, el apodo Bugatti comenzó a publicitar activamente el NetWalker Ransomware-as-a-Service en dos foros subterráneos populares. Bugatti parece haberse unido a la escena underground en febrero de 2020, pero afirma haber estado activo con el ransomware NetWalker desde septiembre de 2019. Hemos visto la actividad de NetWalker antes de marzo, pero ha habido un aumento notable en las víctimas más grandes desde su anuncio. Para un ransomware relativamente nuevo, ha sido bien recibido y respetado entre otros cibercriminales en comparación con, por ejemplo, el ransomware Nemty. La fortaleza de la reputación de NetWalker es tal que nuestra hipótesis actual es que la persona detrás de Bugatti es muy probablemente un cibercriminal bien respetado y experimentado, a pesar de que es un nuevo apodo.

Figura 23. Bugatti anunciando NetWalker en un foro subterráneo

Bugatti proporciona actualizaciones periódicas sobre las mejoras en el ransomware, como el popular método Invoke-ReflectivePEInjection, también utilizado comúnmente por Sodinokibi. Además de las mejoras en el ransomware, se anuncian espacios abiertos para nuevos afiliados. Bugatti enfatizó que están buscando principalmente afiliados experimentados que se centren en comprometer las redes completas de organizaciones en lugar de los usuarios finales. NetWalker sigue claramente los pasos de sus ilustres compañeros de ransomware dirigidos como Sodinokibi, Maze y Ryuk.

Un mensaje del foro en particular nos llamó la atención, ya que incluía capturas de pantalla de varias direcciones de bitcoins parciales y cantidades en USD. Esto probablemente se hizo para mostrar el éxito financiero del ransomware. Hemos visto una publicación similar en el pasado con la influyente afiliada de Sodinokibi, Lalartu, por lo que decidimos seguir el dinero una vez más.

Figura 24. Bugatti está buscando afiliados avanzados y muestra ejemplos de pagos BTC

Con la ayuda de CipherTrace software pudimos encontrar las direcciones BTC completas de la captura de pantalla e investigar el libro mayor:

Captura de pantalla 1

3JHTYZhRmMcq7WCKRzFN98vWvAZk792w9J

Captura de pantalla 2

39aovzbz5rGoQdKjDm6JiybkSu1uGdVJ2V

Captura de pantalla 3

39NRnZtgACDVhhmc7RwmvH9ZDUKTNwwaeB

Captura de pantalla 4

3L4AW5kHnUCZBBjg2j1LBFCUN1RsHPLxCs

Siguiendo el dinero

En las transacciones mencionadas en la publicación del foro subterráneo, se presume que se muestra el monto del rescate pagado por las víctimas. Dado que la cadena de bloques de bitcoin es un libro público de acceso público, podemos seguir el dinero y ver a dónde lo transfieren los actores del ransomware. En el caso de las cuatro transacciones registradas anteriormente, el monto total pagado por la víctima se transfirió a dos direcciones (estas direcciones comienzan con bc1q98 y 1DgLhG respectivamente). Es seguro decir que estas dos direcciones de bitcoin están bajo el control de los actores de NetWalker. Luego procedimos a analizar todas las transacciones entrantes a estas dos direcciones y pudimos hacer las siguientes observaciones:

  • La primera transacción entrante se produce el 1 de marzo de 2020.
  • El 30 de marzo de 2020, aparece la primera transacción entrante donde el monto se divide entre 4 direcciones de bitcoin diferentes. Una división como esta generalmente se ve en Ransomware-as-a-Service, donde el pago del rescate se divide entre los operadores de RaaS y el afiliado que causó la infección. En esta primera transacción, la división es 80%, 10% y dos porciones de 5%. Esta división coincide con la publicidad en el foro subterráneo (80% – 20%).
  • Las dos porciones del 5% de los pagos de rescate que se dividen parecen transferirse consistentemente a las dos direcciones de bitcoin que revelamos anteriormente (bc1q98 y 1DgLhG).
  • Si bien los beneficiarios del recorte del 5% siguen siendo los mismos, el beneficiario del recorte del 10% parece cambiar con el tiempo. Según la publicación del foro, asumimos que estas direcciones también pertenecen a los actores de NetWalker.
  • Los pagos a las direcciones bc1q98 y 1DgLhG que no se dividen continúan hasta finales de mayo. Posiblemente, los operadores iniciales de NetWalker agregaron una operación RaaS, mientras continuaban causando infecciones de NetWalker.
  • Al analizar las direcciones de bitcoin que recibieron el 80% o más del monto de la transacción, notamos que hay algunas direcciones que reciben pagos varias veces. Una posible explicación podría ser que la dirección está configurada como direcciones de pago para una determinada campaña o afiliado. Identificamos 30 direcciones únicas de bitcoin que parecen ser las beneficiarias de esta porción más grande de la transacción de rescate. Algunos de estos solo recibieron un pago, pero hay varios que recibieron pagos múltiples.
  • En las dos direcciones descubiertas al rastrear las transacciones, se lleva a cabo un total de 641 bitcoins el 27 de julio de 2020. El valor de mercado actual de bitcoin vale más de 7 millones de dólares.

Cantidades extorsionadas

Trabajando bajo la hipótesis de que todas las transacciones entrantes son pagos de ransomware; podemos hacer las siguientes observaciones:

  • Encontramos 23 transacciones donde los pagos de rescate no se dividieron y los beneficiarios son las dos direcciones de bitcoin encontradas siguiendo las transacciones mencionadas en la publicación del foro subterráneo. La cantidad total de bitcoin extorsionada de esta manera entre el 1 de marzo de 2020 y el 27 de julio de 2020 es de 677 BTC. Además, el importe recibido de las transacciones restantes siguiendo el esquema de Ransomware como servicio por estas direcciones entre el 1 de marzo de 2020 y el 27 de julio de 2020 es de 188 BTC.
  • En las transacciones que se dividen, la mayor cantidad (generalmente del 80% al 90% del valor total de la transacción) se transfiere presumiblemente al afiliado que causó la infección. Cuando resumimos estas porciones más grandes, vimos un total de 1723 BTC transferidos a afiliados.
  • La cantidad total de bitcoin extorsionado que se ha descubierto al rastrear transacciones a estas direcciones relacionadas con NetWalker es de 2795 BTC entre el 1 de marzo de 2020 y el 27 de julio de 2020. Al usar tasas de cambio históricas de bitcoin a USD, estimamos que se extorsionó un total de 25 millones de USD con estas transacciones relacionadas con NetWalker.

A pesar de que no tenemos una visibilidad completa del flujo de BTC antes de que NetWalker comenzara a aumentar, una cosa es segura, solo este trimestre ha sido muy exitoso en extorsionar a las organizaciones por grandes cantidades de dinero. Todo esto en un momento en que muchos sectores están luchando porque las personas se están refugiando en el lugar y los gobiernos están tratando de evitar que las empresas quiebren. NetWalker está haciendo millones con las espaldas de compañías legítimas.

Figura 25. Descripción general de las transacciones de bitcoin descubiertas, destacando las dos direcciones de actor identificadas.

Cambios observados

Al hablar sobre el impacto de NetWalker con nuestros socios, aprendimos que el cambio en el modus operandi no solo afectó la forma en que los actores se comunican con sus víctimas. Cuando hubo un cambio de la comunicación por correo electrónico a un servicio oculto de Tor dedicado, los actores también dejaron de usar las direcciones de bitcoin heredadas a las direcciones SegWit. Los beneficios de usar las nuevas direcciones SegWit incluyen un tiempo de transacción más rápido y un costo de transacción más bajo. El anuncio de NetWalker en el foro subterráneo menciona pagos instantáneos y totalmente automáticos en el momento de este cambio observado. Esto nos hace creer que los actores del ransomware estaban profesionalizando su operación justo antes de expandirse al modelo de Ransomware como servicio.

Dada la repentina aparición del ransomware NetWalker y el actor de amenaza asociado, sugiere que se debe tener algún conocimiento previo sobre el desarrollo del ransomware o la presencia subterránea. Armados con esta hipótesis, buscamos posibles vínculos con actores subterráneos y otras cepas de ransomware que podrían cumplir con los requisitos. Nos encontramos con un actor de amenazas que ofrecía ransomware que nos llamó la atención. Fue el uso del nombre NetWalker, en combinación con una fuerte conexión de ransomware, lo que despertó nuestro interés.

Hace algunos años, un actor de amenazas que usaba el sobrenombre de Eriknetwalker estaba publicitando ransomware en varios foros clandestinos. Encontramos publicaciones de 2016 y la última actividad pública fue alrededor de junio de 2019, varios meses antes de que apareciera el ransomware NetWalker.

Figura 26. Eriknetwalker comenzó a anunciar su ransomware en 2016 (traducido por Google del ruso)

En base a nuestra investigación subterránea, vinculamos el apodo Eriknetwalker al desarrollo y / o distribución de ransomware Amnesia, Bomber y Scarab. Eriknetwalker dejó de publicitar ransomware alrededor de junio de 2019. Por lo tanto, decidimos realizar un análisis comparativo entre las diferentes cepas de ransomware vinculadas a Eriknetwalker y algunas de las primeras versiones de NetWalker que pudimos encontrar.

El objetivo de este análisis comparativo era identificar si había una superposición entre los códigos fuente. Tal superposición podría sugerir un vínculo más fuerte entre la versión actual de NetWalker y las otras versiones de ransomware de Eriknetwalker, posiblemente incluso explicando la superposición de nombres.

Para ejecutar el análisis, utilizamos varias herramientas, una de las cuales era la herramienta de visualización binaria. Veles, que traduce dinámicamente información binaria en una visualización abstracta que nos permite identificar y comparar patrones.

Los diferentes tipos de ransomware que comenzamos a analizar fueron las variantes de Amnesia, Scarab y NetWalker.

Figura 27. Visualización plana de datos binarios de las diferentes variantes de ransomware

Figura 28. Visualización en 3D de datos binarios de las diferentes variantes de ransomware

Visualizar datos de esta manera es una forma de usar el cerebro humano para identificar rápidamente patrones y poder hacer comparaciones entre objetos. En nuestro caso, vemos que, en base a los datos binarios visualizados en las Figuras 27 y 28, los binarios de ransomware producen diferencias que no podemos ignorar.

Figura 29. Comparación de los resultados del código fuente

La Figura 29 muestra los resultados de un análisis de similitud del código fuente dirigido a las diferentes variantes de ransomware nombradas en la figura misma. Curiosamente, Scarab y Amnesia muestran una mayor superposición con Buran y Zeppelin que las primeras muestras de NetWalker. Los porcentajes que se muestran son la cantidad de código que es similar entre dos variantes.

Como se ilustra en la descripción general, la versión de NetWalker de septiembre de 2019 tiene una base de código diferente de las variantes de ransomware vinculadas a ErikNetWalker. Este hallazgo refuta nuestra hipótesis anterior de que NetWalker está vinculado a las variantes más antiguas de Amnesia basadas en la superposición de código.

A menudo, los equipos de investigación no publican sus resultados cuando refuta su propia hipótesis. Sin embargo, en aras de la transparencia, decidimos incluir nuestros esfuerzos de investigación.

Reglas de YARA

Subimos un Regla de YARA para detectar casi todas las muestras observadas en la naturaleza hasta la fecha.

Indicadores de compromiso

Durante nuestra investigación, hemos observado numerosos IoC vinculados al ransomware NetWalker. Para obtenerlos, visite nuestro McAfee Sitio de ATR GitHub, u obtenga los últimos NetWalker IoC e inteligencia sobre muchas otras amenazas con McAfee Insights.

Técnicas MITRE ATT & CK

Las siguientes técnicas se basaron en nuestra investigación y se complementaron con la investigación de colegas de la industria.

  • Acceso inicial
    • Aplicación de explotación pública (T1190): Exploit Tomcat, Exploit WebLogic
    • Adjunto de phishing de lanza (T1566.001): correo electrónico de phishing
    • Cuentas válidas (T1078): RDP comprometido
  • Ejecución
    • PowerShell (T1059.001): secuencia de comandos de PowerShell
    • Intérprete de comandos y secuencias de comandos: Windows Command Shell (003)
    • Ejecución de servicio (T1569.002): PsExec
    • API nativa (T1106): use las funciones de la API de Windows para inyectar DLL
    • Instrumentación de administración de Windows (T1047)
  • Persistencia
    • Clave de ejecución del registro (T1547.001): coloque un valor en la clave RunOnce
    • Modificar clave de registro (T1112): cree su propia clave de registro en SOFTWARE
  • Escalada de privilegios
    • Explotación para la escalada de privilegios (T1068): CVE-2020-0796, CVE-2019-1458, CVE-2017-0213, CVE-2015-1701
    • Inyección de proceso (T1055.001): inyección reflectante de DLL
  • Evasión de defensa
    • Desactivación de las herramientas de seguridad (T1562.001): ESET AV Remover, herramienta de desinstalación del agente de seguridad de Trend Micro, desinstalación del cliente de seguridad de Microsoft
    • Inyección de proceso (T1055.001): inyección reflectante de DLL
    • Desobuscar / decodificar archivos o información (T1140)
    • Información o archivos ofuscados (T1027): PowerShell Script utiliza Base64 y codificación hexadecimal y cifrado XOR
  • Acceso de credenciales
    • Volcado de credenciales (T1003): Mimikatz, Mimidogz, Mimikittenz, Editor de credenciales de Windows, Pwdump, LaZagne
    • Fuerza bruta (T1110.001): NLBrute
  • Descubrimiento
    • Escaneo de servicio de red (T1046): SoftPerfect Network Scanner
    • Descubrimiento de software de seguridad (T1518.001)
    • Descubrimiento de información del sistema (T1082)
  • Movimiento lateral
    • Software de terceros (T1072): TeamViewer, Anydesk
    • Ejecución del servicio (T 1569.002): PsExec
    • Transferencia lateral de herramientas (T1570)
  • Colección
    • Datos de repositorios de información (T1213)
    • Datos del sistema local (T1005)
    • Datos del disco compartido de red (T1039)
  • Comando y control
    • Transferencia de herramienta de ingreso (T1105)
  • Impacto
    • Datos cifrados (T1486): NetWalker Ransomware
    • Inhibir la recuperación del sistema (T1490): instantáneas eliminadas
    • Parada de servicio (T1489)

Conclusión

El ransomware se ha convertido en un negocio lucrativo para los actores de amenazas, desde foros clandestinos que venden ransomware, hasta ofrecer servicios como portales de soporte para guiar a las víctimas a través de la adquisición de moneda criptográfica para el pago, hasta la negociación del rescate. El equipo de Investigación de amenazas avanzadas de McAfee ha analizado el ransomware NetWalker y ha seguido su evolución desde el avistamiento inicial del ransomware Mailto hasta su reurbanización en el ransomware NetWalker. El cambio reciente a un modelo de Ransomware-as-a-Service centrado en los negocios es una clara señal de que está avanzando, por lo que parece que el grupo NetWalker está siguiendo los pasos de REvil y otros grupos RaaS exitosos. Los desarrolladores de ransomware han demostrado la capacidad de reenfocarse y capitalizar los eventos mundiales actuales y desarrollar señuelos para ayudar a garantizar la efectividad del ransomware, lo que les ha permitido ser selectivos de sus afiliados al limitar el acceso al ransomware solo a aquellos con acceso investigado grandes organizaciones A medida que continúa el desarrollo del ransomware, hemos sido testigos de cambios recientes en la actividad que siguen de cerca los pasos de otros desarrollos de ransomware, incluida la amenaza de víctimas con la divulgación de información confidencial si no se cumple el rescate.

McAfee ATR está monitoreando activamente las amenazas de ransomware y continuará actualizando McAfee MVISION Insights y sus canales de redes sociales con información nueva y actual. MVISION Insights es la única solución de seguridad de punto final proactiva que prioriza y predice simultáneamente las amenazas que son importantes para nuestros clientes, al tiempo que ofrece orientación prescriptiva sobre qué hacer en su entorno local. ¿Quieres estar por delante de los adversarios? Consulte McAfee MVISION Insights para obtener más información. Si desea experimentar algunas de las capacidades de MVISION Insights, vaya a la Vista previa de MVISION Insights, donde puede seleccionar la información más importante sobre amenazas disponible.

Escrito por: Thibault Seret, Valentine Mairet, Jeffrey Sman, Alfred Alvarado, Tim Hux, Alexandre Mundo, John Fokker, Marc Rivero Lopez y Thomas Roccia.





Enlace a la noticia original