
Resumen Ejecutivo
El ransomware NetWalker, inicialmente conocido como Mailto, se detectó por primera vez en agosto de 2019. Desde entonces, se descubrieron nuevas variantes a lo largo de 2019 y principios de 2020, con un fuerte repunte observado en marzo de este año.
NetWalker ha evolucionado notablemente hacia un modelo de ransomware-como-servicio (RaaS) más estable y robusto, y nuestra investigación sugiere que los operadores de malware están apuntando y atrayendo una gama más amplia de afiliados criminales emprendedores y técnicamente avanzados.
McAfee Advanced Threat Research (ATR) descubrió una gran suma de bitcoins vinculados a NetWalker que sugieren que sus esfuerzos de extorsión son efectivos y que muchas víctimas no han tenido otra opción que sucumbir a sus demandas criminales.
Abordamos nuestra investigación de NetWalker con algunas ideas posibles sobre el actor de la amenaza detrás de él, solo para luego refutar nuestra propia hipótesis. Creemos que la inclusión de nuestro pensamiento y los medios con los que desacreditamos nuestra propia teoría, resaltan la importancia de una investigación exhaustiva y agradecemos una mayor discusión sobre este tema. Creemos que comienza discusiones valiosas y ayuda a evitar esfuerzos duplicados de investigación por parte de otros. También alentamos a nuestros pares en la industria a compartir información con nosotros en caso de que tenga más evidencia.
McAfee protege a sus clientes contra el malware cubierto en este blog en todos sus productos, incluidos antivirus personal, punto final y puerta de enlace. Para obtener más información sobre cómo los productos McAfee pueden defenderse contra este tipo de ataques, visite nuestro blog sobre Creación de una arquitectura de seguridad adaptable contra NetWalker.
Eche un vistazo a McAfee Insights para estar al tanto de los últimos desarrollos e inteligencia de NetWalker sobre otras amenazas cibernéticas, todo curado por el equipo de McAfee ATR. No solo eso, Insights también lo ayudará a priorizar las amenazas, predecir si sus contramedidas funcionarán y prescribir acciones correctivas.
Introducción
Desde 2019, el ransomware NetWalker ha alcanzado una gran cantidad de objetivos diferentes, principalmente en países de Europa occidental y EE. UU. Desde finales de 2019, la pandilla NetWalker ha indicado una preferencia por organizaciones más grandes en lugar de individuos. Durante la pandemia de COVID-19, los adversarios detrás de NetWalker claramente establecido que los hospitales no serán atacados; queda por ver si cumplen con su palabra.
El ransomware agrega una extensión aleatoria a los archivos infectados y utiliza el cifrado Salsa20. Utiliza algunos trucos para evitar la detección, como una nueva técnica de evasión de defensa, conocida como carga reflectante de DLL, para inyectar un DLL de la memoria.
El colectivo NetWalker, al igual que aquellos detrás de Maze, REvil y otros ransomware, amenaza con publicar los datos de las víctimas si no se pagan los rescates.
Como se mencionó anteriormente, NetWalker RaaS prioriza la calidad sobre la cantidad y busca personas que hablen ruso y tengan experiencia con grandes redes. Se busca especialmente a las personas que ya tienen un punto de apoyo en la red de una víctima potencial y pueden extraer datos con facilidad. Esto no es sorprendente, teniendo en cuenta que publicar los datos de las víctimas es parte del modelo de NetWalker.
Las siguientes secciones están dedicadas a presentar el malware NetWalker y mostrar el estado de telemetría antes de pasar al análisis técnico de malware del comportamiento del ransomware. Explicaremos cómo funciona el descifrador y mostraremos algunas interacciones entre los operadores de NetWalker y sus víctimas. Después de esto, discutimos los cambios en el modus operandi desde septiembre de 2019, especialmente con respecto al comportamiento de pago. Luego mostramos nuestros intentos, infructuosos como fueron, de descubrir un vínculo entre NetWalker y las variantes de ransomware anteriores, aparentemente no relacionadas. Finalmente, ofrecemos una descripción general de los COI relacionados con NetWalker y sus técnicas MITER ATT & CK.
Telemetría
Usando los sensores Insights de McAfee, podemos mostrar la prevalencia global del ransomware NetWalker.
Figura 1. McAfee MVISION Insights muestra la prevalencia global del ransomware NetWalker
Análisis técnico
Nota de rescate (antes de marzo de 2020)
Antes de marzo de 2020, la nota de rescate de NetWalker indicaba cómo comunicarse directamente con el adversario utilizando servicios de cuenta de correo electrónico anónimos con nombres aleatorios (como kkeessnnkkaa@cock.li y hhaaxxhhaaxx@tuta.io):
Figura 2. Ejemplo de nota de rescate antes de marzo de 2020
Nota de rescate (después de marzo de 2020)
El 12 de marzo de 2020, un investigador compartió una captura de pantalla de una nueva nota de rescate de NetWalker en un Pío y podemos ver que los atacantes han cambiado el método de contacto significativamente. La comunicación por correo electrónico se ha interrumpido por completo con las víctimas que ahora deben contactar a través de la interfaz de NetWalker Tor donde, después de enviar su clave de usuario, serán redirigidas a un chat con el soporte técnico de NetWalker. Este cambio en el método de contacto coincide con publicaciones subterráneas en foros donde NetWalker reveló que estaba abriendo su RaaS para nuevos afiliados. La página Tor no fue el único cambio notable que destacaremos en este blog.
Figura 3. Ejemplo de nota de rescate después de marzo de 2020
Análisis de NetWalker
Figura 4. Comportamiento de NetWalker
Análisis de recursos de NetWalker (antes de marzo de 2020)
El malware NetWalker utiliza un tipo de recurso personalizado (1337 o 31337) que contiene toda su configuración. Este archivo se extrae en la memoria y se descifra utilizando el algoritmo RC4 con una clave codificada en el recurso.
Antes del 12 de marzo de 2020, NetWalker utilizó el proceso de contacto por correo electrónico entre su operación de soporte y las víctimas para proceder con el pago y enviar el programa de descifrado. Para hacer esto, NetWalker usó su archivo de configuración en el recurso para establecer su modo de cifrado, el nombre de la nota de rescate, etc., y los contactos de correo electrónico.
Nombre | wwllww.exe |
Talla | 96256 bytes |
Tipo de archivo | exe |
SHA 256 | 58e923ff158fb5aecd293b7a0e0d305296110b83c6e270786edcc4fea1c8404c |
Tiempo de compilación | 6 de diciembre de 2019 |
Figura 5. Recurso de NetWalker de wwllww.exe
Una vez descifrado, el archivo de configuración revela varios parámetros, lo que nos permite comprender cómo funciona (cómo constituye la nota de rescate, el número de subprocesos asignados para el cifrado, etc.):
mpk | Llave pública |
modo | Modo de encriptación |
thr | Subprocesos asignados para el proceso de cifrado |
spsz | Fragmento de cifrado |
namesz | Longitud del nombre |
idsz | Longitud de identificación |
crmask | .mailto (correo electrónico). CARNÉ DE IDENTIDAD |
correo | Correo de contacto |
archivo | Nombre de la nota de rescate |
prestar | Nota de rescate codificada B64 |
blanco | Lista blanca de cifrado |
matar | Procesos, tareas, nombres de servicio para terminar |
desbloqueador | Lista de exclusión de descifrado |
Análisis de recursos de NetWalker (después de marzo de 2020)
Cuando Netwalker cambió su modo de contacto y cambió del correo electrónico al envío de la clave de usuario directamente en el portal web del blog del grupo, el archivo de configuración en el recurso también cambió. Encontramos cambios en el archivo de configuración, como la desaparición de los campos "mail" y "crmask" de contacto (previamente configurados como XXX @ cock.li, XXX @ tuta.io, etc., y .mailto (correo electrónico). CARNÉ DE IDENTIDAD). Este campo fue reemplazado por "onion1" y "onion2", y estos campos se configuran con la URL del blog NetWalker / página de pago (hxxp: // rnfdsgm
Nombre | cnt.ex |
Talla | 70656 bytes |
Tipo de archivo | exe |
SHA 256 | 26dfa8512e892dc8397c4ccbbe10efbcf85029bc2ad7b6b6fe17d26f946a01bb |
Tiempo de compilación | 2 de mayo de 2020 |
Figura 6. Recurso de NetWalker de cnt.ex
Por lo general, los atacantes usan RC_DATA o un BITMAP malicioso. Este último puede, por ejemplo, ser un mapa de bits normal (formato de imagen de matriz abierta utilizado por Windows) que puede ser utilizado por malware para ejecutar código o como un dropper de carga útil. Los píxeles de la imagen son una representación binaria real de la carga útil. Este proceso se puede resumir como Exe -> Recursos -> BMP con datos incrustados en píxeles recuperados y descifrados, p. una DLL -> Carga útil), etc. Sin embargo, en este caso, utilizan este tipo personalizado especial para aumentar la ofuscación. Los desarrolladores de NetWalker eligieron tipos personalizados utilizando estructuras 1337 o 31337, por lo que el formato de los recursos no cambia. Sin embargo, como dijimos, varios valores han cambiado o han sido reemplazados:
mpk | Llave pública |
modo | Modo de encriptación |
spsz | Fragmento de cifrado |
thr | Subprocesos asignados para el proceso de cifrado |
namesz | Longitud del nombre |
idsz | Longitud de identificación |
archivo | Nombre de la nota de rescate |
cebolla1 | URL del blog 1 |
cebolla 2 | URL del blog 2 |
blanco | Lista blanca de cifrado |
matar | Procesos, tareas, nombres de servicio para terminar |
red | Cifrado de recursos de red |
desbloqueador | Lista de exclusión de descifrado |
prestar | Nota de rescate codificada B64 |
Análisis ejecutable de NetWalker (posterior a marzo de 2020)
La muestra de malware utilizada para esta publicación de blog tiene la misma información:
Nombre | c21ecd18f0bbb28112240013ad42dad5c01d20927791239ada5b
61e1c6f5f010 |
Talla | 70656 bytes |
Tipo de archivo | exe |
SHA 256 | c21ecd18f0bbb28112240013ad42dad5c01d20927791239ada5b
61e1c6f5f010 |
Tiempo de compilación | 2 de mayo de 2020 |
El malware descomprimido es un archivo binario de 32 bits que se puede encontrar como un archivo EXE.
Figura 7. Muestra de información del malware
La primera acción del malware es combinar todas las funciones requeridas que necesita en una función grande, combinando los módulos ya cargados en Windows con archivos DLL adicionales como se describe a continuación.
En lugar de buscar la función de la manera habitual, el malware crea un hash CRC32 del nombre de cada función y se compara con los valores codificados. Además, en lugar de utilizar la función "GetProcAddress", el malware utiliza el Bloque de entorno de proceso (PEB) para dificultar el análisis.
Figura 8. Obtenga el módulo accediendo al PEB y usando un CRC32
Si no se puede descubrir el módulo, se cargará con "LdrLoadDll", una función nativa de Windows, para intentar evitar los enganches en las funciones habituales, p. "LoadLibraryW":
Figura 9. Cargar biblioteca usando LdrLoadDll
Figura 10. Obtenga funciones del módulo, p. Ej. usando un hash CRC32
Si el malware no puede obtener una función, irá a una llamada de "suspensión" y terminará por sí mismo.
Más tarde, el malware extrae el archivo de configuración de un recurso con un tipo personalizado y un nombre personalizado utilizando las funciones "FindResourceA", "LockResource", "LoadResource" y "SizeOfResource". El archivo extraído en la memoria se descifra utilizando el algoritmo RC4 con una clave codificada en el recurso.
La estructura del recurso es:
- 4 bytes -> El tamaño de la clave codificada para descifrar el archivo de configuración.
- Tamaño variable -> la clave codificada para descifrar el archivo de configuración.
- Tamaño variable -> el archivo de configuración encriptado.
El malware lee los primeros 4 bytes y reserva memoria con el tamaño de la contraseña y reserva memoria del recurso menos 4 bytes y el tamaño de la contraseña. Finalmente, descifra el archivo de configuración:
Figura 11. Obtenga el archivo de configuración y descifre
Si el malware no puede obtener el archivo de configuración, terminará solo.
Después de obtener el archivo de configuración, el malware lo analizará y guardará los campos en la memoria y escribirá la información del registro para cifrar los archivos en la máquina. El malware intentará primero escribir en la sección de registro “HKEY_LOCAL_MACHINE” pero si no puede crearlo, usará la sección de registro “HKEY_CURRENT_USER”:
Figura 12. Escribir en el registro
Una vez completada la escritura en el registro, obtendrá algunos privilegios utilizando un token como SE_DEBUG_PRIVILEGE y SE_IMPERSONATE_PRIVILEGE:
Figura 13. Obtenga algunos privilegios especiales en el token
Más tarde, el malware crea tres hilos, uno para obtener información sobre la máquina, como la versión del sistema operativo, uno para obtener procesos y el último para obtener servicios en el sistema.
Después de este paso, obtendrá el directorio del sistema y usará "VSSadmin" para eliminar las instantáneas de volumen del sistema. Las instantáneas de volumen pueden contener copias de los archivos cifrados y serían una opción para restaurar si no existe una copia de seguridad.
Figura 14. Eliminar los volúmenes sombra
Más tarde, el malware enumerará las unidades lógicas, preparará la nueva extensión para los archivos cifrados futuros, en función del tamaño que se define en la configuración del ransomware con una extensión aleatoria, y cifrará todos los archivos en las unidades de tipo fijo y unidades remotas con el Nueva extensión.
Figura 15. Cripta los archivos
Después de completar todos estos pasos, creará la nota de rescate en el escritorio utilizando las funciones "SHGetFolderPathlW" y "CreateFileW". Posteriormente, escribirá la nota de rescate de la memoria en un nuevo archivo con la función "WriteFile". El malware creará la nota de rescate en la carpeta raíz (por ejemplo, "c: ") de cada unidad lógica. A continuación, lanzará "notepad.exe" con un argumento en el archivo de nota de rescate para mostrar al usuario lo que sucedió en el sistema:
Figura 16. Creación de la nota de rescate en el escritorio y las unidades raíz
Finalmente, después del cifrado de los archivos y la creación de la nota de rescate, el malware crea un archivo bat en la carpeta% temp% de la máquina con un nombre temporal y escribe el contenido para destruirse a sí mismo utilizando el programa "taskkill". El script por lotes eliminará la muestra de malware con su ruta utilizando el comando "del" y finalmente eliminará el archivo bat con el comando "del% 0%". Por supuesto, como el malware usa el comando "del" sin destruirse antes de la eliminación, puede recuperarse con algunas herramientas forenses con suerte (lo mismo puede decirse del archivo bat).
De esta forma, el malware intenta eliminarse de la máquina para evitar ser detectado y analizado por investigadores de seguridad:
Figura 17. Obtenga la ruta Temp y cree un archivo temporal como un murciélago y ejecútelo
Finalmente, el malware terminará con "ExitProcess".
Descifrador
Cuando una víctima de NetWalker pasa por soporte técnico (vea un ejemplo de esto a continuación) y paga el rescate exigido por el grupo, podrá descargar el desencriptador para limpiar su entorno.
Figura 18. Conversación con operadores de NetWalker
La descarga se realiza directamente desde el sitio de NetWalker Tor, donde la página de pago cambia a una página de descarga que certifica que el pago se realizó y recibió:
Figura 19. Descarga de Decryptor
El descifrador se entrega en un archivo zip que contiene el ejecutable del descifrador y una nota que explica cómo ejecutar el programa correctamente:
Figura 20. Entrega de descifrador
El programa lanza una interfaz gráfica que permite al usuario descifrar su estación de trabajo de forma automática o manual:
Figura 21. Ejecución de descifrador
Al final del proceso de descifrado, el programa indica la cantidad de archivos descifrados, elimina la nota de rescate si el usuario ha marcado esa opción y finaliza, dejando que el usuario reanude su trabajo de manera pacífica:
Figura 22. Decryptor ha finalizado el proceso de descifrado
El programa descifrador parece único y está vinculado específicamente a una víctima. En nuestro ejemplo, solo descifra los archivos que pertenecen a la víctima que realizó el pago con la clave de usuario especificada en la nota de rescate.
Publicidad subterránea
En marzo de 2020, el apodo Bugatti comenzó a publicitar activamente el NetWalker Ransomware-as-a-Service en dos foros subterráneos populares. Bugatti parece haberse unido a la escena underground en febrero de 2020, pero afirma haber estado activo con el ransomware NetWalker desde septiembre de 2019. Hemos visto la actividad de NetWalker antes de marzo, pero ha habido un aumento notable en las víctimas más grandes desde su anuncio. Para un ransomware relativamente nuevo, ha sido bien recibido y respetado entre otros cibercriminales en comparación con, por ejemplo, el ransomware Nemty. La fortaleza de la reputación de NetWalker es tal que nuestra hipótesis actual es que la persona detrás de Bugatti es muy probablemente un cibercriminal bien respetado y experimentado, a pesar de que es un nuevo apodo.
Figura 23. Bugatti anunciando NetWalker en un foro subterráneo
Bugatti proporciona actualizaciones periódicas sobre las mejoras en el ransomware, como el popular método Invoke-ReflectivePEInjection, también utilizado comúnmente por Sodinokibi. Además de las mejoras en el ransomware, se anuncian espacios abiertos para nuevos afiliados. Bugatti enfatizó que están buscando principalmente afiliados experimentados que se centren en comprometer las redes completas de organizaciones en lugar de los usuarios finales. NetWalker sigue claramente los pasos de sus ilustres compañeros de ransomware dirigidos como Sodinokibi, Maze y Ryuk.
Un mensaje del foro en particular nos llamó la atención, ya que incluía capturas de pantalla de varias direcciones de bitcoins parciales y cantidades en USD. Esto probablemente se hizo para mostrar el éxito financiero del ransomware. Hemos visto una publicación similar en el pasado con la influyente afiliada de Sodinokibi, Lalartu, por lo que decidimos seguir el dinero una vez más.
Figura 24. Bugatti está buscando afiliados avanzados y muestra ejemplos de pagos BTC
Con la ayuda de CipherTrace software pudimos encontrar las direcciones BTC completas de la captura de pantalla e investigar el libro mayor:
Captura de pantalla 1
3JHTYZhRmMcq7WCKRzFN98vWvAZk792w9J
Captura de pantalla 2
39aovzbz5rGoQdKjDm6JiybkSu1uGdVJ2V
Captura de pantalla 3
39NRnZtgACDVhhmc7RwmvH9ZDUKTNwwaeB
Captura de pantalla 4
3L4AW5kHnUCZBBjg2j1LBFCUN1RsHPLxCs
Siguiendo el dinero
En las transacciones mencionadas en la publicación del foro subterráneo, se presume que se muestra el monto del rescate pagado por las víctimas. Dado que la cadena de bloques de bitcoin es un libro público de acceso público, podemos seguir el dinero y ver a dónde lo transfieren los actores del ransomware. En el caso de las cuatro transacciones registradas anteriormente, el monto total pagado por la víctima se transfirió a dos direcciones (estas direcciones comienzan con bc1q98 y 1DgLhG respectivamente). Es seguro decir que estas dos direcciones de bitcoin están bajo el control de los actores de NetWalker. Luego procedimos a analizar todas las transacciones entrantes a estas dos direcciones y pudimos hacer las siguientes observaciones:
- La primera transacción entrante se produce el 1 de marzo de 2020.
- El 30 de marzo de 2020, aparece la primera transacción entrante donde el monto se divide entre 4 direcciones de bitcoin diferentes. Una división como esta generalmente se ve en Ransomware-as-a-Service, donde el pago del rescate se divide entre los operadores de RaaS y el afiliado que causó la infección. En esta primera transacción, la división es 80%, 10% y dos porciones de 5%. Esta división coincide con la publicidad en el foro subterráneo (80% – 20%).
- Las dos porciones del 5% de los pagos de rescate que se dividen parecen transferirse consistentemente a las dos direcciones de bitcoin que revelamos anteriormente (bc1q98 y 1DgLhG).
- Si bien los beneficiarios del recorte del 5% siguen siendo los mismos, el beneficiario del recorte del 10% parece cambiar con el tiempo. Según la publicación del foro, asumimos que estas direcciones también pertenecen a los actores de NetWalker.
- Los pagos a las direcciones bc1q98 y 1DgLhG que no se dividen continúan hasta finales de mayo. Posiblemente, los operadores iniciales de NetWalker agregaron una operación RaaS, mientras continuaban causando infecciones de NetWalker.
- Al analizar las direcciones de bitcoin que recibieron el 80% o más del monto de la transacción, notamos que hay algunas direcciones que reciben pagos varias veces. Una posible explicación podría ser que la dirección está configurada como direcciones de pago para una determinada campaña o afiliado. Identificamos 30 direcciones únicas de bitcoin que parecen ser las beneficiarias de esta porción más grande de la transacción de rescate. Algunos de estos solo recibieron un pago, pero hay varios que recibieron pagos múltiples.
- En las dos direcciones descubiertas al rastrear las transacciones, se lleva a cabo un total de 641 bitcoins el 27 de julio de 2020. El valor de mercado actual de bitcoin vale más de 7 millones de dólares.
Cantidades extorsionadas
Trabajando bajo la hipótesis de que todas las transacciones entrantes son pagos de ransomware; podemos hacer las siguientes observaciones:
- Encontramos 23 transacciones donde los pagos de rescate no se dividieron y los beneficiarios son las dos direcciones de bitcoin encontradas siguiendo las transacciones mencionadas en la publicación del foro subterráneo. La cantidad total de bitcoin extorsionada de esta manera entre el 1 de marzo de 2020 y el 27 de julio de 2020 es de 677 BTC. Además, el importe recibido de las transacciones restantes siguiendo el esquema de Ransomware como servicio por estas direcciones entre el 1 de marzo de 2020 y el 27 de julio de 2020 es de 188 BTC.
- En las transacciones que se dividen, la mayor cantidad (generalmente del 80% al 90% del valor total de la transacción) se transfiere presumiblemente al afiliado que causó la infección. Cuando resumimos estas porciones más grandes, vimos un total de 1723 BTC transferidos a afiliados.
- La cantidad total de bitcoin extorsionado que se ha descubierto al rastrear transacciones a estas direcciones relacionadas con NetWalker es de 2795 BTC entre el 1 de marzo de 2020 y el 27 de julio de 2020. Al usar tasas de cambio históricas de bitcoin a USD, estimamos que se extorsionó un total de 25 millones de USD con estas transacciones relacionadas con NetWalker.
A pesar de que no tenemos una visibilidad completa del flujo de BTC antes de que NetWalker comenzara a aumentar, una cosa es segura, solo este trimestre ha sido muy exitoso en extorsionar a las organizaciones por grandes cantidades de dinero. Todo esto en un momento en que muchos sectores están luchando porque las personas se están refugiando en el lugar y los gobiernos están tratando de evitar que las empresas quiebren. NetWalker está haciendo millones con las espaldas de compañías legítimas.
Figura 25. Descripción general de las transacciones de bitcoin descubiertas, destacando las dos direcciones de actor identificadas.
Cambios observados
Al hablar sobre el impacto de NetWalker con nuestros socios, aprendimos que el cambio en el modus operandi no solo afectó la forma en que los actores se comunican con sus víctimas. Cuando hubo un cambio de la comunicación por correo electrónico a un servicio oculto de Tor dedicado, los actores también dejaron de usar las direcciones de bitcoin heredadas a las direcciones SegWit. Los beneficios de usar las nuevas direcciones SegWit incluyen un tiempo de transacción más rápido y un costo de transacción más bajo. El anuncio de NetWalker en el foro subterráneo menciona pagos instantáneos y totalmente automáticos en el momento de este cambio observado. Esto nos hace creer que los actores del ransomware estaban profesionalizando su operación justo antes de expandirse al modelo de Ransomware como servicio.
Dada la repentina aparición del ransomware NetWalker y el actor de amenaza asociado, sugiere que se debe tener algún conocimiento previo sobre el desarrollo del ransomware o la presencia subterránea. Armados con esta hipótesis, buscamos posibles vínculos con actores subterráneos y otras cepas de ransomware que podrían cumplir con los requisitos. Nos encontramos con un actor de amenazas que ofrecía ransomware que nos llamó la atención. Fue el uso del nombre NetWalker, en combinación con una fuerte conexión de ransomware, lo que despertó nuestro interés.
Hace algunos años, un actor de amenazas que usaba el sobrenombre de Eriknetwalker estaba publicitando ransomware en varios foros clandestinos. Encontramos publicaciones de 2016 y la última actividad pública fue alrededor de junio de 2019, varios meses antes de que apareciera el ransomware NetWalker.
Figura 26. Eriknetwalker comenzó a anunciar su ransomware en 2016 (traducido por Google del ruso)
En base a nuestra investigación subterránea, vinculamos el apodo Eriknetwalker al desarrollo y / o distribución de ransomware Amnesia, Bomber y Scarab. Eriknetwalker dejó de publicitar ransomware alrededor de junio de 2019. Por lo tanto, decidimos realizar un análisis comparativo entre las diferentes cepas de ransomware vinculadas a Eriknetwalker y algunas de las primeras versiones de NetWalker que pudimos encontrar.
El objetivo de este análisis comparativo era identificar si había una superposición entre los códigos fuente. Tal superposición podría sugerir un vínculo más fuerte entre la versión actual de NetWalker y las otras versiones de ransomware de Eriknetwalker, posiblemente incluso explicando la superposición de nombres.
Para ejecutar el análisis, utilizamos varias herramientas, una de las cuales era la herramienta de visualización binaria. Veles, que traduce dinámicamente información binaria en una visualización abstracta que nos permite identificar y comparar patrones.
Los diferentes tipos de ransomware que comenzamos a analizar fueron las variantes de Amnesia, Scarab y NetWalker.
Figura 27. Visualización plana de datos binarios de las diferentes variantes de ransomware
Figura 28. Visualización en 3D de datos binarios de las diferentes variantes de ransomware
Visualizar datos de esta manera es una forma de usar el cerebro humano para identificar rápidamente patrones y poder hacer comparaciones entre objetos. En nuestro caso, vemos que, en base a los datos binarios visualizados en las Figuras 27 y 28, los binarios de ransomware producen diferencias que no podemos ignorar.
Figura 29. Comparación de los resultados del código fuente
La Figura 29 muestra los resultados de un análisis de similitud del código fuente dirigido a las diferentes variantes de ransomware nombradas en la figura misma. Curiosamente, Scarab y Amnesia muestran una mayor superposición con Buran y Zeppelin que las primeras muestras de NetWalker. Los porcentajes que se muestran son la cantidad de código que es similar entre dos variantes.
Como se ilustra en la descripción general, la versión de NetWalker de septiembre de 2019 tiene una base de código diferente de las variantes de ransomware vinculadas a ErikNetWalker. Este hallazgo refuta nuestra hipótesis anterior de que NetWalker está vinculado a las variantes más antiguas de Amnesia basadas en la superposición de código.
A menudo, los equipos de investigación no publican sus resultados cuando refuta su propia hipótesis. Sin embargo, en aras de la transparencia, decidimos incluir nuestros esfuerzos de investigación.
Reglas de YARA
Subimos un Regla de YARA para detectar casi todas las muestras observadas en la naturaleza hasta la fecha.
Indicadores de compromiso
Durante nuestra investigación, hemos observado numerosos IoC vinculados al ransomware NetWalker. Para obtenerlos, visite nuestro McAfee Sitio de ATR GitHub, u obtenga los últimos NetWalker IoC e inteligencia sobre muchas otras amenazas con McAfee Insights.
Técnicas MITRE ATT & CK
Las siguientes técnicas se basaron en nuestra investigación y se complementaron con la investigación de colegas de la industria.
- Acceso inicial
- Aplicación de explotación pública (T1190): Exploit Tomcat, Exploit WebLogic
- Adjunto de phishing de lanza (T1566.001): correo electrónico de phishing
- Cuentas válidas (T1078): RDP comprometido
- Ejecución
- PowerShell (T1059.001): secuencia de comandos de PowerShell
- Intérprete de comandos y secuencias de comandos: Windows Command Shell (003)
- Ejecución de servicio (T1569.002): PsExec
- API nativa (T1106): use las funciones de la API de Windows para inyectar DLL
- Instrumentación de administración de Windows (T1047)
- Persistencia
- Clave de ejecución del registro (T1547.001): coloque un valor en la clave RunOnce
- Modificar clave de registro (T1112): cree su propia clave de registro en SOFTWARE
- Escalada de privilegios
- Explotación para la escalada de privilegios (T1068): CVE-2020-0796, CVE-2019-1458, CVE-2017-0213, CVE-2015-1701
- Inyección de proceso (T1055.001): inyección reflectante de DLL
- Evasión de defensa
- Desactivación de las herramientas de seguridad (T1562.001): ESET AV Remover, herramienta de desinstalación del agente de seguridad de Trend Micro, desinstalación del cliente de seguridad de Microsoft
- Inyección de proceso (T1055.001): inyección reflectante de DLL
- Desobuscar / decodificar archivos o información (T1140)
- Información o archivos ofuscados (T1027): PowerShell Script utiliza Base64 y codificación hexadecimal y cifrado XOR
- Acceso de credenciales
- Volcado de credenciales (T1003): Mimikatz, Mimidogz, Mimikittenz, Editor de credenciales de Windows, Pwdump, LaZagne
- Fuerza bruta (T1110.001): NLBrute
- Descubrimiento
- Escaneo de servicio de red (T1046): SoftPerfect Network Scanner
- Descubrimiento de software de seguridad (T1518.001)
- Descubrimiento de información del sistema (T1082)
- Movimiento lateral
- Software de terceros (T1072): TeamViewer, Anydesk
- Ejecución del servicio (T 1569.002): PsExec
- Transferencia lateral de herramientas (T1570)
- Colección
- Datos de repositorios de información (T1213)
- Datos del sistema local (T1005)
- Datos del disco compartido de red (T1039)
- Comando y control
- Transferencia de herramienta de ingreso (T1105)
- Impacto
- Datos cifrados (T1486): NetWalker Ransomware
- Inhibir la recuperación del sistema (T1490): instantáneas eliminadas
- Parada de servicio (T1489)
Conclusión
El ransomware se ha convertido en un negocio lucrativo para los actores de amenazas, desde foros clandestinos que venden ransomware, hasta ofrecer servicios como portales de soporte para guiar a las víctimas a través de la adquisición de moneda criptográfica para el pago, hasta la negociación del rescate. El equipo de Investigación de amenazas avanzadas de McAfee ha analizado el ransomware NetWalker y ha seguido su evolución desde el avistamiento inicial del ransomware Mailto hasta su reurbanización en el ransomware NetWalker. El cambio reciente a un modelo de Ransomware-as-a-Service centrado en los negocios es una clara señal de que está avanzando, por lo que parece que el grupo NetWalker está siguiendo los pasos de REvil y otros grupos RaaS exitosos. Los desarrolladores de ransomware han demostrado la capacidad de reenfocarse y capitalizar los eventos mundiales actuales y desarrollar señuelos para ayudar a garantizar la efectividad del ransomware, lo que les ha permitido ser selectivos de sus afiliados al limitar el acceso al ransomware solo a aquellos con acceso investigado grandes organizaciones A medida que continúa el desarrollo del ransomware, hemos sido testigos de cambios recientes en la actividad que siguen de cerca los pasos de otros desarrollos de ransomware, incluida la amenaza de víctimas con la divulgación de información confidencial si no se cumple el rescate.
McAfee ATR está monitoreando activamente las amenazas de ransomware y continuará actualizando McAfee MVISION Insights y sus canales de redes sociales con información nueva y actual. MVISION Insights es la única solución de seguridad de punto final proactiva que prioriza y predice simultáneamente las amenazas que son importantes para nuestros clientes, al tiempo que ofrece orientación prescriptiva sobre qué hacer en su entorno local. ¿Quieres estar por delante de los adversarios? Consulte McAfee MVISION Insights para obtener más información. Si desea experimentar algunas de las capacidades de MVISION Insights, vaya a la Vista previa de MVISION Insights, donde puede seleccionar la información más importante sobre amenazas disponible.
Escrito por: Thibault Seret, Valentine Mairet, Jeffrey Sman, Alfred Alvarado, Tim Hux, Alexandre Mundo, John Fokker, Marc Rivero Lopez y Thomas Roccia.