Dentro del intercambio dirigido a campañas de ransomware …



Los expertos en seguridad analizan las campañas de ransomware que apuntan a las vulnerabilidades de Microsoft Trade Server parcheadas el mes pasado.

A medida que las organizaciones de todo el mundo se apresuraban a reparar las fallas críticas de Microsoft Trade Server reparadas el mes pasado, los delincuentes aumentaron la apuesta con múltiples campañas de ransomware dirigidas a servidores vulnerables.

Las noticias sobre la actividad de ransomware surgieron por primera vez el 12 de marzo, solo 10 días después de que Microsoft lanzara los parches, y llegó cuando los investigadores notaron un aumento en los ataques de ransomware luego de la divulgación de los días cero de Trade Server. En la semana que finalizó el 30 de marzo, el número de ataques relacionados con las fallas de Exchange Server se había triplicado a más de 50.000 en todo el mundo.

Investigación de Test Level informes Las industrias más afectadas por estos ataques incluyen el gobierno y el ejército, la manufactura, la banca y las finanzas. El país más afectado es Estados Unidos, que representa el 49% de todos los intentos de explotación, el Reino Unido (5%), los Países Bajos (4%) y Alemania.

La primera variante de ransomware que apareció fue DearCry / DoejoCrypt, que copia y encripta archivos y luego sobrescribe y elimina los originales, una táctica vista anteriormente en el ransomware WannaCry.

Los ataques de DoejoCrypt comienzan con una variante del shell website de China Chopper que se implementa en un servidor Exchange después de la explotación, explica Microsoft en un redactar. El shell internet escribe un archivo por lotes en C: Home windows Temp xx.bat En todos los sistemas afectados por este ransomware, este archivo por lotes realiza una copia de seguridad de la foundation de datos del Administrador de cuentas de seguridad (SAM) y de las secciones del registro del sistema y la seguridad, que brindan a los atacantes acceso posterior a las contraseñas de los usuarios locales en el sistema.

Microsoft señala que debido a las configuraciones que los administradores utilizan normalmente en los servidores Exchange, es probable que muchos sistemas infectados tengan al menos un servicio o una tarea programada configurada con una cuenta con muchos privilegios para realizar tareas como copias de seguridad.

«Como las credenciales de la cuenta de servicio no se cambian con frecuencia, esto podría proporcionar una gran ventaja para un atacante incluso si pierde su acceso inicial a la shell world-wide-web debido a una detección de antivirus», explica el equipo de inteligencia de amenazas de Microsoft 365 Defender en su publicación de web site.

El encabezado de cifrado que DoejoCrypt agrega a los archivos infectados es equivalent al encabezado utilizado en los ataques de WannaCry, escribe el director de ingeniería de Sophos, Mark Loman. en una publicación de web site, señalando que esto «parece más que una coincidencia». El análisis de las muestras de DoejoCrypt reveló que los binarios no tenían defensa contra las firmas de antivirus y todas las cadenas de texto del ransomware se dejaron «a la vista».

Según la publicación de Microsoft del 25 de marzo, la carga útil de DoejoCrypt es «el resultado más obvious» de las acciones de los atacantes sin embargo, su acceso a las credenciales podría ayudarlos en futuras campañas.

«Espero que cualquiera que no haya parcheado o mitigado los shells website que se colocaron durante el mes pasado se encuentre en una situación bastante difícil», dice Juan Guerrero-Saade, investigador principal de amenazas de SentinelOne. «Esto ya está disponible para cualquiera», dice sobre las hazañas.

Black KingDom: Arise una segunda campaña
El jueves 18 de marzo, la telemetría de Sophos reveló otra banda de ransomware dirigida a servidores Trade vulnerables.

«Por lo typical, estas campañas comienzan antes del fin de semana porque la mayoría de los (equipos) de TI no tienen suficiente personal durante el fin de semana o, por lo general, no monitorean su purple», dice Loman en una entrevista con Dark Looking through. La probabilidad de que esto suceda es aún mayor para las organizaciones que no han priorizado el parcheo de su servidor Exchange area vulnerable, agrega.

Loman llama al ransomware Black KingDom «un poco raro» y señala que no tiene prácticamente nada en común con DoejoCrypt, aparte del hecho de que apunta a la misma vulnerabilidad.

Black KingDom es «rudimentario y aficionado», escribe en un entrada en el site, y probablemente creado por un «guion infantil motivado» debido a la forma en que está construido. El ransomware se escribió en Python y se compiló de una manera que dejó su código fuente authentic incrustado dentro del binario del ransomware, que los investigadores realizaron ingeniería inversa para desenterrar el código fuente first.

Su naturaleza amateur es evidente en el enfoque de Black KingDom para el cifrado de archivos, que Loman llama el aspecto más interesante de este ransomware. Normalmente, el ransomware elige una extensión de archivo única para cada archivo que cifra, lo que garantiza que esos tipos de archivos no se cifren dos veces, explica. Black KingDom elige una extensión de archivo aleatoria para cada archivo que cifra.

«Eso es realmente extraño», señala Loman. El ransomware tampoco comprueba si un archivo ya ha sido cifrado, un paso que suelen tomar otras formas comunes de ransomware.

«Lo que llamamos actores de ransomware de &#39gran juego&#39, como Ryuk o REvil o Clop, todos tienen este tipo de comprobaciones en su código para que no cifren el sistema dos veces», explica. El enfoque más cercano de Black KingDom a este tipo de «cheque» es una nota de rescate específica que se coloca en la máquina de la víctima. Pero si una víctima quita la nota, la máquina puede volver a encriptarse, lo que dificulta mucho más la desencriptación, incluso si se paga el rescate.

Además, agrega, la demanda de rescate de Black KingDom fue de $ 10,000, una pequeña cantidad en comparación con algunas de las altas demandas de rescate de hoy.

Loman admite que le sorprendió que un grupo relativamente aficionado pudiera lograr esto dado que Hafnium, el primer grupo vinculado a cualquier ataque dirigido a estas vulnerabilidades, es un grupo avanzado vinculado al gobierno chino. Él especula que Black KingDom puede estar relacionado con un ransomware del mismo nombre visto el año pasado dirigido a máquinas que ejecutan una versión susceptible del application concentrador Pulse Protected VPN.

«Hay varias formas de distribuir su ransomware en las empresas, pero este grupo se centró específicamente en abusar de una vulnerabilidad en los dispositivos conectados a Web», dice. De esta manera, están haciendo uso de la baja frecuencia de parcheo de las empresas que ejecutan servidores Trade locales.

Kelly Sheridan es la editora de private de Dark Looking at, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original