Víctimas de Darkside Ransomware vendidas cortas


Durante la última semana, hemos visto un considerable volumen de trabajo centrado en DarkSide, el ransomware responsable de la reciente cierre del gasoducto. Muchos de los excelentes informes técnicos detallarán cómo opera un modelo de afiliados que ayuda a otros a involucrarse dentro del modelo comercial de ransomware (además de los desarrolladores). Si bien esto puede no ser un fenómeno nuevo, este modelo es implementado activamente por muchos grupos con gran efecto. Aquí está el quid del desafío: si bien la atención puede estar en el ransomware DarkSide, la dura realidad es que se debe poner la misma preocupación en Ryuk, REVIL, Babuk, Cuba, etc. Estos y otros grupos y sus afiliados, explotar vectores de entrada comunes y, en muchos casos, las herramientas que vemos que se utilizan para moverse dentro de un entorno son las mismas. Si bien este documento técnico cubre DarkSide con más detalle, debemos enfatizar la importancia de implementar las mejores prácticas para asegurar / monitorear su red. Estas publicaciones adicionales pueden guiarlo para hacerlo:

DarkSide Ransomware: ¿Qué es?

Como se mencionó anteriormente, DarkSide es un Ransomware-as-a-Service (RaaS) que ofrece altos retornos para los probadores de penetración que están dispuestos a proporcionar acceso a redes y distribuir / ejecutar el ransomware. DarkSide es un ejemplo de RaaS mediante el cual invierten activamente en el desarrollo del código, afiliados y nuevas funciones. Además de su amenaza de filtrar datos, tienen una opción separada para que las empresas de recuperación negocien, están dispuestas a interactuar con los medios y están dispuestas a llevar a cabo un ataque de denegación de servicio distribuido (DDoS) contra las víctimas. Aquellas víctimas que pagan un rescate reciben una alerta de DarkSide sobre las empresas que están en la bolsa de valores que son violadas, a cambio de su pago. Abundan los posibles problemas legales, por no mencionar las preocupaciones éticas, pero esta información ciertamente podría proporcionar una ventaja en las ventas en corto cuando surja la noticia.

El grupo detrás de DarkSide también es particularmente activo. Con MVISION Insights podemos identificar la prevalencia de objetivos. Este mapa ilustra claramente que la geografía más específica es claramente Estados Unidos (en el momento de escribir este artículo). Además, los sectores a los que se dirige principalmente son Servicios jurídicos, Venta al por mayor, y Fabricación, Seguido por el Petróleo, Gas y Químico sectores.

Asesoramiento sobre cobertura y protección

La solución EPP líder del mercado de McAfee cubre el ransomware DarkSide con una variedad de técnicas de detección y prevención temprana.

Los clientes que utilicen MVISION Insights encontrarán un perfil de amenaza en esta familia de ransomware que se actualiza cuando hay información nueva y relevante disponible.

DETECCIÓN TEMPRANA

MVISION EDR incluye detecciones en muchos de los comportamientos utilizados en el ataque, incluida la escalada de privilegios, balizas maliciosas de PowerShell y CobaltStrike, y visibilidad de los comandos de descubrimiento, comando y control, y otras tácticas a lo largo de la cadena de ataque. Tenemos telemetría EDR que indica una detección temprana antes de la detonación de la carga útil de Ransomware.

PREVENCIÓN

ENS TP proporciona cobertura contra indicadores conocidos en el último conjunto de firmas. Las actualizaciones de los nuevos indicadores se envían a través de GTI.

ENS ATP proporciona contenido de comportamiento que se centra en la detección proactiva de la amenaza y, al mismo tiempo, ofrece IoC conocidos para detecciones tanto en línea como fuera de línea.

ENS ATP agrega dos (2) capas adicionales de protección gracias a las reglas de JTI que brindan reducción de la superficie de ataque para comportamientos de ransomware genéricos y RealProtect (estático y dinámico) con modelos de ML dirigidos a amenazas de ransomware.

Para obtener la guía de mitigación más reciente, revise:

https://kc.mcafee.com/corporate/index?page=content&id=KB93354&locale=en_US

Análisis técnico

La plataforma RaaS ofrece al afiliado la opción de crear una versión para Windows o Unix del ransomware. Dependiendo de lo que se necesite, observamos que los afiliados están utilizando diferentes técnicas para eludir la detección, enmascarando los binarios de Windows generados por DarkSide. El uso de varios empaquetadores o la firma del binario con un certificado son algunas de las técnicas que se utilizan para hacerlo.

Como han descrito colegas de nuestra industria, también observamos campañas en las que los afiliados y su equipo de piratería utilizaban varias formas de obtener acceso inicial a la red de sus víctimas.

  1. Utilizando cuentas válidas, aproveche las vulnerabilidades en los servidores o RDP para la etapa inicial
  2. A continuación, establezca una cabeza de playa en la red de la víctima mediante el uso de herramientas como Cobalt-Strike (balizas), RealVNC, RDP portado a través de TOR, Putty, AnyDesk y TeamViewer. TeamViewer es lo que también vemos en la configuración de la muestra de ransomware:

La configuración del ransomware contiene varias opciones para habilitar o deshabilitar los procesos del sistema, pero también la parte anterior donde indica qué procesos no deben ser eliminados.

Como se mencionó anteriormente, muchas de las muestras actuales de Windows en la naturaleza son la versión 1.8 de DarkSide, otras son la versión 2.1.2.3. En un chat, uno de los actores reveló que pronto se lanzará una versión V3.

El 23 de marzord, 2021, en XSS, uno de los portavoces de DarkSide anunció una actualización de DarkSide como una versión de PowerShell y una actualización importante de la variante de Linux:

En las muestras actuales que observamos, vemos el componente PowerShell que se usa para eliminar las instantáneas de volumen, por ejemplo.

  1. Una vez que se ha establecido un punto de apoyo sólido, los actores utilizan varias herramientas para obtener más privilegios.

Herramientas observadas:

  • Mimikatz
  • Volcado de LSASS
  • Descargador de contraseñas IE / FireFox
  • Powertool64
  • Imperio
  • Omitiendo UAC
  1. Una vez que se obtienen suficientes privilegios, es hora de trazar un mapa de la red e identificar los sistemas más críticos como servidores, almacenamiento y otros activos críticos. Se observó que se ha utilizado una selección de las siguientes herramientas en varios casos:
  • Sabueso
  • ADBuscar
  • ADRecon
  • Herramientas de escaneo de IP
  • Varias herramientas nativas de Windows
  • Scripts de PowerShell

Antes de distribuir el ransomware por la red utilizando herramientas como PsExec y PowerShell, los datos se exfiltraron a los servicios en la nube que luego se utilizarían en la página DarkSide Leak con fines de extorsión. Comprimir los datos, usar Rclone o WinSCP son algunos de los ejemplos observados.

Si bien nuestros pares escriben muchos análisis buenos y en profundidad, una cosa que vale la pena señalar es que cuando se ejecuta DarkSide, el proceso de cifrado es rápido. Es una de las áreas de las que los actores se jactan en el mismo foro y hacen una comparación para convencer a los afiliados de que se unan a su programa:

DarkSide, como el ransomware Babuk, tiene una versión para Linux. Ambos tienen como objetivo sistemas * nix pero, en particular, servidores VMWare ESXi y almacenamiento / NAS. El almacenamiento / NAS es fundamental para muchas empresas, pero ¿cuántos de ustedes están ejecutando un escritorio virtual alojado en un servidor ESXi?

Darkside escribió una variante de Linux que admite el cifrado de las versiones 5.0 – 7.1 del servidor ESXI, así como la tecnología NAS de Synology. Afirman que pronto se admitirán otras tecnologías NAS / de respaldo.

En el código observamos claramente este soporte:

Además, la configuración de la versión de Linux muestra que está buscando claramente el tipo de archivos de disco virtual / memoria:

Aunque el adversario afirmó recientemente que votó por los objetivos, los ataques continúan con muestras empaquetadas y firmadas observadas tan recientemente como hoy (12 de mayo de 2021):

Conclusión

Recientemente el Grupo de trabajo de ransomware, una asociación de la que McAfee se enorgullece de formar parte, publicó un documento detallado sobre cómo se están produciendo los ataques de ransomware y cómo se deben tomar las contramedidas. Como muchos de nosotros hemos publicado, presentado y publicado investigaciones sobre, Es tiempo de actuar. Siga los enlaces incluidos en este blog para aplicar los consejos más amplios sobre cómo aplicar la protección y detección disponibles en su entorno contra tales ataques.

Técnicas MITRE ATT y CK aprovechadas por DarkSide:

Datos cifrados para impacto – T1486

Inhibir la recuperación del sistema – T1490

Cuentas válidas – T1078

PowerShell – T1059.001

Ejecución del servicio – T1569.002

Manipulación de cuentas – T1098

Inyección de biblioteca de enlace dinámico – T1055.001

Descubrimiento de cuenta – T1087

Omitir control de acceso de usuario – T1548.002

Modificación de permisos de archivo – T1222

Descubrimiento de información del sistema – T1082

Descubrimiento de procesos – T1057

Captura de pantalla – T1113

Compilar después de la entrega: T1027.004

Credenciales en el registro – T1552.002

Archivos o información ofuscados – T1027

Módulos compartidos – T1129

Instrumental de administración de Windows – T1047

Aprovechar la aplicación de cara al público – T1190

Phishing: T1566

Servicios remotos externos – T1133

Proxy multisalto – T1090.003

Explotación para el aumento de privilegios – T1068

Protocolo de capa de aplicación – T1071

Omitir el control de cuentas de usuario – T1548.002

Puerto de uso común – T1043

Compilar después de la entrega – T1500

Credenciales de almacenes de contraseñas – T1555

Credenciales de navegadores web: T1555.003

Credenciales en el registro – T1214

Desofuscar / decodificar archivos o información – T1140

Deshabilitar o modificar herramientas – T1562.001

Cuenta de dominio – T1087.002

Grupos de dominio: T1069.002

Descubrimiento de confianza de dominio – T1482

Exfiltración sobre protocolo alternativo – T1048

Exfiltración a almacenamiento en la nube: T1567.002

Descubrimiento de archivos y directorios – T1083

Recopile información de la red de víctimas – T1590

Transferencia de herramienta de entrada – T1105

Modificación de permisos de archivos y directorios de Linux y Mac – T1222.002

Mascarada – T1036

Inyección de proceso – T1055

Descubrimiento de sistema remoto – T1018

Tarea / trabajo programado – T1053

Parada de servicio – T1489

Descubrimiento de configuración de red del sistema – T1016

Servicios del sistema – T1569

Mancha de contenido compartido – T1080

Shell de Unix – T1059.004





Enlace a la noticia original