Ransomwares emergentes entran al panorama de amenazas

Hemos evidenciado amenazas de ransomware emergentes que actualmente afectan a las organizaciones y muestran signos de tener el potencial de volverse más frecuentes en el panorama de amenazas. Estas nuevas variantes de ransomware están en constante evolución debido a la gran diversidad de herramientas que permiten automatizar la explotación de sistemas. Esto nos pone en un ciber escenario complejo, donde la explotación de vulnerabilidades no requiere mayores destrezas de un atacante para poder ser explotadas.

Spook es un nuevo ransomware cuyas primeras publicaciones en el sitio de extorsión del grupo datan de los últimos días del mes de septiembre, siguiendo el modelo de un ransomware de doble extorsión.

Método de propagación

En la mayoría de los casos de ransomware, Spook se adjunta a un mensaje de correo electrónico no deseado mientras se disfraza como un archivo de documento válido. Tan pronto como se abre el archivo adjunto Spook ransomware inicia el ataque.

Otros canales de propagación evidenciados:

• Ataques de ingeniería social
• Sitios web infectados
• Descargador de troyanos
• Explotación de vulnerabilidades de software

Infección de ransomware Spook

Tan pronto como Spook ransomware se ejecuta en la computadora infecta el sistema de inmediato, generalmente con la siguiente secuencia:

• Comunicación a un servidor remoto para descargar módulos adicionales.
• Búsqueda en la unidad local y los recursos de red para obtener información vital, especialmente archivos específicos.
• Utilización de cifrado para denegar el acceso del usuario de la computadora a los archivos. 
• Cambio de nombres de los datos agregando una identificación única en cada archivo cifrado. 
  • Ejemplo: la image.jpg habitual se transformará en image.jpg.PUUEQS8AEJ .
• Esta identificación generada para cada víctima es necesaria cuando se comunica con el atacante para obtener la herramienta de descifrado de archivos Spook.

Nota de rescate:

Características Spook ransomware

• Método de cifrado: AES-256 combinado con cifrado asimétrico RSA-1024
• Extensión de archivo: .(caracteres aleatorios)
• Archivo de nota de ransomware: RESTORE_FILES_INFO.hta

Campañas

Actualmente Spook ransomware presenta una gran actividad evidenciada en su portal, solo en lo que lleva del mes de octubre aparecen 7 nuevas víctimas, sumando un total de 14 en su corto periodo de existencia. De esto debemos destacar que 4 víctimas estarían presentes en el área LATAM, de las cuales 2 serían del sector nacional.

BlackByte es un nuevo ransomware cuyas primeras publicaciones en el sitio de extorsión del grupo datan del mes de septiembre. Como parte de su funcionalidad modifica los nombres originales de los archivos bloqueados agregando ‘. blackbyte' como una nueva extensión. 

La amenaza deja una nota de rescate con instrucciones contenidas dentro de un archivo llamado 'BlackByte_restoremyfiles.hta'.

Nota Rescate BlackByte.

De algunas de las instrucciones que los ciberactores detrás de BlackByte Ransomware entregan en su nota de rescates se destacan las siguientes:

• Dan a sus víctimas 3 días para pagar el rescate exigido. Después de ese tiempo, la información recopilada de los sistemas comprometidos se publicará en un sitio de subastas que está alojado en la red TOR.
• Las víctimas de BlackByte pueden enviar 2 archivos cifrados que se desbloquearán y devolverán de forma gratuita. Sin embargo, los archivos deben cumplir dos requisitos: 
  • No deben contener información importante.
  • No deben exceder los 3 MB. 

Campañas

Actualmente Blackbyte presenta una gran actividad evidenciada en su portal, donde suman un total de 8 víctimas  en su corto periodo de existencia, destacando 1 víctima presente en el área LATAM, específicamente a nivel nacional.

AvosLocker es un ransomware como servicio (RaaS) que comenzó a operar a fines de junio, promociona su programa RaaS y busca afiliados en foros de discusión de la web oscura.

Dentro de sus características podemos destacar:

• La utilización de un logotipo de escarabajo azul para identificarse en las comunicaciones con las víctimas y los "comunicados de prensa" destinados a reclutar nuevos afiliados.

• Ofrece soporte técnico para ayudar a las víctimas a recuperarse después de haber sido atacadas con un software de cifrado (Software, según el grupo,"a prueba de fallas")
• Bajas tasas de detección.
• Capacidad de manejar archivos grandes.

Infección de ransomware

• AvosLocker, cuando se ejecuta, primero abre un shell de Windows que muestra el avance del proceso de cifrado.
• Una vez que se completa el cifrado, agrega la extensión .avos a los archivos cifrados.
• Suelta la nota de rescate GET_YOUR_FILES_BACK.TXT en cada directorio cifrado.

Nota rescate

• Los delincuentes piden que se les pague a través de Monero, y la suma que exigen parece ser diferente para cada víctima.

Campañas

Este ransomware también tiene un sitio de extorsión en el que afirma haber afectado a organizaciones en:

• EE. UU.
• Reino Unido
• Emiratos Árabes Unidos
• Bélgica
• España
• Líbano

No evidenciándose por el momento víctimas en el área LATAM. Las demandas iniciales de rescate oscilaron entre 50.000 y 75.000 dólares.

Hive Ransomware es un ransomware de doble extorsión que comenzó a operar en junio utilizando todas las herramientas de extorsión disponibles para crear presión sobre la víctima, incluida la fecha del compromiso inicial, la cuenta regresiva, la fecha en que la filtración se reveló en su sitio e incluso la opción de compartir la filtración revelada en las redes sociales.

Infección de ransomware

• Cuando se ejecuta Hive ransomware suelta dos scripts por lotes:
  • El primer script, “hive.bat” intenta borrarse a sí mismo.
  • El segundo script se encarga de borrar las instantáneas del sistema (shadow.bat). 
• El ransomware Hive agrega la extensión [caracteres aleatorios]. hive a los archivos cifrados.
• Suelta una nota de rescate titulada HOW_TO_DECRYPT.txt que contiene instrucciones y pautas para evitar la pérdida de datos.
  • La nota de rescate incluye una credencial de inicio de sesión generada para que la víctima se conecte a través de un enlace con lo que los actores de amenazas afirman es su departamento de "ventas". 
  • El enlace TOR dirige al "cliente" a una página de inicio de sesión y, una vez que se envían las credenciales, abre una sala de chat para la comunicación entre los operadores y la víctima.

Nota de rescate Hive Ransomware.

Campañas

Hive ha impactado a más de 25 organizaciones que ahora figuran en el sitio de extorsión del grupo, incluida una compañía aérea europea y tres organizaciones con sede en Estados Unidos. Además, se ha evidenciado en LATAM afectando a una empresa de Perú.

Atomsilo es un nuevo ransomware cuya principal característica es la reciente creación de un portal de exfiltración que es idéntico en su iconografía al portal de Ransomware de BlackMatter. Además, presenta actividad desde septiembre con una víctima publicada que pertenece al área LATAM, específicamente de Brasil.

Infección de ransomware

El ransomware cifra los archivos con la extensión “. ATOMSILO”. Luego del cifrado deja un archivo con la nota de rescate que se abre en el navegador y detalla las instrucciones a seguir para recuperar los archivos del cifrado y el monto a pagar en bitcoins.

Tal como se mencionó en “Panorama de ransomware segundo trimestre”, la aparición de nuevos actores emergentes coincide con el cese o la desaparición de grandes grupos como Darkside o REvil que buscan disminuir su gran exposición mediática y evitar así la aplicación de la ley. 

Las prolíficas actividades maliciosas observadas de estos grupos de ransomware emergentes estarían orientadas a convertirse en ciberactores con un alto porcentaje de ganancia monetaria, para luego mutar o cambiar sus operaciones para evitar las infructuosas pesquisas de los organismos de seguridad. Es necesario hacer presente que el área LATAM no estaría ajena a los ataques de estos ciberactores.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.