Ransomware RagnarLocker se difunde por máquinas virtuales para evadir seguridad

25 Mayo 2020
Alto

En abril de 2020 el gigante energético multinacional portugués Energías de Portugal (EDP) fue atacado por el Ransomware Ragnar Locker. Los atacantes exigieron rescate de 1.580 BTC después de afirmar que habían robado más de 10 TB de archivos confidenciales.

Ragnar Locker ransomware

Se trata de una amenaza relativamente reciente, ya que sus primeras acciones se produjeron a finales de diciembre de 2019. La particularidad de esta variante es que además de solicitar el rescate, logra exfiltar la información cifrada para amenazar a las víctimas con divulgarla en caso de que no se produzca el pago solicitado.

Recientemente la empresa EDP, una de las compañías eléctricas mas grande del mundo ubicada en el país de Portugal se enfrentó a un caso de extorsión en el que se ha empleado el uso del ransomware Ragnar Locker que, según las informaciones publicadas se enfrentó a la reclamación de un rescate de 1.580 bitcoins, cerca de catorce millones y medio de dólares con la cotización actual de la criptomoneda.

Actualmente los atacantes están implementando máquinas virtuales VirtualBox con Windows XP para ejecutar el ransomware y cifrar archivos, de esta manera permite que los archivos maliciosos no sean detectados por el software de seguridad que se ejecuta en el host.

Este ataque se inicia luego de la infiltración de los atacantes quienes, utilizando una tarea de GPO (Windows Group Policy Objects), ejecutan Microsoft Installer (msiexec.exe) para instalar un paquete MSI de 122 MB desde un servidor remoto. El contenido del paquete incluye una instalación de un hipervisor de VirtualBox del 2009 (Sun xVM VirtualBox 3.0.4), un archivo de imagen de disco virtual llamado micro.vdi y una imagen del SO Windows XP v0.82 que incluye el ejecutable del Ransomware de 49 KB y varios ejecutables y scripts para preparar el sistema.

El software de virtualización y la imagen del disco virtual se copian en la carpeta C:\Program Files (x86)\VirtualAppliances.

Mediante un archivo por lotes install.bat, los operadores de ransomware buscarán unidades locales y unidades de red asignadas en el host y crearán un archivo de configuración que las compartirá automáticamente con la máquina virtual.

El Centro de Ciberinteligencia recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Deshabilite los servicios RDP, si no son necesarios. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de MailSpam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #ragnarlocker #ransomware #winXP #imagenvirual


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.