WastedLocker ransomware distribuido a través de actualizaciones de programas falsos

El grupo ruso de cibercrimen conocido como Evil Corp ha agregado un nuevo ransomware a su arsenal llamado WastedLocker. Este ransomware se usa en ataques dirigidos contra empresas.

APT Evil Corp

El grupo APT Evil Corp, también conocido como Indrik Spider, comenzó afiliado a la botnet ZeuS. Con el tiempo, se enfocaron en la distribución del troyano bancario Dridex a través de correos electrónicos de phishing. A medida que sus ataques evolucionaron y motivados por la adquisición de recuros financieros, el grupo focalizó sus esfuerzos en un nuevo objetivo, creando así el ransomware BitPaymer que se distribuía a través de Dridex en ataques dirigidos contra redes corporativas.

Los investigadores de Fox-IT explican que después de la acusación contra los miembros de Evil Corp: Igor Olegovich Turashev y Maksim Viktorovich Yakubets, sus campañas se vieron disminuidas, no obstante, el receso ayudó a que el grupo reestructurara sus tácticas. Esta nueva transformación se traduce en que hoy en día Evil Corp, ha comenzado a distribuir una nueva variante de ransomware llamada WastedLocker en ataques dirigidos contra empresas.

Proceso de Infección

Para entregar el ransomware, Evil Corp está comprometiendo sitios web, inyectando código malicioso con una técnica conocida como SocGholish. Este código malicioso queda embebido en una URL del servidor y al ejecutarse descarga del payload malicioso, logrando así que las víctimas se infecte con diversas variantes de malware entre los cuales destaca el toolKit Cobalt Strike, logrando la persistencia en la máquina del usuario infectado y comunicaciones con un C&C.

De este modo, los actores de amenaza tendrían acceso directo para comprometer aún más la red e implementar WastedLocker Ransomware.

WastedLocker Ransomware

los ataques WastedLocker no parecen robar datos antes de cifrar archivos. Cuando se inicia, el ransomware WastedLocker elegirá un archivo EXE o DLL aleatorio en C: \ Windows \ System32 y usará el nombre de ese archivo para crear un nuevo archivo sin una extensión en la carpeta% AppData%. Adjunto a este archivo hay una secuencia de datos alternativa llamada 'bin', que luego se ejecutará. Una vez ejecutado, el ransomware intentará cifrar todas las unidades de la computadora, omitiendo archivos en carpetas específicas o que contengan ciertas extensiones.

En lugar de incluir una lista de destinos de extensión, WastedLocker incluye una lista de directorios y extensiones para excluir del proceso de cifrado. Los archivos con un tamaño inferior a 10 bytes  también se ignoran y, en el caso de un archivo grande, el ransomware los cifra en bloques de 64 MB.

Estos ataques están dirigidos, lo que significa que el ransomware está diseñado específicamente para atacar a una empresa. Como parte de esta personalización, el ransomware combinará una cadena de caracteres y las iniciales de la compañía para generar una extensión que se agrega a los archivos cifrados de la víctima.

Panorama

Es interesante que el grupo no parezca haberse involucrado en el robo de información extensa o amenazado con publicar información sobre las víctimas de la forma en que muchas otras operaciones de ransomware dirigidas lo han hecho. Evaluamos que la razón probable para no filtrar información de la víctima es la atención no deseada que esto atraería de la policía y la comunidad.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.