El grupo ruso de cibercrimen conocido como Evil Corp ha agregado un nuevo ransomware a su arsenal llamado WastedLocker. Este ransomware se usa en ataques dirigidos contra empresas.
APT Evil Corp
El grupo APT Evil Corp, también conocido como Indrik Spider, comenzó afiliado a la botnet ZeuS. Con el tiempo, se enfocaron en la distribución del troyano bancario Dridex a través de correos electrónicos de phishing. A medida que sus ataques evolucionaron y motivados por la adquisición de recuros financieros, el grupo focalizó sus esfuerzos en un nuevo objetivo, creando así el ransomware BitPaymer que se distribuía a través de Dridex en ataques dirigidos contra redes corporativas.
Los investigadores de Fox-IT explican que después de la acusación contra los miembros de Evil Corp: Igor Olegovich Turashev y Maksim Viktorovich Yakubets, sus campañas se vieron disminuidas, no obstante, el receso ayudó a que el grupo reestructurara sus tácticas. Esta nueva transformación se traduce en que hoy en día Evil Corp, ha comenzado a distribuir una nueva variante de ransomware llamada WastedLocker en ataques dirigidos contra empresas.
Proceso de Infección
Para entregar el ransomware, Evil Corp está comprometiendo sitios web, inyectando código malicioso con una técnica conocida como SocGholish. Este código malicioso queda embebido en una URL del servidor y al ejecutarse descarga del payload malicioso, logrando así que las víctimas se infecte con diversas variantes de malware entre los cuales destaca el toolKit Cobalt Strike, logrando la persistencia en la máquina del usuario infectado y comunicaciones con un C&C.
De este modo, los actores de amenaza tendrían acceso directo para comprometer aún más la red e implementar WastedLocker Ransomware.
WastedLocker Ransomware
los ataques WastedLocker no parecen robar datos antes de cifrar archivos. Cuando se inicia, el ransomware WastedLocker elegirá un archivo EXE o DLL aleatorio en C: \ Windows \ System32 y usará el nombre de ese archivo para crear un nuevo archivo sin una extensión en la carpeta% AppData%. Adjunto a este archivo hay una secuencia de datos alternativa llamada 'bin', que luego se ejecutará. Una vez ejecutado, el ransomware intentará cifrar todas las unidades de la computadora, omitiendo archivos en carpetas específicas o que contengan ciertas extensiones.
En lugar de incluir una lista de destinos de extensión, WastedLocker incluye una lista de directorios y extensiones para excluir del proceso de cifrado. Los archivos con un tamaño inferior a 10 bytes también se ignoran y, en el caso de un archivo grande, el ransomware los cifra en bloques de 64 MB.
Estos ataques están dirigidos, lo que significa que el ransomware está diseñado específicamente para atacar a una empresa. Como parte de esta personalización, el ransomware combinará una cadena de caracteres y las iniciales de la compañía para generar una extensión que se agrega a los archivos cifrados de la víctima.
Panorama
Es interesante que el grupo no parezca haberse involucrado en el robo de información extensa o amenazado con publicar información sobre las víctimas de la forma en que muchas otras operaciones de ransomware dirigidas lo han hecho. Evaluamos que la razón probable para no filtrar información de la víctima es la atención no deseada que esto atraería de la policía y la comunidad.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows |
8 8.1 10 |
Microsoft Windows Server |
2012 2012 R2 2016 2019 |
Tipo | Indicador |
---|---|
url | adsmarketart.com |
url | advancedanalysis.be |
url | advertstv.com |
url | amazingdonutco.com |
url | cofeedback.com |
url | consultane.com |
url | dns.proactiveads.be |
url | mwebsoft.com |
url | traffichi.com |
url | typiconsult.com |
url | websitelistbuilder.com |
url | bettyware.xyz |
url | celebratering.xyz |
url | fakeframes.xyz |
url | gadgetops.xyz |
url | hotphonecall.xyz |
url | justbesarnia.xyz |
url | kordelservers.xyz |
url | tritravlife.xyz |
url | veisllc.xyz |
url | wineguroo.xyz |
hash | 5cd04805f9753ca08b82e88c27b... |
hash | 887aac61771af200f7e58bf0d02... |
hash | 8897db876553f942b2eb4005f84... |
hash | bcdac1a2b67e2b47f8129814dca... |
hash | e3bf41de3a7edf556d43b619665... |
hash | ed0632acb266a4ec3f51dd803c8... |