Ransomware BlackMatter presente en el panorama de amenazas sudamericano y nacional

16 Agosto 2021
Alto

Tal como lo informamos en nuestro panorama de ransomware segundo trimestre, se ha evidenciado campañas a nivel global y nacional desde julio un nuevo ciberactor llamado BlackMatter, quienes han anunciado reunir las mejores capacidades de "Revil", "DarkSide" y "LockBit”, sumando además la capacidad de infectar sistemas como windows, linux y ESXi (VMware).
 

BlackMatter

Desde julio de 2021 se ha observado la aparición de un nuevo ciberactor, los cuales se han promocionado y reclutado actores mediante foros de habla rusa (Exploit[.]in y XSS[.]is), adjudicándose mejores capacidades, motivo por el cual se apunta desde diferentes fuentes que sería el nuevo nombre de DarkSide que recientemente ha cesado sus operaciones tras la gran relevancia política de sus ataques contra petrolífera en EE.UU. Tiempo después, apareció BlackMatter con capacidades similares a DarkSide, que tras entrevista con medios indican hubo un desarrollo de sus herramientas durante 6 meses, donde hacen mención que han incluido las mejores partes de softwares de diferentes "Actores" con el claro objetivo de hacer dinero con empresas que cuentan con recursos suficientes para pagar su extorsión apuntando a compañías con ganancias anuales de más de USD$100 Millones.


Declaración de Principios


Dentro de su website han declarado como reglas de principios que no se encuentran interesados en áreas gubernamentales, de la salud, infraestructura crítica, defensa, organizaciones sin fines de lucro y relacionadas a petróleo y gas, intentando desviar su interés debido al escrutinio público o persecuciones gubernamentales como se han visto involucrado sus pares, sin embargo, esta información se ha catalogado como un desvío de atención para desligarse de repercusiones por ataques previos.
 

Principales características

  • Desde BlackMatter se indica que han incorporado las principales fortalezas de variantes anteriores de ransomware:
    • Revil: Se incluye una variante PowerShell del Ransomware
    • DarkSide: Toman la idea de suplantación con la capacidad de utilizar cuenta de administrador de dominio, encriptar almacenamientos compartidos y la estructura del panel de administración
    • LockBit: Solo toman pequeños parámetros de su código y mejoran velocidad de cifrado de 256Kb/s a 1Mb/s
  • Su velocidad de cifrado está dada por la manipulación de solo los primeros bits de cada archivo y no su totalidad.
  • Se agrega una extensión con ID dado por los parámetros de registro (HKLM\SOFTWARE\Microsoft\Cryptography.) dando como resultado la  siguiente sintaxis:
    • <Nombre_de_archivo>.<ID_Victima> (nueva extension de archivos)
    • “<ID_Victima>.README.txt” (Nota de rescate)
       

MITRE ATT&ACK

En base a técnicas descritas por MITRE ATT&ACK se identifican los siguientes mecanismos de acción:

  • Acceso inicial 
    • (T1566) Phishing: Técnica de Ingeniería Social que consiste en envío de mensajes fraudulentos con links de acceso o archivos de descarga para su ejecución comúnmente enviados como spam hacia una organización o “Spear Phishing” específicamente dirigido a un usuario.
  • Ejecución
    • (T1204) Ejecución de usuario: Mediante paso previo e Ingeniería Social se convence a la víctima de ejecutar códigos maliciosos alojados en archivos distribuidos mediante phishing o spear phishing
  • Descubrimiento
    • (T1082) Descubrimiento de información del sistema: Durante este paso se recopila información de sistemas y servicios dentro de la red con fin de dar forma a procesos de intrusión posteriores 
  • Evasión de defensas 
    • (T1497.003) Evasión basada en tiempo:  Se identifican tareas o procesos automatizados que dependen del tiempo para su ejecución, pudiendo pudiendo pausar o retardar la ejecución de malware con fin de no ser detectados o adaptarse a procesos que cumplan las condiciones para su despliegue
  • Impacto 
    • (T1490) Inhibir recuperación de sistema: Consiste en borrar, eliminar o corromper datos del sistema operativo, imágenes de recuperación o la detención de servicios que propicien características de reparación, aumentando el impacto causado.
    • (T1489) Detención de servicios: Se deshabilitan algunos o todos los servicios servicios de un sistema para hacerlos inaccesibles a usuarios legítimos dificultando su uso y respuesta ante incidentes 
    • (T1486) Encriptación de data: Para todo Ransomware su objetivo es el cifrado de datos que interrumpa la disponibilidad o confidencialidad de recursos de la organización pudiendo así recibir recompensas monetarias por la entrega de clave o herramientas de descifrado


Panorama

Tal como se mencionó en “Panorama de ransomware segundo trimestre”, BlackMatter apareció en julio 2021, coincidiendo con la desaparición de Darkside debido a su gran exposición mediática. Esta vinculación evidenciaría  su  activo desarrollo y capacidades técnicas, lo que le ha permitido una rápida reestructuración en cortos periodos de tiempo comprobando el potencial de los ciberactores detrás de esta operación.

Dado lo anterior y su reciente actividad aparentemente bajo un nuevo nombre es tan solo cuestión de tiempo para corroborar o no su relación entre ambos y su compromiso con principios autoimpuestos, que será sometido a escrutinio público durante próximos meses.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #BlackMatter #Malware #Ransomware #DakSide #Revil #LockBit


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.