Ransomexx continúa sus operaciones Big Game Hunting

27 Agosto 2021
Alto

RansomExx  es un Ransomware multiplataforma actualmente activo con recientes víctimas publicadas en su página web sumando objetivos a nivel global y sudamericano utilizado por su creador Sprite Spider y está caracterizada por ataques a gran escala o también llamados Big Game Hunting enfocados en sectores industriales, gobiernos e infraestructura crítica que permitan una extorsión lucrativa y difícil de evadir para sus víctimas.

RansomEXX

Por primera vez visto en agosto del 2020, con su primera publicación oficial el día 30 de noviembre del mismo año, aún mantiene activas campañas añadiendo una  reciente publicación en su sitio web el día 26 de agosto del 2021 contabilizando hasta el momento 28 organizaciones vulneradas entre Europa, Asia, Oceanía y América. RansomE XX, también es conocido como Defray777 y su creador  Sprite Spider también llamado Gold Dupont.

Pese a que se desconoce la nacionalidad del  ciberactor, la cadena de ataques es similar a las perpetradas por Estados--nación como lo son Corea del Norte, China e Irán, sin embargo, también puede ser realizada por personal con amplios conocimientos que haya participado en ellas, buscando ahora beneficios económicos personales.

A diferencia de otros ransomware que apelan al encriptado de una gran cantidad de equipos pese a que estos solo sean host de usuarios, RansomExx se centra en servidores y vCenter desde donde controlar múltiples dispositivos ESXI (virtualizaciones) aplicando para Windows y Linux.

Esta acción sobre activos de gran interés para las instituciones permite una doble extorsión con mayor presión debido a la criticidad de los sistemas comprometidos.

Entre las características principales  se destaca:

  • El acceso inicial a la red suele tener como vector de entrada campañas de phishing, explotación de vulnerabilidades RDP, de softwares o servicios expuestos a internet.
  • Inicialmente deshabilita productos de seguridad permitiendo una ejecución limpia y sin errores.
  • Una vez dentro de la red utiliza herramientas de recolección de credenciales que permitan su acceso a servidores, utilizando Pyxie y Mimikatz.
  • Su ejecución se realiza  mediante operaciones Hands on keyboard o Human Based (no automatizadas) que tienen a sus atacantes directamente comprometiendo los sistemas en tiempo real.
  • La carga útil es alojada en los servidores mediante una técnica llamada Fileless o sin archivos, que consiste en ejecutar códigos maliciosos cargados en memoria, sin tocar discos de almacenamiento dificultando su detección.

PYXIE 

Es clasificado como un Troyano pero también identificado como un RAT (Remote Administration Tool), escrito en python que permite escalar a privilegios de administrador y es capaz de tomar el control de un sistema para distribuir otras amenazas, principalmente enfocadas a Ransomware.

Estas herramientas suelen basar su infección mediante técnicas de ingeniería social engañando al usuario para permitir la  intrusión mediante malware insertado en software legítimo publicado en fuentes no oficiales, en ventanas emergentes, publicidad o mediante correos phishing con archivos adjuntos o links que tras un clic permiten su descarga y ejecución. 

Como factor común entre diferentes víctimas de RansomEXX, se evidencian rastros de un software (Troyano) con el juego Tetris, en el cual se encuentra inserto el código malicioso vinculable con Pyxie.

Tetris infectado - Evidenciado en múltiples ataques

MIMIKATZ

Es una herramienta de código abierto utilizada por gran cantidad de ciberactores, diseñada para la sustracción de credenciales de windows, permitiendo acceder a tickets de Kerberos (Protocolo de autenticación) desde la memoria donde se almacenan las credenciales.

Pese a que fue lanzado en 2011 y tras una larga trayectoria, Microsoft ha aplicado medidas mitigatorias que consisten en desactivar por defecto el servicio WDigest del cual se aprovecha Mimikatz, sin embargo, este servicio continúa precargado en sistemas operativos Windows y solo es necesario volver a activarlo.

Pantalla de inicio Mimikatz

Panorama Sudamericano

Mapa de calor de víctimas RansomEXX

Dentro de los ataques realizados por RansomEXX se desprenden diferentes campañas alrededor del mundo, donde es posible identificar múltiples víctimas en sudamérica con organizaciones afectadas de Chile, Argentina, Ecuador y Brasil involucrando ataques a sectores gubernamentales, industria aeronáutica, química y energía.

El principal afectado de la región fué Brasil con un total de 4 víctimas, mientras que en Chile solo se contabilizó a una perteneciente al rubro manufacturero no metálico publicada oficialmente el día 2 de febrero del 2021 siendo la última registrada a nivel sudamericano.

Del panorama brasileño se destacan organizaciones del rubro de la aeronáutica, distribución de combustibles y cortes de justicia, registrando hasta 339.500 visitas aproximadamente para el Leak de Ultrapar convirtiéndose en el más popular del sitio.

Organización afectada en Brasil

Si bien mantuvo una fuerte presencia en la región y pese a que actualmente se encuentra con operaciones activas registrando ya su cuarta víctima en el mes, la última publicación de su website corresponde al día 26 de agosto del 2021 vinculada a la organización American Megatrends International evidenciando que por el momento sus objetivos han cambiado de rumbo. 

Últimas publicaciones website RansomEXX

Panorama

RansomEXX ha presentado continua actividad de febrero a la fecha registrando 17 casos en donde 4 de ellos corresponden únicamente al mes de agosto con un promedio de 2 a 3 publicaciones mensuales desde su creación en noviembre del 2020.

Suele suceder que ciberactores realizan pruebas de sus herramientas en regiones donde la seguridad digital no es un fuerte a modo de perfeccionar técnicas y errores para desplegar sus mejoras en regiones de mayor envergadura tecnológica u organizacional.

El hecho de que RansomEXX involucre el control de vCenter de VMWare lo hace un objetivo de alto valor para otros ciberactores que quieran replicar dichas técnicas por la cantidad de dispositivos capaces de administrar de forma simultánea e incluso siendo posible alcanzar servicios alojados en la nube, haciéndolo altamente atractivo como mecanismo de propagación.

Dentro del panorama de amenazas se ha evidenciado que la última víctima en sudamérica fué el 2 de febrero, dando luces que las campañas en la región han cesado, pero nada concluye que no puedan ser reactivadas en un futuro.

Dicho lo anterior, es importante recalcar que pese a que sus operaciones no se encuentren específicamente dirigidas a la región, es crucial  mantener medidas de seguridad pertinentes con especial énfasis en organizaciones que presten servicios en base a infraestructura crítica.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #RansomEXX #Defray777 #Sprite Spider #Gold Dupont #Mimikatz #Pyxie #Malware #Ransomware


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.