El ransomware CloAk cifra datos y opera con otros grupos para presionar el pago de rescates

El ransomware CloAk cifra datos y opera con otros grupos para presionar el pago de rescates

Por Heimdall: El ransomware CloAk, surgido entre finales de 2022 y principios de 2023, representa un grupo relativamente nuevo de ransomware que ha destacado principalmente por sus actividades en Europa, con especial atención a Alemania. Este malware cifra los datos de las víctimas y exige el pago de un rescate a cambio de la clave de descifrado. Además de cifrar los archivos, CloAk intenta eliminar las instantáneas de volumen mediante el comando vssadmin.exe delete shadows /all /quiet, renombrando los archivos afectados con extensiones que van desde .crYptA a .crYptE.

Logotipo de la página Ransomware en la Deep Web

Análisis de amenazas - Vector inicial

Los análisis han demostrado que el grupo CloAk Ransomware utiliza el acceso comprado a intermediarios de acceso inicial (I AB) en mercados clandestinos como una de sus principales tácticas de invasión. Estos IAB buscan obtener acceso a las redes de sus víctimas y venderlo a otros actores de amenazas. Desde mayo de 2023, se han puesto a la venta interfaces de empleados comprometidas, lo que sugiere que este es el paso inicial del grupo y su principal vector de ataque para obtener acceso a las redes de las víctimas.

Otros métodos de distribución observados para el ransomware son: Ingeniería social como phishing, Malvertising, Exploit Kits, Remote Desktop Protocol (RDP), Drive-By Download y Software Pirata.

Cadena de ataque del ransomware CloAk

A continuación se detalla cómo funciona la cadena de ataque del ransomware.

Acceso inicial

El actor de la amenaza obtiene acceso a la red o a la máquina mediante diversos métodos, como ingeniería social, publicidad maliciosa, kits de explotación, protocolo de escritorio remoto (RDP), credenciales robadas, descargas no autorizadas o software pirata.

Reconocimiento

En cuanto el atacante obtiene acceso, lleva a cabo un reconocimiento para identificar la red y los dispositivos del objetivo.

Movimiento lateral

El atacante se desplaza lateralmente por la red para acceder a todos los dispositivos y sistemas.

Exfiltración

El atacante extrae datos de la red o de la máquina, que luego utiliza para amenazar a la víctima y obligarla a pagar el rescate.

Despliegue del ransomware

El atacante despliega la carga útil del ransomware Cloak para cifrar los datos de la víctima.

Peticiones de rescate y filtración de datos

  • El ransomware muestra un mensaje a la víctima explicando que los archivos son inaccesibles y sólo se puede volver a acceder a ellos pagando un rescate a los atacantes.

El grupo de ransomware Cloak tiene un conocido sitio de extorsión donde vende y filtra datos de sus víctimas:

Presentación de las posibles víctimas del grupo en su página Deep Web

Extensión de los archivos encriptados

  • .crYptA
  • .crYptB
  • .crYptC
  • .crYptD
  • .crYptE

Nota de reembolso

El ransomware CloAk presenta una nota de rescate llamada"readme_for_unlock.txt", en la que solicita el pago a cambio de la clave que deshace el cifrado de los datos. Esta notificación pretende presionar al afectado para que pague el rescate. La nota de rescate contiene un texto que busca intimidar a la víctima resaltando las consecuencias de no realizar el pago, y ofrece instrucciones sobre cómo proceder para negociar el rescate.

Vea el contenido de la nota de rescate de CloAk a continuación:

Nota de rescate del ransomware

Asociación con otros grupos de ransomware

Además, los investigadores de SentinelOne observaron una interconexión entre el ransomware Good Day, de la familia ARCrypter, y CloAk, en la que las víctimas de Good Day aparecían en el sitio de extorsión de CloAk. Este vínculo indica una colaboración o al menos una relación entre los grupos de amenazas, en la que las víctimas de un malware pueden acabar siendo objetivo de otro, intensificando la presión para pagar el rescate mediante la amenaza de filtrar o vender los datos secuestrados.

El panorama de amenazas que representa CloAk y su posible colaboración con otros programas maliciosos, como Good Day, pone de relieve la importancia de unas prácticas de ciberseguridad sólidas, que incluyan copias de seguridad periódicas y sin conexión, segmentación de la red y actualizaciones frecuentes del software para mitigar el riesgo de infección.

MITRE ATT&CK - TTPs

TácticasTécnicaDetalles
Acceso inicialT1078 T1566 T1133El adversario puede utilizar credenciales válidas, phishing y servicios remotos externos para el acceso inicial
EjecuciónT1204Los adversarios pueden basarse en acciones específicas de los usuarios para ejecutar código malicioso.
PersistenciaT1547Los agresores pueden configurar los parámetros del sistema para ejecutar automáticamente un programa durante el inicio o el inicio de sesión del sistema para mantener la persistencia u obtener privilegios de nivel superior en los sistemas comprometidos.
Defensa EvasiónT1622 T1070.001 T1070.004 T1564.003  Los adversarios pueden emplear varios medios para detectar y evitar los depuradores. Los adversarios pueden borrar los registros de eventos de Windows y eliminar los archivos sobrantes para ocultar la actividad de una intrusión. Los agresores pueden utilizar ventanas ocultas para esconder la actividad maliciosa de la vista de los usuarios.  
Acceso con credencialesT1003.001Los adversarios pueden intentar acceder a las credenciales almacenadas en la memoria (LSASS).
DescubrimientoT1057 T1082 T1083Los adversarios pueden intentar obtener información sobre los procesos que se ejecutan en un sistema y otros datos como el hardware, los parches, etc.
Mando y controlT1021Los adversarios pueden utilizar cuentas válidas para iniciar sesión en un servicio que acepte conexiones remotas, como telnet, SSH y VNC.
ImpactoT1486 T1489 T1490 T1657Los adversarios pueden borrar datos y robar información valiosa, pueden robar recursos y llevar a cabo extorsiones para obtener beneficios económicos.
Tabla ATT&CK de MITRE

Cómo protegerse

Existen algunas medidas de seguridad que se pueden adoptar para mitigar la infección de este malware, como son:

Mantenga actualizado su antivirus

  • La primera línea de defensa es un programa antivirus sólido y actualizado. Estos programas están diseñados para detectar y bloquear el ransomware antes de que pueda causar daños.

Evite las ventanas emergentes sospechosas

  • No hagas clic en ventanas emergentes que te pidan instalar o actualizar software mientras navegas por Internet. Podría tratarse de un intento de instalar malware en tu dispositivo.

Cuidado con los enlaces y archivos adjuntos en los correos electrónicos

  • Los ataques de phishing, en los que los correos electrónicos parecen proceder de fuentes legítimas pero contienen enlaces maliciosos, son un vector común para la distribución de ransomware. Comprueba siempre la autenticidad de los correos electrónicos antes de hacer clic en enlaces o abrir archivos adjuntos.

Utilice sólo fuentes fiables para las descargas

  • Para evitar el ransomware y otros tipos de malware, descarga solo de fuentes de confianza como Microsoft Store, Apple App Store y Google Play Store.

Implantar una arquitectura de confianza cero

  • Asuma que su red puede estar ya comprometida y minimice la incertidumbre imponiendo decisiones de acceso de mínimo privilegio.

Realice análisis periódicos de vulnerabilidades

  • Identifique y corrija las vulnerabilidades, especialmente en los dispositivos orientados a Internet, para limitar las superficies de ataque. También es crucial actualizar periódicamente el software y los sistemas operativos.

Configure adecuadamente todos los dispositivos

  • Esto incluye los dispositivos locales, los servicios en la nube y los dispositivos móviles y personales (BYOD). Desactive los puertos y protocolos que no se utilicen con fines empresariales.

Limitar el uso del Protocolo de Escritorio Remoto (RDP)

  • Si es necesario, aplique las mejores prácticas, como cerrar los puertos RDP no utilizados, aplicar la autenticación multifactor (MFA) y registrar los intentos de inicio de sesión.

Copias de seguridad periódicas

  • Haga copias de seguridad periódicas de sus datos importantes. En caso de ataque, podrá restaurar sus archivos sin pagar el rescate. Es aconsejable guardar las copias de seguridad en dispositivos o servicios que no estén conectados directamente a tu red.

Evite exponer servicios vulnerables en Internet

  • No exponga en Internet servicios innecesarios, como el Protocolo de Escritorio Remoto (RDP). Si es necesario, utilice controles compensatorios adecuados para evitar abusos y explotaciones.

Sensibilización y formación de los empleados

  • Eduque a sus empleados sobre los riesgos del ransomware y las mejores prácticas para evitarlos. La concienciación puede ser una herramienta poderosa contra los ataques de phishing y otras formas de ingeniería social.

Indicadores de compromiso (IOC)

ISH Tecnologia maneja diversos Indicadores de Compromiso recogidos a través de fuentes abiertas y cerradas, así como análisis realizados por el equipo de seguridad de Heimdall. En vista de ello, a continuación enumeramos todos los Indicadores de Compromiso (IOC) relacionados con el análisis del artefacto o artefactos de este informe:

Indicadores de URL, IP y dominio
URLhttp[:]//cloak7jpvcb73rtx2ff7kaw2kholu7bdiivxpzbhlny4ybz75dpxckqd[.]onion/
Indicadores de compromiso de la red

Nota: Los enlaces y direcciones IP listados arriba pueden estar activos; tenga cuidado al manipular estos IoCs, evite hacer clic en ellos y convertirse en víctima de contenido malicioso alojado en el IoC.

Referencias

Etiquetas: , , , ,

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.

Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.