Por Heimdall e ISH DFIR: Una variante de ransomware de la familia MedusaLocker, conocida como ".infected", identificada a mediados de septiembre de 2019, sigue operando y afectando a varias organizaciones de todo el mundo.
Este ransomware funciona cifrando los datos y exigiendo a la organización un pago a cambio de una clave/herramienta para descifrar los archivos. La nota de rescate suele contener instrucciones para que la víctima se ponga en contacto con los atacantes.
El ransomware evolucionó a Ransomware-as-a-Service (RaaS) y, para 2022, el grupo habría introducido DLS (Data Leak Site) para las víctimas comprometidas.
Siga leyendo para saber más sobre las TTP (Tácticas, Técnicas y Procedimientos) utilizadas por el operador del ransomware, recopiladas a partir de las actividades de nuestro equipo de Respuesta a Incidentes (DFIR).
Acerca de MedusaLocker
MedusaLocker ha tenido 2 fases a lo largo de su funcionamiento, una antes de TOR v3 y otra después de TOR v3. Además, esta variante no añade una extensión como ".medusa" a tu archivo cifrado, ya que añaden varios otros nombres a las extensiones, como ".skynet, .marlock, .farlock", entre otros.
Tras el cifrado, el grupo le indica que inicie sesión y comience a negociar víctimas a través del portal.
Y si la víctima no realiza el pago o no negocia, el grupo publica los datos de la víctima en otro sitio, conocido como DLS (data leak site). Accedimos a los dos enlaces facilitados por el grupo y, en el momento de acceder, no estaban operativos.
Análisis del ataque y del ransomware .infected
Se observó que el actor de la amenaza se conectaba a través de RDP (Remote Desktop Protocol) con una dirección IP externa ubicada en Rusia.
Tras acceder a través de RDP, el actor de la amenaza comenzó a ejecutar comandos utilizados e identificados en diversos ciberataques, como: SMBEnum, SMBClient, WMIExec y SMBExec a través de PowerShell.
Además, los comandos observados forman parte de la herramienta disponible en Github conocida como "Invoke-TheHash", que contiene funciones de PowerShell para realizar tareas de WMI y SMB hash. Cabe destacar que no es necesario obtener privilegios de administrador para ejecutar este script.
Tras conseguir el acceso, se observaron varios intentos de fuerza bruta en otros dispositivos de la red, ya que se utilizaron varias direcciones IP externas para los intentos de inicio de sesión en la red.
También se identificó que uno de los usuarios utilizados para iniciar sesión tenía varios archivos en carpetas del directorio del usuario, entre ellos artefactos llamados "3.exe" e "In.exe". Además de estas dos herramientas, se identificaron otras como "Advanced_Port_Scanner.2.5.3839.exe" y "mimik.exe", ejecutadas por el usuario sospechoso.
A continuación, se identificó la creación de un nuevo usuario, teniendo en cuenta que, tras el acceso RDP inicial, se tardaron seis minutos en crear una nueva cuenta.
Uno de los hechos curiosos es que el nuevo usuario acabó añadiendo uno de los archivos previamente identificados (In.exe) directamente a la clave de registro"Ejecutar", ubicada en Microsoft\Windows\CurrentVersion\Run, indicando que el archivo se ejecutaría nada más arrancar el sistema. El cambio de clave se produjo 3 horas después de la creación del usuario.
Otra configuración utilizada para la persistencia en este sistema es que el usuario creado se ha configurado para que su contraseña nunca caduque, utilizando así el acceso siempre que sea posible para volver.
Posteriormente, se reinició el dispositivo y se identificó el presente ataque mediante una carga útil de ransomware, mostrando la Nota de rescate al usuario.
En vista de ello, el equipo analizó el artefacto con el fin de describir su funcionamiento técnico, así como proporcionar COI y OIA relacionados con el ataque.
Analizando este fichero, se pudo comprobar que había sido compilado 5 días antes del acceso inicial con RDP, utilizando Microsoft Visual C/C++, con un tamaño de 425472 bytes. Otro dato curioso es que el archivo .pdb tiene una ruta específica utilizando: D:\Education\locker\bin\stub_win_x64_encrypter.pdb.
El archivo .pdb corresponde a la asociación al código compilado en lenguajes como C/C++, prácticamente el archivo contiene información deputación que es utilizada por desarrolladores y depuradores para mapear el código máquina al código fuente original.
En el análisis estático del propio código se observaron comandos utilizados por el payload para terminar determinados procesos, así como para consultar o utilizar herramientas de red nativas del Sistema Operativo.
Una vez ejecutado, el proceso genera una ventana de línea de comandos que detalla varias acciones llevadas a cabo por el proceso y, cuando se inicializa, el proceso define varios ajustes como la Clave Pública utilizada, el texto de la nota y la extensión de los archivos post-cifrado.
El proceso del ransomware ejecuta comandos para garantizar el máximo impacto posible, incluyendo en este caso el cierre de los servicios de base de datos, el borrado de archivos para su recuperación y el cierre de los servicios de copia de seguridad.
El ransomware también elimina ciertos tipos de archivos y carpetas del sistema operativo, como:
A continuación, el ransomware comienza a escanear y cifrar los archivos del host. Cabe destacar que el ransomware utiliza una combinación de los algoritmos AES y RSA-2048 para el cifrado.
El análisis confirmó que este proceso crea una clave de ejecución en el registro llamada"BabyLockerKZ" para el usuario actual apuntando a la ubicación del archivo malicioso para asegurar algún tipo de persistencia en el host.
Tras la encriptación, el ransomware añade la extensión ".infected" a los archivos encriptados y vuelca la nota de rescate llamada"HOW_TO_BACK_FILES.html".
Por ello, hemos añadido a la sección específica las Tácticas, Técnicas y Procedimientos utilizados por el grupo/afiliado en este ataque identificado, facilitando así su identificación y actuación en futuras detecciones:
| Tácticas | Técnica | Detalles |
| Ejecución TA0002 | Intérprete de comandos y scripts: PowerShell T1059.001 | El miembro utilizó PowerShell para ejecutar una serie de comandos de enumeración. |
| Intérprete de comandos y scripts: PowerShell T1059.003 | La muestra de ransomware utiliza cmd para lanzar ataques e interrumpir servicios. | |
| API nativa T1106 | El afiliado y la carga útil utilizaban API nativas para interactuar con la programación de aplicaciones. | |
| Persistencia TA0003 | Ejecución de arranque o inicio automático de sesión T1547 | El adversario puede utilizar el ransomware para ejecutar automáticamente el programa durante el arranque o el inicio de sesión del sistema con el fin de persistir. |
| Crear cuenta T1136 | El adversario ha creado cuentas válidas en el entorno de red. | |
| Escalada de privilegios TA0004 | Ejecución de arranque o inicio automático de sesión T1547 | El adversario puede utilizar el ransomware para ejecutar automáticamente el programa durante el arranque o el inicio de sesión del sistema con el fin de obtener persistencia y privilegios. |
| Abuso del mecanismo de control de elevación: eludir el control de cuentas de usuario T1548.002 | El actor de la amenaza ingiere los mecanismos UAC para elevar privilegios. | |
| Defensa Evasión TA0005 | Modificar Registro T1112 | El adversario modificó claves del registro para ejecutar el ransomware. |
| Credencial de acceso TA0006 | Fuerza bruta T1110 | Se identificó al adversario que realizaba ataques de fuerza bruta contra cuentas del entorno de la víctima. |
| Volcado de credenciales del SO T1003 | Se identificó que el actor de la amenaza utilizaba herramientas para volcar credenciales. | |
| Movimiento lateral TA0008 | Eliminar servicios: SMB/Windows Admin Shares T1021.002 | El adversario utilizaba cuentas válidas para interactuar con el recurso compartido de red utilizando Server Message Block (SMB). |
| Eliminar Servicios: Protocolo de Escritorio Remoto T1021.001 | El adversario utilizó el servicio RDP para realizar la conexión inicial y comenzar el ataque. | |
| Descubrimiento TA0007 | Descubrimiento de archivos y directorios T1083 | La carga útil utiliza la enumeración de archivos y directorios para proporcionar el número máximo de archivos cifrados. |
| Impacto TA0040 | Datos cifrados por impacto T1486 | El ransomware cifra los datos utilizando AES y RSA-2048 |
| Parada de servicio T1489 | El ransomware paraliza los servicios que se ejecutan en el sistema. | |
| Inhibir la recuperación del sistema T1490 | El ransomware ejecuta comandos destinados a inhibir la recuperación del sistema operativo, borrando copias de seguridad y VSS. |
Modelo Diamante
De acuerdo con el análisis realizado, fue posible mapear, utilizando el Modelo Diamante, la operación llevada a cabo por la filial del ransomware MedusaLocker de la variante ".infected".
Indicadores de compromiso (IOC)
ISH Tecnologia maneja diversos indicadores de compromiso recogidos a través de fuentes abiertas y cerradas, así como análisis realizados por el equipo de seguridad de Heimdall.
En vista de ello, a continuación enumeramos todos los Indicadores de Compromiso (IOC) relacionados con el análisis del artefacto o artefactos de este informe:
Indicadores de URL, IP y dominio
Nota: Los enlaces y direcciones IP listados arriba pueden estar activos; tenga cuidado al manipular estos IoCs, evite hacer clic en ellos y convertirse en víctima de contenido malicioso alojado en el IoC.