Introducción
“Lo que hace el mono, lo hace la mona”. Es un dicho antiguo, que tiene su equivalente en diversos idiomas y que también aplica a los desarrolladores de ransomware. En publicaciones anteriores del blog, señalamos que los lenguajes independientes de las plataformas y el soporte ESXi se volvieron más populares, y recientemente escribimos sobre cómo el ransomware tiene sus métodos de propagación.
El mes pasado, en nuestro servicio de informes sobre ciberdelitos, escribimos sobre otro par de variantes de ransomware que ahora cuentan con métodos para copiar y ejecutar malware en otras máquinas dentro de la red. Además, escribimos sobre un caso en que se abusaba de controladores vulnerables, algo que también podría volverse popular en el futuro. En esta publicación de blog proporcionaremos extractos de estos informes.
Para obtener más información o realizar consultas sobre nuestro servicio de informes sobre ciberdelitos, comuníquese enviando un correo electrónico a crimewareintel@kaspersky.com.
Algunas estadísticas de ransomware
Durante los primeros diez meses del 2022, la proporción de usuarios afectados por ransomware dirigido entre todos los usuarios afectados por todos los tipos de malware fue casi el doble que la del mismo periodo del año anterior y constituye el 0,026 %.
Proporción de usuarios atacados por ransomware dirigido de enero a octubre de 2021 y de enero a octubre de 2022 (descargar)
LockBit
LockBit es una de las familias de ransomware más populares e innovadoras y con más rápido desarrollo que se usa actualmente. Recientemente, notamos que se agregó una nueva opción al sitio de desarrollo de LockBit, como vemos aquí:
Nueva funcionalidad creada por los desarrolladores de LockBit
Además de PsExec, la forma más común de propagar ransomware en general, ahora admite la “autopropagación”. Desde luego, estábamos interesados en los detalles de este mecanismo de autopropagación. Sobre todo, en cómo funciona.
El ransomware se instala en la máquina infectada como un servicio. Este servicio solicita a netapi32.DsGetDcNameW que obtenga detalles del dominio al cual pertenece la máquina infectada y luego crea una tubería nombrada. Una vez que finaliza esta operación, el módulo descarga las credenciales del sistema operativo y obtiene los identificadores de explorer.exe y lsass.exe usando la tubería nombrada que creó anteriormente.
Aquí es donde se detiene. En esencia, no hay autopropagación, sino que es más bien una descarga de credenciales. Si bien esto encaja dentro de la tendencia más general que estamos observando actualmente (más y más funcionalidad integrada en el ransomware para poder depender en menor medida de otras herramientas), dado que ya no es necesario el uso de Mimikatz u otras herramientas similares, no hay autopropagación.
Play
Play es una variante de ransomware nueva (no posee ninguna similitud en cuando al código con otras muestras de ransomware) con la que nos encontramos recientemente. El ransomware es altamente complicado, lo cual hace que analizarlo sea más difícil.
Play está en la etapa de desarrollo temprano. Por ejemplo, no hay un sitio de filtración y las víctimas deben comunicarse con los delincuentes a través de una dirección de correo electrónico que se incluye en la nota de rescate. A pesar de esto, Play también contiene una funcionalidad que se encontró más tarde en otras variantes de ransomware: la autopropagación.
Play recopila distintas IP del mismo rango e intenta descubrir recursos de pymes que utilicen NetShareEnum(), lo cual produce tráfico en el protocolo de resolución de direcciones (Address Resolution Protocol, ARP), tal como podemos ver en esta captura de pantalla de Wireshark. La idea detrás de esta acción es propagar el ransomware a otras máquinas dentro la misma red.
Peticiones ARP realizadas por Play ransomware
Una vez que encuentra el recurso de una pyme, el ransomware establece una conexión e intenta prepararla para propagar y ejecutar el ransomware en el sistema remoto. Podemos verlo en esta captura de pantalla de Wireshark.
Conexiones SMB
Abuso de controladores
Los controladores poseen vulnerabilidades que a su vez pueden ser explotadas por los atacantes. Uno de estos controladores es el Anti Rootkit de Avast. Si bien anteriormente AvosLocker utilizaba este controlador, las vulnerabilidades que se explotan hoy en día no se conocían en ese momento (CVE-2022-26522 y CVE-2022-26523). Estas vulnerabilidades permiten que los atacantes escalen los privilegios en el sistema atacado o que realicen un escape del entorno de pruebas. SentinelLabs las describió en detalle, y las reparó a principios de 2022. Sabemos que al menos las familias de ransomware AvosLocker y Cuba las explotan.
Utilizar el engaño con los controladores vulnerables tiene algunas ventajas. En primer lugar, desactiva los productos de seguridad del sistema. En segundo lugar, se instala una solución de seguridad, lo cual activa menos alertas en el sistema. Por último, al explotar el controlador, los atacantes pueden matar los procesos de la máquina.
Función para matar el proceso
Conclusión
Los desarrolladores de ransomware vigilan de cerca el trabajo de los competidores. Si uno de ellos implementa determinada funcionalidad que trabaja correctamente, hay muchas probabilidades de que los demás también lo hagan. Esto hace que su ransomware sea más interesante para los afiliados. Un vivo ejemplo de ello es la autopropagación del ransomware.
Por lo tanto, creemos que los controladores defectuosos podrían ser otro ejemplo de tácticas, técnicas y procedimientos (tactics, techniques and procedures, TTP) de un grupo de ransomware típico que también serán utilizadas por otros grupos en un futuro.
Los informes de inteligencia pueden ser de ayuda para protegerse de estas amenazas. Si desea mantenerse actualizado sobre las últimas TTP utilizadas por los delincuentes o si tiene preguntas sobre nuestros informes privados, comuníquese enviando un correo electrónico a crimewareintel@kaspersky.com.
Crimeware: autopropagación y abuso de controladores