Get best of the week

Revelamos ProLock: análisis de las acciones de los nuevos operadores de ransomware utilizando la matriz MITER ATT & CK



El éxito de los ataques de ransomware en organizaciones de todo el mundo está provocando que más y más nuevos atacantes "entren en el juego". Uno de estos nuevos jugadores es el grupo de ransomware ProLock. Apareció en marzo de 2020 como sucesor del programa PwndLocker, que comenzó a funcionar a fines de 2019. Los ataques de ransomware ProLock están dirigidos principalmente a organizaciones financieras y médicas, agencias gubernamentales y el sector minorista. Recientemente, los operadores de ProLock atacaron con éxito a uno de los mayores fabricantes de cajeros automáticos, Diebold Nixdorf.

En este post, Oleg Skulkin, Especialista Líder, Laboratorio de Informática Forense Group-IB, habla sobre las tácticas básicas, técnicas y procedimientos (TTP) utilizados por los operadores de ProLock. Al final del artículo hay una comparación con la matriz MITER ATT & CK, una base de datos pública que contiene tácticas de ataques dirigidos utilizados por varios grupos cibercriminales.

Obteniendo acceso inicial


Los operadores ProLock usan dos vectores principales de compromiso primario: el troyano QakBot (Qbot) y los servidores RDP sin protección con contraseñas débiles.

El compromiso a través de un servidor RDP de acceso externo es extremadamente popular entre los operadores de ransomware. Por lo general, los atacantes compran el acceso a un servidor comprometido de terceros, pero los miembros del grupo también pueden obtenerlo por su cuenta.

Un vector de compromiso primario más interesante es el malware QakBot. Anteriormente, este troyano estaba asociado con otra familia de encriptadores: MegaCortex. Sin embargo, ahora es utilizado por los operadores ProLock.

Por lo general, QakBot se distribuye a través de campañas de phishing. Un correo electrónico de phishing puede contener un documento adjunto de Microsoft Office o un enlace a dicho archivo ubicado en el almacenamiento en la nube, por ejemplo, Microsoft OneDrive.

También hay casos de cargar QakBot con otro troyano: Emotet, que es ampliamente conocido por participar en campañas que distribuyeron el ransomware Ryuk.

Actuación


Después de descargar y abrir el documento infectado, se le solicita al usuario que permita que se ejecuten las macros. Si tiene éxito, se inicia PowerShell para cargar y ejecutar la carga útil de QakBot desde el servidor de comandos.

Es importante tener en cuenta que lo mismo se aplica a ProLock: la carga útil se extrae de un archivo BMP o JPG y se carga en la memoria mediante PowerShell. En algunos casos, se usa una tarea programada para iniciar PowerShell.

Script por lotes que inicia ProLock a través del programador de tareas:

schtasks.exe /CREATE /XML C:\Programdata\WinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:\Programdata\WinMgr.xml
del C:\Programdata\run.bat

Pin del sistema


Si fue posible comprometer el servidor RDP y obtener acceso, entonces las cuentas existentes se utilizan para proteger la red. QakBot se caracteriza por una variedad de mecanismos de fijación. Muy a menudo, este troyano utiliza la clave de registro Ejecutar y crea tareas en el planificador:


Asegurar Qakbot al sistema usando la clave de registro Ejecutar


En algunos casos, también se usan carpetas de inicio: allí se coloca un acceso directo que apunta al gestor de arranque.

Derivación de protección


A través de la comunicación con el servidor de comandos, QakBot intenta actualizarse periódicamente, por lo tanto, para evitar la detección, el malware puede reemplazar su versión actual por una nueva. Los archivos ejecutables se firman con una firma comprometida o falsa. La carga útil inicial cargada por PowerShell se almacena en un servidor de comandos con la extensión PNG . Además, después de la ejecución, se reemplaza por el archivo legítimo calc.exe .

Además, para ocultar la actividad maliciosa, QakBot utiliza la técnica de incrustar código en procesos que utilizan explorer.exe para esto .

Como ya se mencionó, la carga útil de ProLock está oculta dentro de un archivo BMP o JPG. También se puede considerar como un método de elusión.

Recuperar credenciales


QakBot tiene la funcionalidad de un keylogger. Además, puede cargar y ejecutar scripts adicionales, por ejemplo, Invoke-Mimikatz - Versión PowerShell de la famosa utilidad Mimikatz. Tales scripts pueden ser utilizados por los ciberdelincuentes para volcar las credenciales.

Inteligencia de red


Después de obtener acceso a cuentas privilegiadas, los operadores de ProLock realizan inteligencia de red, que en particular puede incluir escaneo de puertos y análisis del entorno de Active Directory. Además de varios scripts, los atacantes usan AdFind, otra herramienta popular entre los grupos que usan ransomware, para recopilar información sobre Active Directory.

Promoción web


Tradicionalmente, una de las formas más populares de navegar por la red es el Protocolo de escritorio remoto. ProLock no fue la excepción. Los atacantes incluso tienen scripts en su arsenal para obtener acceso remoto a través de RDP a los hosts de destino.

Script BAT para acceso a través de RDP:
para la ejecución remota de script, los operadores ProLock usan otra herramienta popular: la utilidad PsExec del paquete Sysinternals Suite. ProLock en hosts se inicia utilizando WMIC, que es una interfaz de línea de comandos para trabajar con el subsistema de Instrumental de administración de Windows. Esta herramienta también está ganando popularidad entre los operadores de ransomware.
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f





Recopilación de datos


Al igual que muchos otros operadores de ransomware, un grupo que usa ProLock recopila datos de una red comprometida para aumentar sus posibilidades de rescate. Antes de la exfiltración, los datos recopilados se archivan utilizando la utilidad 7Zip.

Exfiltración


Para cargar datos, los operadores de ProLock usan Rclone, una herramienta de línea de comandos diseñada para sincronizar archivos con varios servicios de almacenamiento en la nube, como OneDrive, Google Drive, Mega y otros. Los atacantes siempre cambian el nombre de un archivo ejecutable para que parezca archivos de sistema legítimos.

A diferencia de sus "colegas", los operadores de ProLock todavía no tienen su propio sitio web para publicar datos robados propiedad de compañías que se negaron a pagar el rescate.

Alcanzar el objetivo final


Después de filtrar los datos, el equipo implementa ProLock en toda la red empresarial. El archivo binario se extrae de un archivo con la extensión PNG o JPG usando PowerShell y se incrusta en la memoria: en


primer lugar, ProLock finaliza los procesos indicados en la lista integrada (es interesante que use solo seis letras del nombre del proceso, por ejemplo, "winwor"), y finaliza servicios, incluidos los relacionados con la seguridad, como CSFalconService (CrowdStrike Falcon), utilizando el comando net stop .

Luego, como en el caso de muchas otras familias de ransomware, los atacantes usan vssadmin para eliminar las instantáneas de Windows y limitar su tamaño, por lo que no se crearán nuevas copias:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock agrega la extensión .proLock , .pr0Lock o .proL0ck a cada archivo cifrado y coloca el archivo .TXT [CÓMO RECUPERAR ARCHIVOS] en cada carpeta. Este archivo contiene instrucciones sobre cómo descifrar los archivos, incluido un enlace al sitio donde la víctima debe ingresar un identificador único y recibir información de pago:


Cada instancia de ProLock contiene información sobre el monto de la recompra; en este caso, son 35 bitcoins, que son aproximadamente 312,000 dólares.

Conclusión


Muchos operadores de ransomware utilizan métodos similares para lograr sus objetivos. Al mismo tiempo, algunas técnicas son exclusivas de cada grupo. Hay un número cada vez mayor de grupos cibercriminales que utilizan encriptadores en sus campañas. En algunos casos, los mismos operadores pueden participar en ataques utilizando diferentes familias de ransomware, por lo que observaremos cada vez más las intersecciones en las tácticas, técnicas y procedimientos utilizados.

Mapeo con MITER ATT y CK Mapping
TacticTechnique
Initial Access (TA0001)External Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Execution (TA0002)Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)
Persistence (TA0003)Registry Run Keys / Startup Folder (T1060), Scheduled Task (T1053), Valid Accounts (T1078)
Defense Evasion (TA0005)Code Signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disabling Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055)
Credential Access (TA0006)Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)
Lateral Movement (TA0008)Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Collection (TA0009)Data from Local System (T1005), Data from Network Shared Drive (T1039), Data Staged (T1074)
Command and Control (TA0011)Commonly Used Port (T1043), Web Service (T1102)
Exfiltration (TA0010)Data Compressed (T1002), Transfer Data to Cloud Account (T1537)
Impact (TA0040)Data Encrypted for Impact (T1486), Inhibit System Recovery (T1490)

More articles:


All Articles