Andariel ataca con DTrack y Maui

El grupo Andariel ataca empresas con varias herramientas maliciosas.

Nuestros expertos investigaron la actividad de Andariel, el cual se cree es un subgrupo de Lazarus APT. Los cibercriminales utilizan el malware DTrack y el ransomware Maui para atacar empresas alrededor del mundo. Como es típico en Lazarus, el grupo ataca para obtener beneficios financieros, en esta ocasión mediante demandas de rescate.

Andariel y sus objetivos de ataque

Nuestros expertos concluyeron que, en lugar de centrarse en una industria en particular, el grupo Andariel está listo para atacar a cualquier empresa. En junio, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA por sus siglas en inglés) reportaron que el ransomware Maui está dirigido principalmente a empresas y organizaciones del gobierno estadounidense en el sector de la salud. Sin embargo, nuestro equipo también detectó al menos un ataque a una empresa inmobiliaria en Japón, así como distintas víctimas en India, Vietnam y Rusia.

Las herramientas de Andariel

La herramienta principal del grupo Andariel es su tradicional malware, Dtrack. Este recopila información sobre una víctima y la envía a un host remoto. Entre otras cosas, Dtrack recopila el historial del navegador y lo guarda en un archivo por separado. La variante que utiliza Andariel en sus ataques no solo es capaz de enviar la información recopilada al servidor de los cibercriminales mediante HTTP, sino que también la almacena en un host remoto en la red de la víctima.

Cuando los atacantes encuentran datos dignos de atención, en ransomware Maui entra en el juego. Usualmente, los ataques de hosts se detectan 10 horas después de la activación del malware DTrack. Nuestros colegas de Stairwell han estudiado sus muestras y concluyeron que los operadores controlan el ransomware de forma manual, o sea, especifican qué datos van a cifrar.

Otra herramienta que parece ser usada por los atacantes es 3Proxy. Este servidos proxy legítimo, gratuito y multiplataforma probablemente es de interés para los atacantes debido a su tamaño compacto (solo unos cientos de kilobytes). Este tipo de herramienta puede ser utilizada para mantener el acceso remoto a una computadora comprometida.

Andariel y la propagación de su malware

Los cibercriminales explotan versiones sin parches de servicios públicos en línea. En un de estos casos, el malware descargó un HFS (un servidor de archivos HTTP): los atacantes usaron un exploit desconocido que les permitió ejecutar un script de Powershell desde un servidor remoto. En otro, pudieron comprometer un servidor WebLogic mediante un exploit para la vulnerabilidad CVE-2017-10271, lo que en definitiva les permitió ejecutar un script.

Para obtener una descripción técnica más detallada sobre el ataque y las herramientas utilizadas, así como indicadores de compromiso, consulta nuestro post en Securelist.

¿Cómo mantenerse a salvo?

Primero, asegúrate de que todos los dispositivos corporativos, incluyendo los servidores, estén equipados con soluciones de seguridad robustas. Además, sería prudente pensar por adelantado en estrategias y medidas anti-ransomware en caso de que surja una infección.

Protección de confianza frente al ransomware

Consejos