Lazarus experimenta con un nuevo ransomware

El grupo cibercriminal Lazarus utiliza las técnicas de APT tradicionales para diseminar el ransomware VHD.

El grupo Lazarus siempre ha destacado por usar métodos propios de los ataques de APT (amenaza avanzada persistente, por sus siglas en inglés), pero que se especializan en el cibercrimen financiero. Recientemente, nuestros expertos detectaron el nuevo e inédito malware VHD, con el que Lazarus parece estar experimentando.

En términos funcionales, VHD es una herramienta de ransomware bastante estándar. Penetra sigilosamente a través de las unidades conectadas con la computadora de la víctima, cifra los archivos y suprime todas las carpetas de información del volumen del sistema (con lo cual sabotea los intentos de restauración del sistema en Windows). Además, puede suspender los procesos que tienen el potencial de proteger los archivos importantes contra su modificación (como Microsoft Exchange o el servidor SQL).

Pero lo que realmente resulta interesante es cómo VHD se infiltra en las computadoras objetivo, puesto que sus mecanismos de distribución tienen más en común con los ataques de APT. Nuestros expertos investigaron recientemente un par de casos de VHD y analizaron las acciones de los atacantes tras cada uno.

Movimiento lateral a través de la red de la víctima

En el primer incidente, nuestros expertos dirigieron su atención hacia el código malicioso responsable de diseminar VHD en la red objetivo. Resultó que el ransomware tenía a su disposición las listas con las direcciones IP de las computadoras de las víctimas, así como las credenciales de acceso a las cuentas con privilegios de administrador. Así, utilizó estos datos para realizar ataques por fuerza bruta contra el servicio de SMB. Si el malware logró conectarse con la carpeta de red de otra computadora mediante el protocolo de SMB, entonces se copió y ejecutó a sí mismo, con lo cual cifró ese equipo también.

Dicho comportamiento no es muy propio del ransomware en masa. Sugiere al menos una labor de reconocimiento preliminar de la infraestructura de la víctima, lo cual es más característico de campañas de APT.

Cadena de infección

La última vez que nuestro Equipo Global de Respuesta a Emergencias se encontró con este ransomware durante una pesquisa, los investigadores lograron rastrear la totalidad de la cadena de infección. Según informaron, los cibercriminales:

  1. Ganaron acceso a los sistemas de la víctima al explotar una puerta de enlace VPN vulnerable.
  2. Obtuvieron los privilegios de administrador en los equipos comprometidos;
  3. Instalaron una puerta trasera;
  4. Se hicieron con el control del servidor del Active Directory;
  5. Infectaron todas las computadoras en la red con el ransomware VHD mediante un cargador especialmente diseñado para dicha tarea.

El análisis posterior de las herramientas utilizadas demostró que la puerta trasera era parte del marco multiplataforma MATA (que algunos de nuestros colegas llaman Dacls). Hemos llegado a la conclusión de que es otra herramienta de Lazarus.

Tienes a tu disposición un detallado análisis técnico de estas herramientas, junto con los indicadores de compromiso, en la publicación correspondiente en el blog Securelist.

Cómo proteger tu empresa

Los actores detrás del ransomware VHD claramente no son unos cibercriminales promedio toda vez que se trata de infectar las computadoras corporativas con un cifrador. Este malware generalmente no se encuentra disponible en foros de hackers; más bien, se desarrolla específicamente para los ataques dirigidos. Las técnicas utilizadas para penetrar la infraestructura de la víctima y emprender la propagación desde el interior de la red hacían pensar en los sofisticados ataques de APT.

Esta difuminación gradual de los límites entre las herramientas del cibercrimen financiero y los ataques de APT es una prueba de que incluso las empresas más pequeñas necesitan considerar el uso de tecnologías de seguridad más avanzadas. Con esto en mente, recientemente lanzamos una solución integrada con las funciones de la Plataforma de Protección de Endpoints (EPP) y la de Respuesta y Detección de Endpoints (EDR). Puedes leer más acerca de la solución en su página dedicada.

Consejos