{"id":19773,"date":"2020-07-31T08:48:49","date_gmt":"2020-07-31T14:48:49","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=19773"},"modified":"2020-07-31T08:48:49","modified_gmt":"2020-07-31T14:48:49","slug":"lazarus-vhd-ransomware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/lazarus-vhd-ransomware\/19773\/","title":{"rendered":"Lazarus experimenta con un nuevo ransomware"},"content":{"rendered":"<p>El grupo Lazarus siempre ha destacado por usar m\u00e9todos propios de los ataques de APT (amenaza avanzada persistente, por sus siglas en ingl\u00e9s), pero que se especializan en el cibercrimen financiero. Recientemente, nuestros expertos detectaron el nuevo e in\u00e9dito <em>malware<\/em> VHD, con el que Lazarus parece estar experimentando.<\/p>\n<p>En t\u00e9rminos funcionales, VHD es una herramienta de <em>ransomware<\/em> bastante est\u00e1ndar. Penetra sigilosamente a trav\u00e9s de las unidades conectadas con la computadora de la v\u00edctima, cifra los archivos y suprime todas las carpetas de informaci\u00f3n del volumen del sistema (con lo cual sabotea los intentos de restauraci\u00f3n del sistema en Windows). Adem\u00e1s, puede suspender los procesos que tienen el potencial de proteger los archivos importantes contra su modificaci\u00f3n (como Microsoft Exchange o el servidor SQL).<\/p>\n<p>Pero lo que realmente resulta interesante es c\u00f3mo VHD se infiltra en las computadoras objetivo, puesto que sus mecanismos de distribuci\u00f3n tienen m\u00e1s en com\u00fan con los ataques de APT. Nuestros expertos investigaron recientemente un par de casos de VHD y analizaron las acciones de los atacantes tras cada uno.<\/p>\n<h2>Movimiento lateral a trav\u00e9s de la red de la v\u00edctima<\/h2>\n<p>En el primer incidente, nuestros expertos dirigieron su atenci\u00f3n hacia el c\u00f3digo malicioso responsable de diseminar VHD en la red objetivo. Result\u00f3 que el <em>ransomware<\/em> ten\u00eda a su disposici\u00f3n las listas con las direcciones IP de las computadoras de las v\u00edctimas, as\u00ed como las credenciales de acceso a las cuentas con privilegios de administrador. As\u00ed, utiliz\u00f3 estos datos para realizar ataques por fuerza bruta contra el servicio de SMB. Si el <em>malware<\/em> logr\u00f3 conectarse con la carpeta de red de otra computadora mediante el protocolo de SMB, entonces se copi\u00f3 y ejecut\u00f3 a s\u00ed mismo, con lo cual cifr\u00f3 ese equipo tambi\u00e9n.<\/p>\n<p>Dicho comportamiento no es muy propio del <em>ransomware<\/em> en masa. Sugiere al menos una labor de reconocimiento preliminar de la infraestructura de la v\u00edctima, lo cual es m\u00e1s caracter\u00edstico de campa\u00f1as de APT.<\/p>\n<h2>Cadena de infecci\u00f3n<\/h2>\n<p>La \u00faltima vez que nuestro Equipo Global de Respuesta a Emergencias se encontr\u00f3 con este <em>ransomware<\/em> durante una pesquisa, los investigadores lograron rastrear la totalidad de la cadena de infecci\u00f3n. Seg\u00fan informaron, los cibercriminales:<\/p>\n<ol>\n<li>Ganaron acceso a los sistemas de la v\u00edctima al explotar una puerta de enlace VPN vulnerable.<\/li>\n<li>Obtuvieron los privilegios de administrador en los equipos comprometidos;<\/li>\n<li>Instalaron una puerta trasera;<\/li>\n<li>Se hicieron con el control del servidor del Active Directory;<\/li>\n<li>Infectaron todas las computadoras en la red con el <em>ransomware<\/em> VHD mediante un cargador especialmente dise\u00f1ado para dicha tarea.<\/li>\n<\/ol>\n<p>El an\u00e1lisis posterior de las herramientas utilizadas demostr\u00f3 que la puerta trasera era parte del <a href=\"https:\/\/latam.kaspersky.com\/blog\/mata-framework\/19759\/\" target=\"_blank\" rel=\"noopener\">marco multiplataforma MATA<\/a> (que algunos de nuestros colegas llaman Dacls). Hemos llegado a la conclusi\u00f3n de que es otra herramienta de Lazarus.<\/p>\n<p>Tienes a tu disposici\u00f3n un detallado an\u00e1lisis t\u00e9cnico de estas herramientas, junto con los indicadores de compromiso, en la <a href=\"https:\/\/securelist.com\/lazarus-on-the-hunt-for-big-game\/97757\/\" target=\"_blank\" rel=\"noopener\">publicaci\u00f3n correspondiente en el blog Securelist<\/a>.<\/p>\n<h2>C\u00f3mo proteger tu empresa<\/h2>\n<p>Los actores detr\u00e1s del <em>ransomware<\/em> VHD claramente no son unos cibercriminales promedio toda vez que se trata de infectar las computadoras corporativas con un cifrador. Este <em>malware<\/em> generalmente no se encuentra disponible en foros de <em>hackers<\/em>; m\u00e1s bien, se desarrolla espec\u00edficamente para los ataques dirigidos. Las t\u00e9cnicas utilizadas para penetrar la infraestructura de la v\u00edctima y emprender la propagaci\u00f3n desde el interior de la red hac\u00edan pensar en los sofisticados ataques de APT.<\/p>\n<p>Esta difuminaci\u00f3n gradual de los l\u00edmites entre las herramientas del cibercrimen financiero y los ataques de APT es una prueba de que incluso las empresas m\u00e1s peque\u00f1as necesitan considerar el uso de tecnolog\u00edas de seguridad m\u00e1s avanzadas. Con esto en mente, recientemente lanzamos una soluci\u00f3n integrada con las funciones de la Plataforma de Protecci\u00f3n de Endpoints (EPP) y la de Respuesta y Detecci\u00f3n de Endpoints (EDR). Puedes leer m\u00e1s acerca de la soluci\u00f3n en <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security\/endpoint-security-solution?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">su p\u00e1gina dedicada<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n","protected":false},"excerpt":{"rendered":"<p>El grupo cibercriminal Lazarus utiliza las t\u00e9cnicas de APT tradicionales para diseminar el ransomware VHD.<\/p>\n","protected":false},"author":700,"featured_media":19774,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3540],"tags":[2767,2911,472],"class_list":{"0":"post-19773","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-ataques-dirigidos","10":"tag-lazarus","11":"tag-ransomware"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lazarus-vhd-ransomware\/19773\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lazarus-vhd-ransomware\/21633\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lazarus-vhd-ransomware\/17096\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lazarus-vhd-ransomware\/22905\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lazarus-vhd-ransomware\/21091\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lazarus-vhd-ransomware\/23573\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/lazarus-vhd-ransomware\/22422\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lazarus-vhd-ransomware\/28813\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lazarus-vhd-ransomware\/8652\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lazarus-vhd-ransomware\/36559\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lazarus-vhd-ransomware\/15384\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lazarus-vhd-ransomware\/15827\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lazarus-vhd-ransomware\/13727\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lazarus-vhd-ransomware\/24801\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/lazarus-vhd-ransomware\/11764\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/lazarus-vhd-ransomware\/28892\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/lazarus-vhd-ransomware\/25748\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/lazarus-vhd-ransomware\/22658\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lazarus-vhd-ransomware\/27923\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lazarus-vhd-ransomware\/27753\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/19773","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=19773"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/19773\/revisions"}],"predecessor-version":[{"id":19777,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/19773\/revisions\/19777"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/19774"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=19773"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=19773"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=19773"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}