El éxito de los ataques de ransomware en organizaciones de todo el mundo está provocando que cada vez más atacantes entren en juego. Uno de estos nuevos jugadores es un grupo que utiliza el ransomware ProLock. Apareció en marzo de 2020 como sucesor del programa PwndLocker, que comenzó a funcionar a finales de 2019. Los ataques de ransomware ProLock se dirigen principalmente a organizaciones financieras y sanitarias, agencias gubernamentales y el sector minorista. Recientemente, los operadores de ProLock atacaron con éxito a uno de los mayores fabricantes de cajeros automáticos, Diebold Nixdorf.
En esta publicación Oleg Skulkin, especialista líder del Laboratorio de Informática Forense del Grupo IB, cubre las tácticas, técnicas y procedimientos (TTP) básicos utilizados por los operadores de ProLock. El artículo concluye con una comparación con MITRE ATT&CK Matrix, una base de datos pública que recopila tácticas de ataque dirigidas utilizadas por varios grupos de ciberdelincuentes.
Obteniendo acceso inicial
Los operadores de ProLock utilizan dos vectores principales de compromiso primario: el troyano QakBot (Qbot) y servidores RDP desprotegidos con contraseñas débiles.
El compromiso a través de un servidor RDP accesible externamente es extremadamente popular entre los operadores de ransomware. Normalmente, los atacantes compran el acceso a un servidor comprometido a terceros, pero los miembros del grupo también pueden obtenerlo por su cuenta.
Un vector de compromiso primario más interesante es el malware QakBot. Anteriormente, este troyano estaba asociado con otra familia de ransomware: MegaCortex. Sin embargo, ahora lo utilizan los operadores de ProLock.
Normalmente, QakBot se distribuye mediante campañas de phishing. Un correo electrónico de phishing puede contener un documento adjunto de Microsoft Office o un enlace a un archivo ubicado en un servicio de almacenamiento en la nube, como Microsoft OneDrive.
También se conocen casos en los que QakBot se cargó con otro troyano, Emotet, ampliamente conocido por su participación en campañas que distribuyeron el ransomware Ryuk.
Rendimiento
Después de descargar y abrir un documento infectado, se solicita al usuario que permita la ejecución de macros. Si tiene éxito, se inicia PowerShell, lo que le permitirá descargar y ejecutar la carga útil de QakBot desde el servidor de comando y control.
Es importante tener en cuenta que lo mismo se aplica a ProLock: la carga útil se extrae del archivo BMP o JPG y cargado en la memoria usando PowerShell. En algunos casos, se utiliza una tarea programada para iniciar PowerShell.
Script por lotes que ejecuta ProLock a través del programador de tareas:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batFijación en el sistema.
Si es posible comprometer el servidor RDP y obtener acceso, entonces se utilizan cuentas válidas para obtener acceso a la red. QakBot se caracteriza por una variedad de mecanismos de fijación. Muy a menudo, este troyano utiliza la clave de registro Ejecutar y crea tareas en el programador:
Fijar Qakbot al sistema usando la clave de registro Ejecutar
En algunos casos, también se utilizan carpetas de inicio: allí se coloca un acceso directo que apunta al gestor de arranque.
Protección de derivación
Al comunicarse con el servidor de comando y control, QakBot intenta actualizarse periódicamente, por lo que para evitar la detección, el malware puede reemplazar su versión actual por una nueva. Los archivos ejecutables están firmados con una firma comprometida o falsificada. La carga útil inicial cargada por PowerShell se almacena en el servidor C&C con la extensión PNG. Además, tras la ejecución se sustituye por un archivo legítimo. calc.exe.
Además, para ocultar actividad maliciosa, QakBot utiliza la técnica de inyectar código en los procesos, utilizando explorer.exe.
Como se mencionó, la carga útil de ProLock está oculta dentro del archivo. BMP o JPG. Esto también puede considerarse como un método para eludir la protección.
Obteniendo credenciales
QakBot tiene funcionalidad de registro de teclas. Además, puede descargar y ejecutar scripts adicionales, por ejemplo, Invoke-Mimikatz, una versión PowerShell de la famosa utilidad Mimikatz. Los atacantes pueden utilizar estos scripts para deshacerse de las credenciales.
Inteligencia de red
Después de obtener acceso a cuentas privilegiadas, los operadores de ProLock realizan un reconocimiento de la red, que puede incluir escaneo de puertos y análisis del entorno de Active Directory. Además de varios scripts, los atacantes utilizan AdFind, otra herramienta popular entre los grupos de ransomware, para recopilar información sobre Active Directory.
Promoción de la red
Tradicionalmente, uno de los métodos más populares de promoción de redes es el Protocolo de escritorio remoto. ProLock no fue una excepción. Los atacantes incluso tienen scripts en su arsenal para obtener acceso remoto a través de RDP a los hosts objetivo.
Script BAT para obtener acceso a través del protocolo RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Para ejecutar scripts de forma remota, los operadores de ProLock utilizan otra herramienta popular, la utilidad PsExec de Sysinternals Suite.
ProLock se ejecuta en hosts que utilizan WMIC, que es una interfaz de línea de comandos para trabajar con el subsistema Instrumental de administración de Windows. Esta herramienta también se está volviendo cada vez más popular entre los operadores de ransomware.
Сбор данных
Como muchos otros operadores de ransomware, el grupo que utiliza ProLock recopila datos de una red comprometida para aumentar sus posibilidades de recibir un rescate. Antes de la exfiltración, los datos recopilados se archivan utilizando la utilidad 7Zip.
Exfiltración
Para cargar datos, los operadores de ProLock utilizan Rclone, una herramienta de línea de comandos diseñada para sincronizar archivos con varios servicios de almacenamiento en la nube como OneDrive, Google Drive, Mega, etc. Los atacantes siempre cambian el nombre del archivo ejecutable para que parezca archivos legítimos del sistema.
A diferencia de sus pares, los operadores de ProLock todavía no tienen su propio sitio web para publicar los datos robados de empresas que se negaron a pagar el rescate.
Logrando el objetivo final
Una vez que se extraen los datos, el equipo implementa ProLock en toda la red empresarial. El archivo binario se extrae de un archivo con la extensión PNG o JPG usando PowerShell e inyectado en la memoria:
En primer lugar, ProLock finaliza los procesos especificados en la lista integrada (curiosamente, solo utiliza las seis letras del nombre del proceso, como "winwor") y finaliza los servicios, incluidos los relacionados con la seguridad, como CSFalconService ( CrowdStrike Falcon) usando el comando parada neta.
Luego, como ocurre con muchas otras familias de ransomware, los atacantes utilizan vssadmin para eliminar instantáneas de Windows y limitar su tamaño para que no se creen nuevas copias:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock agrega extensión .proLock, .pr0Bloquear o .proL0ck a cada archivo cifrado y coloca el archivo [CÓMO RECUPERAR ARCHIVOS].TXT a cada carpeta. Este archivo contiene instrucciones sobre cómo descifrar los archivos, incluido un enlace a un sitio donde la víctima debe ingresar una identificación única y recibir información de pago:
Cada instancia de ProLock contiene información sobre el monto del rescate; en este caso, 35 bitcoins, lo que equivale aproximadamente a 312 dólares.
Conclusión
Muchos operadores de ransomware utilizan métodos similares para lograr sus objetivos. Al mismo tiempo, algunas técnicas son únicas para cada grupo. Actualmente, hay un número creciente de grupos de ciberdelincuentes que utilizan ransomware en sus campañas. En algunos casos, los mismos operadores pueden estar involucrados en ataques que utilizan diferentes familias de ransomware, por lo que veremos cada vez más superposiciones en las tácticas, técnicas y procedimientos utilizados.
Mapeo con MITRE ATT&CK Mapping
Táctica
Tecnologia
Acceso inicial (TA0001)
Servicios remotos externos (T1133), archivo adjunto de phishing (T1193), enlace de phishing (T1192)
Ejecución (TA0002)
Powershell (T1086), secuencias de comandos (T1064), ejecución de usuario (T1204), Instrumental de administración de Windows (T1047)
Persistencia (TA0003)
Claves de ejecución del registro/carpeta de inicio (T1060), tarea programada (T1053), cuentas válidas (T1078)
Evasión de defensa (TA0005)
Firma de código (T1116), Desofuscar/decodificar archivos o información (T1140), Desactivar herramientas de seguridad (T1089), Eliminar archivos (T1107), Enmascaramiento (T1036), Inyección de procesos (T1055)
Acceso a credenciales (TA0006)
Volcado de credenciales (T1003), Fuerza bruta (T1110), Captura de entrada (T1056)
Descubrimiento (TA0007)
Descubrimiento de cuentas (T1087), descubrimiento de confianza de dominio (T1482), descubrimiento de archivos y directorios (T1083), escaneo de servicios de red (T1046), descubrimiento de recursos compartidos de red (T1135), descubrimiento de sistemas remotos (T1018)
Movimiento lateral (TA0008)
Protocolo de escritorio remoto (T1076), copia remota de archivos (T1105), recursos compartidos de administración de Windows (T1077)
Colección (TA0009)
Datos del sistema local (T1005), datos de la unidad compartida de red (T1039), datos por etapas (T1074)
Comando y Control (TA0011)
Puerto de uso común (T1043), servicio web (T1102)
Exfiltración (TA0010)
Datos comprimidos (T1002), Transferencia de datos a una cuenta en la nube (T1537)
Impacto (TA0040)
Datos cifrados para impacto (T1486), inhibición de recuperación del sistema (T1490)
Fuente: habr.com