Perfil del cliente: una organización con muchos cientos de dispositivos en red con sede en Asia Pacífico.
Se llamó al equipo de Sophos Managed Threat Response (MTR) para ayudar a una organización atacada con el ransomware Maze. Los atacantes solicitaron un rescate de 15 millones de dólares estadounidenses; si hubieran tenido éxito, este habría sido uno de los pagos de ransomware más costosos hasta la fecha.
Antecedentes: socios de ransomware en el crimen
Maze es una de las familias de ransomware más notorias, activa desde 2019 cuando evolucionó del ransomware ChaCha. Fue uno de los primeros en combinar el cifrado de datos con el robo de información.
Los operadores detrás de Maze han comenzado recientemente a colaborar con otros grupos de ransomware, incluidos LockBit, SunCrypt y Ragnar Locker, brindándoles acceso a su plataforma para publicar datos de víctimas robadas.
Esto parece haber llevado a un intercambio recíproco de tácticas, técnicas y procedimientos (TTP): en el ataque que se trata aquí, el grupo Maze tomó prestada una técnica de Ragnar Locker que implica el uso de máquinas virtuales.
Para un análisis técnico detallado de esta colaboración entre atacantes, lea Los atacantes de Maze adoptan la técnica de máquina virtual Ragnar Locker.
Días 1-3: comienza el ataque
Antes de que el ataque se activara, los operadores comprometieron una computadora en la red del objetivo. Luego, esta computadora se utilizó como “cabeza de playa” en la red. En múltiples ocasiones durante el ataque, los atacantes se conectaron desde aquí a otras computadoras a través del Protocolo de escritorio remoto (RDP).
El tercer día comenzó la mayor parte del ataque. Los atacantes explotaron una cuenta de administrador de dominio con una contraseña débil para tomar el control de un controlador de dominio (DC) desprotegido. Luego pasaron varios días moviéndose por la red.
Usando la herramienta legítima de escaneo de red Advanced IP Scanner para mapear la red, los atacantes crearon listas de direcciones IP en las que luego desplegarían ransomware. Estos incluían una lista de las direcciones IP de las máquinas que pertenecen a los administradores de TI del objetivo.
La atención de los atacantes luego se centró en la exfiltración de datos.
Identificaron un servidor de archivos y accedieron a él de forma remota a través de RDP utilizando la cuenta de administrador del dominio comprometido. Usando las herramientas de archivo legítimas WinRar y 7zip, comenzaron a comprimir las carpetas ubicadas en él.
Estos archivos se volvieron a copiar al controlador de dominio principal utilizando el cliente FTP legítimo de Total Commander que los atacantes habían instalado en el servidor de archivos.
Los atacantes intentaron instalar la aplicación de almacenamiento en la nube Mega en el DC. Esto se bloqueó porque el objetivo había agregado Mega a su lista de bloqueados utilizando la capacidad de control de aplicaciones en la protección de endpoints de Sophos Intercept X. Los atacantes luego cambiaron a usar la versión basada en la web en su lugar, cargando los archivos comprimidos.
Días 4-5: La calma antes de la tormenta
Durante dos días, los atacantes se quedaron en silencio. Es probable que estuvieran esperando un día en el que el equipo de seguridad de TI del objetivo no estuviera trabajando, como el fin de semana.
Día 6: se lanza el primer ataque de ransomware
El primer ataque de ransomware Maze se lanzó un domingo, utilizando la cuenta de administrador del dominio ya comprometida y las listas de direcciones IP que se habían identificado.
Este primer ataque en realidad comprendió tres ataques, ya que los operadores implementaron tres copias del ransomware Maze a través de scripts por lotes en las computadoras objetivo:
- C: \ ProgramData \ enc6.exe
- C: \ ProgramData \ enc.exe
- C: \ ProgramData \ network.dll
Se crearon tres tareas programadas para ejecutar el ransomware:
| Nombre | Comando |
| Windows Update Security Patches | C:\ProgramData\enc6.exe |
| Windows Update Security Patches 5 | C:\ProgramData\enc.exe |
| Windows Update Security | regsvr32.exe /i c:\programdata\network.dll |
Más de 700 computadoras fueron blanco del ataque, que fue detectado y bloqueado por Sophos Intercept X.
O los atacantes no se dieron cuenta de que el ataque había sido bloqueado o esperaban que el robo de los datos fuera suficiente para que el objetivo pagara, pero cualquiera que sea la razón, al lanzar el primer intento de ataque, emitieron una demanda de rescate por US $ 15 millones.
Día 7: El equipo de MTR se pone a trabajar
Al darse cuenta de que estaban bajo ataque, el equipo de seguridad del objetivo utilizó las habilidades avanzadas de respuesta a incidentes del equipo de Sophos MTR. El equipo identificó rápidamente la cuenta de administrador comprometida, identificó y eliminó varios archivos maliciosos y bloqueó los comandos del atacante y las comunicaciones C2 (comando y control).
Día 8: Continúan la investigación y la neutralización
Durante las siguientes horas, el equipo de MTR encontró más herramientas y técnicas utilizadas por los atacantes, así como pruebas relacionadas con la exfiltración de datos. Se bloquearon más archivos y cuentas.
Día 9: El segundo ataque
Los atacantes lanzaron un segundo ataque a través de una cuenta comprometida diferente. Este ataque fue similar al primero: los comandos se ejecutaron en un DC, recorriendo las listas de direcciones IP contenidas en archivos txt.
Sin embargo, esta vez copiaron un archivo llamado license.exe en C: \ ProgramData:
A esto le siguió una tarea programada para ejecutarlo. En este intento de ataque, la tarea se denominó “Actualización de seguridad de Google Chrome”:
El ataque fue rápidamente identificado y detenido. Intercept X detectó el ransomware y el equipo de MTR desactivó y eliminó tanto la cuenta comprometida como el archivo license.exe. No se cifraron archivos.
Día 9: ¿Tercera vez con suerte?
Apenas unas horas después del segundo intento, los atacantes volvieron a intentarlo.
A estas alturas parecían estar cada vez más desesperados. Este ataque tuvo como objetivo una sola máquina, el servidor de archivos principal del que se habían extraído los datos extraídos, y utilizó una técnica completamente diferente a los ataques anteriores.
En el tercer intento, los atacantes distribuyeron la carga útil del ransomware dentro de una máquina virtual (VM).
Afortunadamente, los investigadores de MTR reconocieron este nuevo enfoque de inmediato, ya que también habían respondido al ataque de ransomware Ragnar Locker donde se vio por primera vez la técnica.
Los operadores del Laberinto habían mejorado la técnica, pero sin duda era lo mismo. El ataque fue detectado y detenido y no se cifraron archivos.
Derrotar a adversarios en ataques dirigidos por humanos
Este libro de casos destaca lo ágiles y adaptables que pueden ser los ataques operados por humanos, con los atacantes capaces de sustituir y reconfigurar herramientas rápidamente y regresar al ring para otra ronda. También demuestra cómo, para minimizar la probabilidad de detección, los atacantes aprovechan múltiples herramientas de TI legítimas en sus ataques.
Los productos de punto final de Sophos detectan componentes de este ataque como Troj / Ransom-GAV o Troj / Swrort-EG. Los indicadores de compromiso se pueden encontrar en SophosLabs Github.
¿Qué pueden hacer los defensores?
Lo más importante que puede hacer un equipo de seguridad de TI es reducir la superficie de ataque, implementar un software de seguridad sólido, incluida la seguridad especializada en anti-ransomware, educar a los empleados y considerar la posibilidad de configurar o contratar un servicio de búsqueda de amenazas humanas para detectar las pistas que el software puede ‘t.
Cualquier organización puede ser un objetivo de ransomware, y cualquier correo electrónico no deseado o phishing, puerto RDP expuesto, dispositivo de puerta de enlace explotable vulnerable o credenciales de acceso remoto robadas será suficiente para que dichos adversarios se afiancen.
Mapeo de MITRE ATT&CK
El marco de MITRE ATT&CK es una base de conocimiento accesible a nivel mundial de tácticas, técnicas y procedimientos adversarios (TTP) conocidos. Puede ayudar a los equipos de seguridad, así como a los analistas y cazadores de amenazas, a comprender, anticipar y mitigar mejor el comportamiento de los atacantes.
Acceso Inicial
Ejecución
- T1059.001 – Command & Scripting Interrupter: PowerShell
- T1059.003 – Command and Scripting Interpreter: Windows Command Shell
- T1047 – Windows Management Instrumentation
- T1053.005 – Scheduled Task/Job: Scheduled Task
Evasión de defensa
- T1564.006 – Hide Artifacts: Run Virtual Instance
Acceso a Credenciales
- T1003.003 – OS Credential Dumping
Descubrimiento
- T1016 – System Network Configuration Discovery
Movimiento lateral
- T1021.001 – Remote Services: Remote Desktop Protocol
- T1021.002 – Remote Services: SMB/Windows Admin Shares
Comando y Control
- T1071.001 – Application Layer Protocol: Web Protocols
Exfiltración
- T1567.002 – Exfiltration Over Web Service: Exfiltration to Cloud Storage
Impacto
- T1486 – Data Encrypted for Impact
Sophos Managed Threat Response y búsqueda de amenazas
Para obtener más información sobre el servicio Sophos MTR, visite nuestro sitio web o hable con un representante de Sophos.
Si prefiere realizar sus propias búsquedas de amenazas, Sophos EDR le ofrece las herramientas que necesita para la búsqueda avanzada de amenazas y la higiene de las operaciones de seguridad de TI. Comience hoy mismo una prueba de 30 días sin compromiso.
Leave a Reply