[28/01/2023] Ransom Cartel, una operación de ransomware como servicio (RaaS, por sus siglas en inglés), ha intensificado sus ataques durante el último año después de la disolución de bandas prominentes como REvil y Conti. Se cree que Ransom Cartel se lanzó en diciembre del 2021 y ha victimizado a organizaciones de los sectores de educación, manufactura, servicios públicos y la energía con malware agresivo y tácticas que se asemejan a las utilizadas por REvil.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
El grupo emplea la doble extorsión, combinando el cifrado de datos con el robo de datos, y las amenazas posteriores, para publicar información robada en su página web de fuga de datos. Sin embargo, el grupo va un paso más allá y amenaza con enviar información confidencial a los socios, competidores y medios de comunicación de la víctima en un intento de infligir el mayor daño posible a su reputación.
"Creemos que los operadores de Ransom Cartel tenían acceso a versiones anteriores del código fuente del ransomware de REvil, pero no algunos de los desarrollos más recientes”, afirmaron investigadores de Palo Alto Networks en un análisis del código del ransomware. "Esto sugiere que hubo una relación entre los grupos en algún momento, aunque puede que no haya sido reciente”.
Conjunto de herramientas de acceso inicial y movimiento lateral
Los atacantes de Ransom Cartel hacen un uso intensivo de las credenciales robadas para obtener acceso inicial a las organizaciones de sus víctimas. Esto incluye credenciales para varios servicios a los que se puede acceder desde Internet, protocolo de escritorio remoto (RDP, por sus siglas en inglés), protocolo de shell seguro (SSH, por sus siglas en inglés) y redes privadas virtuales (VPN, por sus siglas en inglés). Los afiliados del grupo -hackers que distribuyen el ransomware a cambio de una gran parte de los pagos del rescate- obtienen estas credenciales ellos mismos o las adquieren de intermediarios de acceso inicial en el mercado clandestino.
"Los intermediarios de acceso inicial son actores que ofrecen vender acceso a redes comprometidas”, afirmaron los investigadores de Palo Alto Networks. "Su motivación no es llevar a cabo ciberataques ellos mismos, sino vender el acceso a otros actores de amenazas. Debido a la rentabilidad del ransomware, es probable que estos corredores tengan relaciones de trabajo con grupos RaaS en función de la cantidad que estén dispuestos a pagar. La Unidad 42 ha visto evidencia de que Ransom Cartel ha confiado en este tipo de servicio para obtener acceso inicial para la implementación de ransomware”.
Una vez dentro de una red corporativa, el objetivo de los atacantes de Ransom Cartel es robar credenciales adicionales y obtener acceso a Windows y servidores Linux VMware ESXi. Los atacantes fueron vistos usando una herramienta de código abierto llamada DonPAPI que puede localizar y volcar las credenciales almacenadas mediante la Windows Data Protection API (DPAPI).
DonPAPI busca blobs DPAPI para las credenciales almacenadas por el programador de tareas de Windows, Windows Vaults, Windows RDP, claves Wi-Fi, AdConnect y más. Sin embargo, también puede extraer secretos que no sean DPAPI de Internet Explorer, Chrome, Firefox, VNC y mRemoteNG. Las credenciales almacenadas en los navegadores pueden incluir aquellas que se usan para autenticarse en la interfaz de VMware vCenter y se pueden usar para acceder a los servidores ESXi. "Para evitar el riesgo de detección por antivirus (AV) o detección y respuesta de punto final (EDR, por sus siglas en inglés), la herramienta descarga los archivos y los descifra localmente”, afirmaron los investigadores de Palo Alto.
Después de autenticarse en vCenter, los atacantes habilitan SSH y crean nuevas cuentas con el identificador de usuario (UID, por sus siglas en inglés) establecido en cero, lo que en Linux significa root. Esto les permite eludir los controles de seguridad y mantener un acceso persistente a los servidores.
El programa de cifrado de archivos que se usa en las máquinas Linux busca específicamente archivos con la extensión .log, .vmdk, .vmem, .vswp y extensiones vmsn, que están asociadas con imágenes instantáneas de ESXi, archivos de registro, archivos de intercambio, archivos de paginación y discos virtuales.
Otras herramientas de volcado de credenciales que utilizaron los atacantes de Ransom Cartel incluyeron LaZagne y Mimikatz. Se utilizó una herramienta legítima llamada PDQ Inventory, que es popular entre los administradores de TI para escanear la red y recopilar información sobre hardware, software y configuraciones de Windows. Otras herramientas observadas en uso incluyeron Advanced Port Scanner y netscan.exe para escaneos de red, Putty para conexiones SSH, AnyDesk para escritorio remoto, el implante Cobalt Strike para comando y control, y Rclone para exfiltración de datos. Se utilizó el exploit PrintNightmare (CVE-2021-1675, CVE-2021-34527 y CVE-2021-34481) para el escalado de privilegios.
Similitudes de código con REvil
El programa ransomware de Windows tiene un archivo de configuración cifrado, que contiene la clave Curve25519-donna de los atacantes, utilizada en la rutina de cifrado; una lista de archivos, carpetas y extensiones para evitar el cifrado; una lista de procesos y servicios del sistema para terminar; y el contenido de la nota de rescate.
La lista de procesos incluye servicios de backup como BackupExecVSSProvider, Veeam, Acronis, servicios de bases de datos que incluyen Microsoft Exchange y MSSQL, productos de seguridad como Sophos, clientes de correo electrónico y navegadores y más.
La rutina de cifrado implica generar un par de claves Curve25519 locales, luego un par de claves de sesión donde la clave privada se empareja con la clave pública del atacante distribuida como parte de la configuración del ransomware. La clave resultante se codifica con SHA3 y el hash se usa como clave para el cifrado AES. Se están generando claves de sesión adicionales, con un par de claves públicas y privadas para cada archivo que, en última instancia, se cifra mediante el algoritmo Salsa20.
"En el 2020, este método de generar secretos de sesión fue documentado por investigadores de Amossys; sin embargo, su análisis se centró en una versión actualizada del ransomware Sodinokibi/REvil, lo que indica una superposición directa entre el código fuente de REvil y las últimas muestras de Ransom Cartel”, afirmaron los investigadores de Palo Alto.
Además de la gran similitud en el cifrado y los métodos de generación de claves entre REvil y los programas de ransomware de Ransom Cartel, existen superposiciones en la forma en que la configuración cifrada se almacena en el binario del ransomware y la forma en que se formatea una vez descifrado. Sin embargo, REvil tiene más entradas que faltan en la configuración de Ransom Cartel, lo que podría sugerir que los creadores de este último eliminaron funciones o solo tuvieron acceso a una variante anterior de REvil.
La nota de rescate es similar a la de Revil
Otra similitud es la nota de rescate. En las primeras variantes de Ransom Cartel, la nota de rescate era casi idéntica, en formato e idioma, a la nota de rescate utilizada por REvil. La única diferencia estaba en las instrucciones para acceder a la página web Tor, utilizada para la comunicación con las víctimas, que requiere autenticación mediante una clave única generada por el ransomware para cada víctima. Las versiones posteriores, observadas en agosto del 2022, tenían una nota de rescate significativamente diferente.
"Una diferencia particularmente interesante entre las dos familias de malware es que REvil opta por ofuscar su ransomware mucho más que el grupo Ransom Cartel, utilizando encriptación en cadena, hash de API y más, mientras que Ransom Cartel casi no tiene ofuscación fuera de la configuración, lo que sugiere que es posible que el grupo no posea el motor de ofuscación utilizado por REvil”, afirmaron los investigadores de Palo Alto.
Una conexión con REvil probablemente sea problemática para los operadores de Ransom Cartel, dada la notoriedad de REvil, por lo que no sería sorprendente si intentan ocultarlo intencionalmente. Operando entre el 2019 y el 2021, REvil o Sodinokibi, fueron algunos de los primeros pioneros del ransomware, implementado manualmente en lugar de depender de la infección automatizada, a través de rutinas en el código del ransomware. Lo lograron al tomar prestadas técnicas de movimiento lateral y vivir fuera de la tierra de los ataques de ciberespionaje, al estilo APT, sentando las bases para las tácticas que la mayoría de los grupos de ransomware utilizan hoy en día.
¿Una conexión de Ransom Cartel con REvil?
El uso de tales técnicas los hizo muy exitosos en irrumpir en un gran número de organizaciones, lo que finalmente atrajo la atención de los gobiernos al más alto nivel. En julio del 2021, una filial de REvil explotó vulnerabilidades de día cero en una herramienta de gestión de TI, desarrollada por una empresa llamada Kaseya. El ataque les permitió comprometer a más de 30 proveedores de servicios administrados (MSPs, por sus siglas en inglés) de todo el mundo y más de mil redes comerciales administradas por esos MSPs. El incidente provocó una discusión entre el presidente de Estados Unidos, Joe Biden, y el presidente de Rusia, Vladimir Putin, y Biden pidió a las autoridades rusas que adopten una postura más dura con respecto a los grupos de ransomware.
Un par de meses después, REvil cerró sus operaciones y se disolvió, posiblemente luego de una represión por parte de las fuerzas del orden rusas. En noviembre del 2021, el DOJ anunció acusaciones contra dos afiliados de REvil, uno de los cuales se cree que estuvo involucrado en el ataque de Kaseya y fue arrestado en Polonia. Al mismo tiempo, Europol anunció el arresto de otros cinco afiliados a REvil. Dado el calor que parecía atraer la afiliación a REvil, no sería sorprendente que algunos se esfumaran y cambiaran de nombre.
"Basándonos en el hecho de que los operadores de Ransom Cartel claramente tienen acceso al código fuente original del ransomware de REvil, pero probablemente no posean el motor de ofuscación utilizado para cifrar cadenas y ocultar llamadas API, especulamos que los operadores de Ransom Cartel tuvieron una relación con el grupo Revil, en un momento, antes de comenzar su propia operación”, afirmaron los investigadores de Palo Alto. "Debido a la naturaleza de alto perfil de algunas organizaciones a las que apunta Ransom Cartel y al flujo constante de casos de Ransom Cartel identificados por la Unidad 42, es probable que el operador y/o los afiliados detrás del ransomware continúen atacando y extorsionando a las organizaciones”.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú