Descripción
Un análisis realizado por una firma de seguridad ha identificado muestras de un programa malicioso del tipo ransomware llamado “VHD” el cual ha comprometido a algunas organizaciones en Europa y Asia entre marzo y mayo de este año.
Aparentemente VHD es un ransomware común, sin embargo, según los expertos, este se propaga por medio de un módulo de un framework llamado “MATA” o también conocido como MataNet. MATA es un conjunto de programas que afecta a sistemas operativos Windows, Linux y MacOS, el cual permite a un usuario infiltrarse en las redes corporativas, y ha estado activo desde el 2018, afectando a organizaciones en Polonia, Alemania, Turquía, Japón e India.
Los usuarios también aprovechan VPNs vulnerables o realizan ataques en el protocolo SMB para ingresar a la red, después los usuarios escalan privilegios e instalan una puerta trasera para tener acceso remoto al dispositivo y tomar el control del Directorio Activo (AD) de la víctima e infectar a otros dispositivos en la red.
Posteriormente el atacante instala el ransomware VHD en el dispositivo, cifra los archivos utilizando AES-256 o RSA-2048, elimina las copias de seguridad almacenadas y borra la información del sistema, evitando la restauración de Windows.
Debido a las herramientas utilizadas por VHD este programa se le ha atribuido al grupo malicioso de Corea del Norte conocido como “Lazarus”, el cual ha afectado a organizaciones en Corea del Sur, Taiwán, India, México, Pakistán, Filipinas, Turquía, Chile y Vietnam en industrias del sector aeroespacial, ingeniería, gubernamental, medios y tecnologías.
Finalmente cabe destacar que hasta el momento no hay muestras de manera pública del ransomware VHD, e incluso han identificado que este programa no se comercializa en el mercado negro, lo que ha complicado su análisis.
Nivel de riesgo
- Alto
Sistemas/tecnologías afectadas:
- Sistemas Operativos Microsoft Windows
Indicadores de compromiso (IoCs)
Los Indicadores de compromiso (IoCs) relacionados con VHD se pueden consultar en la siguiente URL:
Medidas de contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Concientizar a usuarios finales respecto a este tipo de campañas.
- Realizar copias de seguridad de forma periódica de la información crítica de la organización.
- Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
- Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
- Limitar el uso de protocolo SMB a servicios que lo requieran por su operación.
Referencias
- https://www.bleepingcomputer.
com/news/security/north- korean-hackers-created-vhd- ransomware-for-enterprise- attacks/ - https://securelist.com/
lazarus-on-the-hunt-for-big- game/97757/ - https://www.zdnet.com/article/
kaspersky-north-korean- hackers-are-behind-the-vhd- ransomware/ - https://securelist.com/mata-
multi-platform-targeted- malware-framework/97746/