TLP: White
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Red, VPN.
Impacto: Cifrado de la información del dispositivo afectado.

Descripción

Un análisis realizado por una firma de seguridad ha identificado muestras de un programa malicioso del tipo ransomware llamado “VHD” el cual ha comprometido a algunas organizaciones en Europa y Asia entre marzo y mayo de este año.

Aparentemente VHD es un ransomware común, sin embargo, según los expertos, este se propaga por medio de un módulo de un framework llamado “MATA” o también conocido como MataNet. MATA es un conjunto de programas que afecta a sistemas operativos Windows, Linux y MacOS, el cual permite a un usuario infiltrarse en las redes corporativas, y ha estado activo desde el 2018, afectando a organizaciones en Polonia, Alemania, Turquía, Japón e India.

Los usuarios también aprovechan VPNs vulnerables o realizan ataques en el protocolo SMB para ingresar a la red, después los usuarios escalan privilegios e instalan una puerta trasera para tener acceso remoto al dispositivo y tomar el control del Directorio Activo (AD) de la víctima e infectar a otros dispositivos en la red.

Posteriormente el atacante instala el ransomware VHD en el dispositivo, cifra los archivos utilizando AES-256 o RSA-2048, elimina las copias de seguridad almacenadas y borra la información del sistema, evitando la restauración de Windows.

Debido a las herramientas utilizadas por VHD este programa se le ha atribuido al grupo malicioso de Corea del Norte conocido como “Lazarus”, el cual ha afectado a organizaciones en Corea del Sur, Taiwán, India, México, Pakistán, Filipinas, Turquía, Chile y Vietnam en industrias del sector aeroespacial, ingeniería, gubernamental, medios y tecnologías.

Finalmente cabe destacar que hasta el momento no hay muestras de manera pública del ransomware VHD, e incluso han identificado que este programa no se comercializa en el mercado negro, lo que ha complicado su análisis.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas:

  • Sistemas Operativos Microsoft Windows

Indicadores de compromiso (IoCs)

Los Indicadores de compromiso (IoCs) relacionados con VHD se pueden consultar en la siguiente URL:

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Concientizar a usuarios finales respecto a este tipo de campañas.
  • Realizar copias de seguridad de forma periódica de la información crítica de la organización.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Limitar el uso de protocolo SMB a servicios que lo requieran por su operación.

Referencias