Descripción
El grupo del ransomware “Ryuk” ha comenzado a aprovechar en sus campañas la vulnerabilidad “Zerologon”, la cual tiene asignada el identificador CVE-2020-1472 (CVSS v3.1: 10.0 [Crítico]) y permite a un atacante remoto no autenticado tomar el control de la máquina objetivo con privilegios de administrador.
Anteriormente, el grupo aprovechaba vulnerabilidades conocidas para afectar a las PyMES (Pequeñas y Medianas Empresas) o bien, utilizaban las conexiones de escritorio remoto (RDP) mediante ataques de fuerza bruta. Una vez estando dentro de la red objetivo se utilizaban herramientas disponibles en los sistemas objetivos para moverse lateralmente y esperaban el momento indicado para comenzar a cifrar la información, sin embargo, esto ha cambiado con el uso de la vulnerabilidad Zerologon.
Estos atacantes, son uno de los primeros grupos de ransomware en utilizar esta vulnerabilidad ya que permite una reducción de tiempo considerable en sus campañas maliciosas, es decir, ataques que tomaban meses o semanas, ahora solo toman algunas horas.
En esta nueva campaña utilizan ataques de spearphishing para entrar a las organizaciones. Primeramente, los usuarios reciben correos electrónicos con archivos maliciosos adjuntos, mismos que al ser abiertos tienen adjunto el código malicioso “BazarLoader”, el cual comienza a agregarse en varios procesos del sistema y a generar comandos en la consola de Shell, posteriormente realiza un mapeo en el dominio, para finalmente aprovecharse de la vulnerabilidad Zerologon.
Cuando Ryuk accede al sistema Windows comienza a cambiar las contraseñas del control de dominio principal, y utiliza el Active Directory para realizar movimientos laterales en la red, hasta tomar el control del dominio de los servidores de respaldo y finalmente cifrar la información con Ryuk.
Nivel de riesgo
- CVSS v3.1: 10.0 [Crítico]
Sistemas/tecnologías afectadas
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server versión 1903
- Windows Server versión 1909
- Windows Server versión 2004
Indicadores de compromiso (IoCs)
- MD5:
- 3785d87f6995b4b95d9b55f8d25562
37 - 85057b3f1210043ce7821e249ac96b
29 - 5b8b66ddbbf1fd67211e9a4bf78c17
00 - 3785d87f6995b4b95d9b55f8d25562
37 - 890206f0c506366d480e02fc9fed98
8a - d971827d974effedaeaf7d62b619b1
dd
- 3785d87f6995b4b95d9b55f8d25562
- SHA-1:
- 9b44a8f0bb2d65fb19e7ca7bbd85b3
6c176f3d60 - 72aa6fd75890d657d06ebbd4473f82
b5b5c11272 - cdb042dd8e9dc17f677c991b386f4c
d242f2628d - 9b44a8f0bb2d65fb19e7ca7bbd85b3
6c176f3d60 - ba1542d9b55fff21bda9495ed88440
4b0436cff2 - c3a846eb04e2fe765e56fa15a0d5c1
eb650ccba3
- 9b44a8f0bb2d65fb19e7ca7bbd85b3
- SHA-256:
- d67461ba45a4edf3b2a69b3e64303f
da8130bd1fc7a1173f35c1fe67b40c 9639 - 23ac461f9b5128841cafabb4282432
252ea7b57874595cf6fe8457fc1ac6 5007 - ccde47a0d315dcd4740fccfe8e8110
fbb1fd85bb305734fec409f5205179 0c98 - d67461ba45a4edf3b2a69b3e64303f
da8130bd1fc7a1173f35c1fe67b40c 9639 - feb8c2bcb71da02dbbeecb999869e0
53cf96af8cce6f9705cadca4338133 d3b5 - 1d8b7faf5f290465cc742e07abca78
fac419135b191071cc77912263cd1d de1d
- d67461ba45a4edf3b2a69b3e64303f
- Direcciones IP:
- 149.28.81[.]19
- 3.137.182[.]114
- 88.119.171[.]94
- 5.2.64[.]174
- Dominio:
- cstr3[.]com
- havemosts[.]com
- quwasd[.]com
- Archivos:
- arti64[.]dll
- Report_Print[.]exe
- xxx[.]exe
- SQL[.]dll
- socks64[.]dll
- servisses[.]exe
Medidas de contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
- Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
- Monitorear el tráfico de la red para detectar actividad inusual en la red.
- Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
- Concientizar a usuarios finales respecto a este tipo de campañas.
Medidas de erradicación
- Aplicar las actualizaciones de seguridad liberadas por Microsoft.
Referencias