TLP: Amber
NIVEL DE RIESGO CVSS v3.1 – 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones publicadas por Microsoft a los productos afectados.
Vector de ataque: Remoto.
Impacto: Cifrado de información.

Descripción

El grupo del ransomware “Ryuk” ha comenzado a aprovechar en sus campañas la vulnerabilidad “Zerologon”, la cual tiene asignada el identificador CVE-2020-1472 (CVSS v3.1: 10.0 [Crítico]) y permite a un atacante remoto no autenticado tomar el control de la máquina objetivo con privilegios de administrador.

Anteriormente, el grupo aprovechaba vulnerabilidades conocidas para afectar a las PyMES (Pequeñas y Medianas Empresas) o bien, utilizaban las conexiones de escritorio remoto (RDP) mediante ataques de fuerza bruta. Una vez estando dentro de la red objetivo se utilizaban herramientas disponibles en los sistemas objetivos para moverse lateralmente y esperaban el momento indicado para comenzar a cifrar la información, sin embargo, esto ha cambiado con el uso de la vulnerabilidad Zerologon.

Estos atacantes, son uno de los primeros grupos de ransomware en utilizar esta vulnerabilidad ya que permite una reducción de tiempo considerable en sus campañas maliciosas, es decir, ataques que tomaban meses o semanas, ahora solo toman algunas horas.

En esta nueva campaña utilizan ataques de spearphishing para entrar a las organizaciones. Primeramente, los usuarios reciben correos electrónicos con archivos maliciosos adjuntos, mismos que al ser abiertos tienen adjunto el código malicioso “BazarLoader”, el cual comienza a agregarse en varios procesos del sistema y a generar comandos en la consola de Shell, posteriormente realiza un mapeo en el dominio, para finalmente aprovecharse de la vulnerabilidad Zerologon.

Cuando Ryuk accede al sistema Windows comienza a cambiar las contraseñas del control de dominio principal, y utiliza el Active Directory para realizar movimientos laterales en la red, hasta tomar el control del dominio de los servidores de respaldo y finalmente cifrar la información con Ryuk.

Nivel de riesgo

  • CVSS v3.1: 10.0 [Crítico]

Sistemas/tecnologías afectadas

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server versión 1903
  • Windows Server versión 1909
  • Windows Server versión 2004

Indicadores de compromiso (IoCs)

  • MD5:
    • 3785d87f6995b4b95d9b55f8d2556237
    • 85057b3f1210043ce7821e249ac96b29
    • 5b8b66ddbbf1fd67211e9a4bf78c1700
    • 3785d87f6995b4b95d9b55f8d2556237
    • 890206f0c506366d480e02fc9fed988a
    • d971827d974effedaeaf7d62b619b1dd
  • SHA-1:
    • 9b44a8f0bb2d65fb19e7ca7bbd85b36c176f3d60
    • 72aa6fd75890d657d06ebbd4473f82b5b5c11272
    • cdb042dd8e9dc17f677c991b386f4cd242f2628d
    • 9b44a8f0bb2d65fb19e7ca7bbd85b36c176f3d60
    • ba1542d9b55fff21bda9495ed884404b0436cff2
    • c3a846eb04e2fe765e56fa15a0d5c1eb650ccba3
  • SHA-256:
    • d67461ba45a4edf3b2a69b3e64303fda8130bd1fc7a1173f35c1fe67b40c9639
    • 23ac461f9b5128841cafabb4282432252ea7b57874595cf6fe8457fc1ac65007
    • ccde47a0d315dcd4740fccfe8e8110fbb1fd85bb305734fec409f52051790c98
    • d67461ba45a4edf3b2a69b3e64303fda8130bd1fc7a1173f35c1fe67b40c9639
    • feb8c2bcb71da02dbbeecb999869e053cf96af8cce6f9705cadca4338133d3b5
    • 1d8b7faf5f290465cc742e07abca78fac419135b191071cc77912263cd1dde1d
  • Direcciones IP:
    • 149.28.81[.]19
    • 3.137.182[.]114
    • 88.119.171[.]94
    • 5.2.64[.]174
  • Dominio:
    • cstr3[.]com
    • havemosts[.]com
    • quwasd[.]com
  • Archivos:
    • arti64[.]dll
    • Report_Print[.]exe
    • xxx[.]exe
    • SQL[.]dll
    • socks64[.]dll
    • servisses[.]exe

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear el tráfico de la red para detectar actividad inusual en la red.
  • Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Medidas de erradicación

  • Aplicar las actualizaciones de seguridad liberadas por Microsoft.

Referencias