TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Cifrado de información.

Descripción

De acuerdo con una investigación realizada por una firma de ciberseguridad, se ha detectado nueva actividad del ransomware conocido como PYSA o “Mespinoza Ransomware” que ha estado activo desde 2018 y ha comenzado a tener fama por el uso de herramientas como “Empire” y ”Koadic”, así como RDP, para moverse lateralmente por el entorno objetivo y con ello obtener credenciales de los sistemas para posteriormente exfiltrar y cifrar la información de estos.

En esta nueva campaña, PYSA entró a la organización a través de un host de Windows con el protocolo RDP expuesto a Internet y exfiltraron información de la empresa usando nodos con direcciones IP pertenecientes a la red Tor. La campaña tuvo éxito y pidieron un rescate de 5 BTC que se traduce en alrededor de 88 mil dólares, por la información robada.

Después de haber entrado a la red comenzaron a realizar movimiento lateral a un controlador de dominio y ejecutaron un programa PowerShell para la pieza “Empire”, posteriormente utilizaron la herramienta “koadic” que se ejecutó con un programa JavaScript llamado “MSHTA”.

La persistencia en el equipo se configuró por la herramienta koadic programando una tarea para ejecutar un archivo HTA ubicada en el directorio del sistema y deshabilitando “Windows Defender” usando el Editor de directivas de grupo local.

De acuerdo con los investigadores, las credenciales de los equipos se encontraron de forma manual a través del “Administrador de tareas” conforme ingresaban por medio del protocolo RDP a cada sistema. PYSA además se centró en el servidor de respaldo durante bastante tiempo, ya que se descargaron las credenciales de un repositorio de software de respaldo de terceros.

Cabe mencionar que en esta campaña usaron tres servidores de comando y control (C&C) para mantener la comunicación y exfiltrar texto sin formato. De manera general los actores maliciosos se aprovecharon de herramientas integradas en Windows para el descubrimiento, además de usar otras programas para ayudarles en esta tarea como “Advanced Port Scanner” y “ADRecon”.

Los expertos consideran que los desarrolladores de PYSA han mejorado sus ataques desde su aparición por lo que se espera, que sus futuros compromisos sean aún más sofisticados, situación por la que vale la pena estar siguiendo sus pasos.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5:
    • bd395971a7eb344673de513a15c16098
    • 2df8d3581274a364c6bf8859c9bdc034
    • 1da1f49900268fa7d783feda8849e496
    • 5266daf58dd34076e447474c7dce09b2
  • SHA-1:
    • b0197a53a56939d3d9006df448bc46ef599bac31
    • 72f2352eab5cb0357bdf5950c1d0374a19cfdf99
    • 8af4bfcef0f3fefae3f33b86815a6f940b64f4b7
    • 1db448b0f1adf39874d6ea6b245b9623849f48e5
  • SHA-256:
    • 81e0d5945ab7374caf2353f8d019873c88728a6c289884a723321b8a21df3c77
    • 0ab8f14e2c1e6f7c4dfa3d697d935d4fbef3605e15fd0d489d39b7f82c84ba7e
    • eb1d0acd250d32e16fbfb04204501211ba2a80e34b7ec6260440b7d563410def
    • df0cd6a8a67385ba67f9017a78d6582db422a137160176c2c5c3640b482b4a6c
  • Direcciones IP:
    • 23.129.64[.]190
    • 185.220.100[.]240
    • 45.147.231[.]210
    • 194.36.190[.]74

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Cambiar las configuraciones por defecto de los servicios de conexión remota.
  • Monitorear el tráfico de la red para detectar actividad inusual en la red.
  • Implementar una política de contraseñas fuertes que sean cambiadas periódicamente.

Referencias