TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Red.
Impacto: Cifrado de la información.

Descripción

De acuerdo con investigaciones realizadas, se ha identificado que un programa malicioso de tipo ransomware ha estado comprometiendo a organizaciones en México. Hasta el momento no se sabe con certeza de que familia de ransomware se trata, sin embargo, se cree que podría tener relación con “Fusion Ransomware”, perteneciente a la familia de “Nefilim”, la cual fue descubierta por primera vez en marzo del pasado.

Aún se desconoce la manera de cómo ingresa el programa malicioso a la red objetivo, aunque anteriormente, Nefilim ha utilizado ataques de fuerza bruta sobre el protocolo RDP (Remote Desktop Protocol) y vulnerabilidades en dispositivos Citrix para ingresar a los dispositivos y realizar actividades maliciosas.

Nefilim es un ransomware caracterizado por utilizar un algoritmo de cifrado AES en los archivos de las víctimas y una llave pública RSA embebida en el ejecutable para cifrar la clave AES utilizada. Además de agregar la extensión “.NEFILIM” a los archivos infectados y filtrarlos con la descarga e instalación de “MegaSync”.

Esta campaña en particular tiene como objetivo filtrar y cifrar la información almacenada en los dispositivos de las organizaciones con la extensión “.INFECTION”. Una vez cifrados los datos, este programa deja una nota de rescate con el nombre “INFECTION-HELP.txt” informando que se han obtenido archivos confidenciales y amenaza con filtrar la información de manera parcial en la “Dark Web” en el sitio “http[:]//hxt254aygrsziejn[.]onion” y en el sitio de Internet “http[:]//corpleaks[.]net”, si no se contacta a los atacantes.

La nota posee la estructura semejante al del ransomware Nefilim por lo que sospechan están relacionados. La nota contiene tres correos electrónicos para comunicarse con los usuarios maliciosos, uno de ellos, perteneciente a la plataforma “ProtonMail” y los otros dos a “Tutanota”.

Cabe mencionar que la forma en que presenta persistencia en los equipos es utilizando una técnica que añade un valor en el registro de rutas específicas del sistema o bien, añade un ejecutable a los programas que se ejecutan al iniciar el sistema operativo.

A la fecha no se tiene más información acerca de estos ataques, a pesar de ello es importante que las organizaciones implementen medidas de seguridad para evitar ser víctimas de esta campaña.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas:

  • Versiones del Sistema Operativo Microsoft Windows con arquitectura x64

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • Nombre de archivo: loh.exe
    • MD5: 9587F2768ADAF99A4692061F5CAD0AA6
    • SHA-1: E3EA010D3C305CD3404A8975A561E4832C403903
    • SHA-256: DDA5C2BCD1A1BACD2381FEF6801E482BC3C3C39692B2ED9B2F5BA6ACC149C193

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como SIEM, IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear el tráfico de la red para detectar actividad inusual en la misma.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.

Referencias