TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Robo y cifrado de la información.

Descripción

De acuerdo con una investigación realizada por una firma de ciberseguridad, el ransomware Maze también conocido como “ChaCha ransomware” descubierto por primera vez en 2019, está utilizando un nuevo método para cifrar archivos de un dispositivo sin que pueda ser detectado por los sistemas de seguridad. Esto lo realiza usando un método de “Ragnar Locker”, grupo de ciberdelincuentes que usaba máquinas virtuales con Windows XP para comprometer a los dispositivos.

Maze tiene como principal objetivo robar información de una organización para después cifrarla y pedir un rescate por esta, además, amenaza con publicar la información obtenida si no se cumple con el rescate en el tiempo acordado, así como subir la cuota por cada incumplimiento del rescate.

La nueva técnica identificada consiste en utilizar una máquina virtual para realizar el cifrado del dispositivo afectado. Primero instala e inicia una máquina virtual con sistema operativo Windows 7 personalizado para cargar los discos locales como unidades compartidas, para que de esta manera obtenga acceso a los archivos del sistema y evite la detección local de sistemas de seguridad.

En el disco raíz del disco virtual de Windows 7 se encuentran 3 archivos asociados con MAZE “preload.bat”, “vrun.exe” y “payload” que con la máquina ya iniciada ejecuta un archivo llamado “startup_vrun.bat” que prepara al dispositivo con los ejecutables de MAZE, posterior a esto el equipo se apaga y se vuelve a iniciar de nuevo pero esta vez ejecutando “vrun.exe” para cifrar los archivos compartidos del host.

Esta técnica fue utilizada en el mes de julio y de acuerdo con las investigaciones realizadas este programa malicioso ingresó a una organización entre 4 y 6 días antes de que Maze actuara. Además, según las investigaciones, los atacantes realizaron un listado de direcciones IP dentro de la red objetivo para enviar el ransomware y utilizaron uno de los servidores de control de dominio de la organización para filtrar la información en la nube.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5:
    • c058d12469e9ae495c9bdd07dc025019
    • fba87d07e6c03f034bf8db05c26c6fa0
    • 39fb5d84c5568d43fb1f2c0474845b27
    • c4aed86bb30fa130a642e501c720e445
    • b1514e7989c61a3c8bcd566e10fab65a
    • 727e0ea4fa5d0cd4ff4a4ae2d5089133
    • 77583bb3b0af84cc34337da0ba72d5a0
  • SHA-1:
    • 04b285bef63b647b2d357c61727a50693948c418
    • 87f9296235000c417be0947c8bc5be537a68416a
    • afaf240370369c64cb1280385800715303f4137f
    • 1c6124c84ef534da8ebef64f3f113bf67d844237
    • fdd04574ed0dd76e237851a7459e8cfe1f8f9224
    • b51603e1f3289a1f9311442f35b961e1d4e5956c
    • 637c3accfcb322e3486802f89f60fe4e7998f399
  • SHA-256:
    • bcc14c949356ce43d5217b37fbdcbf9b9b52caa4a6198c8ab0bcd576d955759
    • 0df95fe05e4c6dbe7fd1cf4221ab3bf053761027cd496ac0a84eb435080245e9
    • 6e742521a05a30c256bb5aa3a83e317132230c84e205aef9b200dbf1d1d52ac4
    • f56775b2bc86a692982b0013e1d3ed5445db708ebbb0e70001b9e6df1dfbd193
    • 6279e93c1ad63991b95dfd3775581835ec76f8b19a3c2947365d28736dd5741
    • 591d08c34b2d6945b39798a836f2cbaa9af7e8573df9de82038cfe0bef728255
    • dfb416add0a8d67800832863ab932cf3991424846a21de5dfff9de38e3df3c4f
    • 5b579e53f60a2f5dcf1d29fd23a86d6efe3aba784f95165e1618db1ee1ace425
    • 7ee403ca56a0bd609ff8eb9f9c893eb06456be283e0c3a0feeda15fd32173742
    • ba254eaf3f18f671b8128fe6e0ad2dacb98905b27eb5ee8acff91128a039c5ef
    • f9eb9b611e49910e4fabd56379fc6142ac51f2b7d1e0c82b9ca7f37ee5df43ac
  • IP:
    • 94.232.40[.]167
  • Url:
    • hxxp://94[.]232[.]40[.]167:9338/dot[.]gif
    • hxxp://94[.]232[.]40[.]167:9338/visit[.]js

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
  • Concientizar al personal de las organizaciones respecto a este tipo de campañas.

Referencias