TLP: Amber
NIVEL DE RIESGO – [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: N/A.
Impacto: Cifrado de información.

Descripción

Investigadores en seguridad han descubierto un nuevo ransomware denominado “RegretLocker”, el cual ha estado activo desde el mes de octubre, puede cifrar discos duros virtuales y cerrar archivos abiertos para cifrarlos, además de solicitar un rescate económico para restaurar la información

A diferencia de los ransomware conocidos, RegretLocker cifra los archivos del equipo y después muestra un mensaje corto, en vez de una larga nota, pidiendo al usuario comunicarse a través de un correo electrónico, en lugar de una liga para realizar el pago en un sitio de “Tor”.

Este ransomware, se caracteriza porque cifra archivos relacionados con máquinas virtuales. RegretLocker busca un archivo de disco virtual VHD, posteriormente utiliza las funciones de Windows para montar discos virtuales como “Virtual Storage API OpenVirtualDisk”, “AttachVirtualDisk” y “GetVirtualDiskPhysicalPath”. Después RegretLocker crea su propia unidad virtual, una vez que esta es montada como un disco físico en Windows, el ransomware puede cifrar cada máquina virtual de manera individual, aumentando la velocidad de compromiso. RegretLocker cifra los archivos con la extensión “[.]mouse” y agrega una nota de rescate llamada “HOW TO RESTORE FILES[.]txt”.

También RegretLocker utiliza la API de “Windows Restart Manager” para finalizar procesos o servicios de Windows abiertos, a excepción de aquellos que contengan ‘vnc’, ‘ssh’, ‘mstsc’, ‘System’ o ‘svchost.exe’.

Cabe mencionar que hasta el momento se desconoce la técnica de distribución de RegretLocker, sin embargo, se cree que pudiera utilizar algún troyano que descargue el ransomware o por medio de campañas spam con archivos o enlaces maliciosos

Nivel de riesgo

  • Medio

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

  • MD5
    • 3265b2b0afc6d2ad0bdd55af8edb9b37
  • SHA-1
    • 24272beb676d956ec8a65b95a2615c9075fa9869
  • SHA-256
    • a188e147ba147455ce5e3a6eb8ac1a46bdd58588de7af53d4ad542c6986491f4

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear el tráfico de la red para detectar actividad inusual en la red.
  • Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Generar copias de seguridad periódicamente de la información, además de estar debidamente restringidas y almacenadas en lugares seguros.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias