TLP: Amber
NIVEL DE RIESGO: [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Red.
Impacto: Cifrado de la información de equipos afectados.

Descripción

Un análisis realizado por una firma de ciberseguridad identificó desde principios de julio de este año una campaña con una nueva variante del Ransomware “Thanos”, en contra de organizaciones de Medio Oriente y África del Norte, donde se mostraba un mensaje solicitando 20 mil dólares para restaurar los archivos en el sistema.

Este código malicioso ha tenido actividad desde febrero de este año y se ha presentado bajo la modalidad “RaaS” (Ransomware como Servicio), además según las investigaciones es el primero en utilizar “RIPLace” para eludir medidas de seguridad. RIPLace es una nueva técnica de evasión, la cual permite alterar archivos para evitar ser detectados por la mayoría de los productos de seguridad y además no deja rastro en las herramientas de detección.

En esta campaña, Thanos tiene la función de mostrar una nota de rescate al momento de iniciar el sistema operativo del equipo e impedir que este se ejecute. Esta actividad lo realiza sobrescribiendo el registro de arranque principal del sistema o master boot record (MBR), ya que este es el encargado de cargar el sistema operativo Windows en el disco duro de los equipos.

Sin embargo, los ciberdelincuentes no tuvieron éxito en implementar esta nueva funcionalidad, ya que no lograron modificar la MBR correctamente, lo que ocasiona un error en el sistema y provoca que el dispositivo no se inicie correctamente.

La nueva función de Thanos permite a un usuario alterar el registro de arranque de MBR para mostrar una nota de rescate, impidiendo el inicio del sistema, además de deshabilitar soluciones de seguridad y finalmente cifrar los archivos del equipo afectado.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas:

  • Sistemas Operativos Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación se listan los Indicadores de compromiso (IoCs) identificados hasta el momento relacionados con el programa malicioso reportado en esta alerta:

  • MD5
    • e01e11dca5e8b08fc8231b1cb6e2048c
    • d6d956267a268c9dcf48445629d2803e
    • 03b76a5130d0df8134a6bdea7fe97bcd
    • be60e389a0108b2871dff12dfbb542ac
    • 7c12a63096a6b157564dc912e62b2773
    • 3d4d66b50ecb9e741e416a2a20e1e5b7
    • b8edb3062e489a16fd49868c18731a55
    • c78a9c6affbfbfabfc50fae515675c6a
    • 705d23c84c5c0e8815650cfaa73d8f76
    • a9778b0ad4a0db4ffcdf245383612989
    • 112eb679962825584438d88bfc7707c3
    •  63ca3d0e9ff126c08da82de9053a6f7c
    • 41be5e2ba0663bda47ac42a38a319311
    • af3b2a7d498724271189545fdd29ee48
    • 070940acdcf608923d044edc79ba4121
    • d209e35f7cb4677a6072415b1266118e
    • 6ac55ad4d3952513e0ad61cffef7b440
    • d6dd2586ea994eb0b0d99444a6d3b32e
    • 5b5c37282fd6607c553d4c4c5f9d8716
    • dabb1e7706b4b67ff8ae5a79ab263f06
    • efacfe855e74d597fb7f987a01ac2120
    • 23fb59ad1eb4be42f91c3d58c63ac67b
    • 2e72884e55dc7a3beb009694b07a3bf5
    • 2a66b3b2638dfc5dfcf8aaf825993269
    • 21fa6ebdd397f14bbb68a4e3d012467e
    • 86ee14a5e0166765a816531c472742ab
    • 39c2a62f7024297c25f9a7b4157aba4c
    • 0e7f3a662d61cac2d3df93bc60845f39
    • 98e1bca914035e3cbfe86ee19911b2cd
    • 0dcfe58d200058289ea8c13551d13ce8
    • 791f2cb92301fd5709e0bfee741cf6d1
    • bd9c08451d11f7c9ccefb6dceb7e8555
    • d81ce4fd6b65cf77ee030b4e550ef5e4
    • f30ed1b5b4fe07d1b1fe706cddd8be7a
    • d38f63c08174dba2225a8c8293e4fd8b
  • SHA-1
    • 4983d07f004436caa3f10b38adacbba6a4ede01a
    • cc0feae505dad9c140dd21d1b40b518d8e61b3a4
    • 60053d661ed03cd2a07f6750532e6ef11abcc4e5
    • 14b4e0bfac64ec0f837f84ab1780ca7ced8d670d
    • bee6c97ac6337adc22887da899d8a30acb523ade
  • SHA-256
    • 40890a1ce7c5bf8fda7estival4b49c577e76e0431e4ce9104cc152694fc0029ccbf
    • 06d5967a6b90b5b5f6a24b5f1e6bfc0fc5c82e7674817644d9c3de61008236dc
    • cbb95952001cdc3492ae8fd56701ceff1d1589bcfafd74be86991dc59385b82d
    • 240e3bd7209dc5151b3ead0285e29706dff5363b527d16ebcc2548c0450db819
    • 7aa46a296fbebdf3b13d399bf0dbe6e8a8fbcbc9ba696e5698326494b0da2e54
    • 58bfb9fa8889550d13f42473956dc2a7ec4f3abb18fd3faeaa38089d513c171f
    • c460fc0d4fdaf5c68623e18de106f1c3601d7bd6ba80ddad86c10fd6ea123850
    • ae66e009e16f0fad3b70ad20801f48f2edb904fa5341a89e126a26fd3fc80f75
    • 5d40615701c48a122e44f831e7c8643d07765629a83b15d090587f469c77693d
    • b60e92004d394d0b14a8953a2ba29951c79f2f8a6c94f495e3153dfbbef115b6
    • dea45dd3a35a5d92efa2726b52b0275121dceafdc7717a406f4cd294b10cd67e
    • a224cbaaaf43dfeb3c4f467610073711faed8d324c81c65579f49832ee17bda8
    • b7437e3d5ca22484a13cae19bf805983a2e9471b34853d95b67d4215ec30a00e
    • 58bfb9fa8889550d13f42473956dc2a7ec4f3abb18fd3faeaa38089d513c171f
    • c460fc0d4fdaf5c68623e18de106f1c3601d7bd6ba80ddad86c10fd6ea123850
    • ae66e009e16f0fad3b70ad20801f48f2edb904fa5341a89e126a26fd3fc80f75
    • 5d40615701c48a122e44f831e7c8643d07765629a83b15d090587f469c77693d
    • a224cbaaaf43dfeb3c4f467610073711faed8d324c81c65579f49832ee17bda8
    • 8a2b54d273d01f8d5f42311d5402950bb9983648a39b943c729314a97ede15a2
    • f0c0c989b018ee24cbd7548cec4e345fd34f491d350983fddb5ddc1ad1f4ba9f
    • cea80fe543aec9c6b4a4628ec147e8a41cac766c2cd52c0ca86a19f9ef348fc3
    • 916aeaa51050f25dbbcefc1be1820457e1d9d755a44d2d0cf62155f75c54127c
    • 940df3b1cf603388cf9739cc208c1a88adfe39d2afe51e24a51878adca2be4e3
    • 09fd6a13fbe723eec2fbe043115210c1538d77627b93feeb9e600639d20bb332
    •  917905ba95c10847e0bf3bc66332ae05616a0ddd965a00ae8ec3431ed11c39d2
    • 53806ba5c9b23a43ddbfa669798d46e715b55a5d88d3328c5af15ba7f26fbadd
    • e63aeb1aa61c38a5bed126b41ca587a892de0311730b892aee77541a761e1a02
    • befc6ff8c63889b72d1f5aec5e5accc1b4098a83cd482a6bb85182ecd640b415
    • d1b634201a6158a90f718a082c0fe0ee1769ff4b613dd9756a34318fa61eea47
    • 17314793d751b66f4afc1fac1c0ab0c21f2c9f67e473e8ba235bc79d7e0ea1b0
    • e67fa8978e6c22f4d54604a54c3ac54e631128eed819d37355c2ad80e74507a5
    • c8f18fb0baf81b31daa929499b2dcaa7f297bd05ec1ecff319ae5e8b34dade00
    • ff1a88c2ad5df435a978c63d21a6ab0642134785284b01137e18dd235197b66d
    • 989a9d2e08fcba4059ebc55afc049f34d2a12bfdd1e14f468ee8b5c27c9e7bda
    • 049425dac929baf288c44c981ef63417d097fb95f5199c9f33e5ef5e2ec20590
    • 86ed000fa2dd99f2b2341da607c904c0b510f98ead65be12b358e3f73e624cb6
    • 10dc9cb12580bc99f039b1c084ca6f136047ac4d5555ad90a7b682a2ffac4dc5
    • 81e81f0bbbdb831eda215033b7a7dbf2eed3812f4e58118f181a8e99e613179e
    • 3ccf57e60cdf89d04f2c7e744d73e3b40a4308a2ba87d0423c96f601d737733f
    • 9784148014987a39d87265c015962e9535ed86e861093a6c59691095a19be7c2
    • db3ef67666e18047aa24a90bfa32ca456641209147703853413d56eb74d44673
    • 7a38f70d923669a989ea52fa1c356c5ac7ccce4067a37782973466102e3d27f6
    • 7e6db426de4677efbf2610740b737da03c68a7c6295aca1a377d1df4d35959e5
    • 5849966984f270b200fd80e086d2565a5a7d4ee0743677640f45b97b46e49082
    • 794369bc9a06041f906910309b2ce45569a03c378ff0468b6335d4f653f190ab
    • aae00e2532ae5093e8c0a623bffcc4c447d04e89237438c52cb473854c715724
    • fd8c3259b8e80b8220c6053aa9b045676d1e3fe09356ed94b5e47fb5b895ff92
    • 23d7693284e90b752d40f8c0c9ab22da45f7fe3219401f1209c89ac98a4d7ed3
  • Dirección IP
    • 107.174.241[.]175

Medidas de Contención

  • Realizar copias de seguridad de la información de forma periódica y almacenarlos en entornos seguros.
  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias