TLP: White
NIVEL DE RIESGO: [Medio]
Acción Requerida: Aplicar las medidas de contención.
Vector de ataque:Campaña de spam.
Impacto: Perdida de acceso a información de la organización, negación de servicio, impacto económico y un posible daño de imagen.

Descripción

Una campaña del ransomware Netwalker se está llevando a cabo, la cual involucra comportamiento de malware de tipo fileless, comprometiendo algunos DLLs del sistema, es decir, que no requiere la creación de ningún archivo en el sistema para realizar su actividad maliciosa, sino que utiliza los procesos propios del sistema operativo que se ejecutan en memoria, cualidad que dificulta su detección y, en consecuencia, mejora la persistencia en los sistemas.

Una vez que el malware inicia el compromiso de su objetivo, se ejecuta un script que contiene el payload, el cual está identificado como “Ransom.PS1.NETWALKERS.B”, que contiene técnicas de ofuscación de hasta tres capas de codificación y cifrado, en la muestra analizada. La primera capa va codificada en “base64”, la segunda está cifrada con “XOR” y por último codificada en hexadecimal, lo que revela que el script inyecta una DLL en la memoria del proceso legítimo de “explorer.exe” y ejecuta en ese espacio de memoria la DLL. Además, elimina los volúmenes de “Shadow Copies” para evitar que la víctima recupere los datos que han sido cifrados.

Una de las muestras extraídas del malware para su análisis indica que se ha usado el módulo “PowerSploit” de “Invoke-Mimikatz” utilizado para obtener credenciales del sistema operativo objetivo, que una vez que se carga de forma reflexiva, este proceso queda en memoria.

Netwalker agrega una entrada de registro en HKEY_CURRENT_USER\SOFTWARE\{8 caracteres aleatorios} (con clave/valor = {8 caracteres aleatorios}/{valor hexadecimal}) y finaliza algunos procesos que puedan permitir la recuperación del estado del sistema o los datos, algunos de ellos son:

  • *backup*
  • *sql*
  • AcronisAgent
  • ARSM
  • Server Administrator
  • ShadowProtectSvc
  • wbengine

Además, detiene procesos que tienen interacción con los datos de usuario, algunos de los cuales son:

  • excel.exe
  • *sql*
  • ntrtscan.exe
  • powerpnt.exe
  • wbengine*
  • winword.exe
  • wrsa.exe

Una vez que el malware ha cifrado los datos de su objetivo, los nombres de archivos cifrados incluyen 6 caracteres aleatorios como extensión. Además, incluye notas de rescate con las indicaciones del pago en varios directorios del sistema.

Nivel de riesgo

  • [Medio]

Sistemas/tecnologías afectadas

  • Sistemas Operativos Microsoft Windows

Indicadores de compromiso (IoCs)

  • SHA-256
    • f4656a9af30e98ed2103194f798fa00fd1686618e3e62fba6b15c9959135b7be

Medidas de contención

Para prevenir y evitar afectaciones por este ransomware se recomienda:

  • Aplicar los indicadores de compromiso en toda la infraestructura de seguridad de la organización que así lo permita.
  • Realizar regularmente copias de seguridad de datos críticos.
  • Aplicar las últimas actualizaciones de seguridad del software del sistema operativo y de terceros.
  • Realizar compañas de concientización al personal de la organización.
  • Implementar diversos controles de seguridad que reduzcan la posibilidad de compromiso en diferentes puntos de la infraestructura de TI, como soluciones anti-spam, filtrado de navegación Web, antivirus y EDRs.
  • Implementar listas de acceso al interior de la organización en los dispositivos de comunicaciones intermedios como routers y switches.
  • Identificar los equipos internos que hayan podido realizar algún tipo de comunicación con los indicadores notificados.
  • Realizar respaldos de manera periódica.

Referencias