Nuestros expertos han investigado la actividad de Andariel, el cual se cree es un subgrupo de Lazarus APT. Los cibercriminales utilizan el malware DTrack y el ransomware Maui para atacar empresas por todo el mundo. Como es típico en Lazarus, el grupo ataca para obtener beneficios financieros, en esta ocasión mediante demandas de rescate.
Andariel y sus objetivos
Nuestros expertos llegaron a la conclusión de que, en lugar de centrarse en un sector concreto, el grupo Andariel es capaz de atacar cualquier empresa. En junio, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA en inglés) informó que el ransomware Maui está dirigido principalmente a empresas y organizaciones gubernamentales del sector sanitario estadounidense. Sin embargo, nuestro equipo también detectó al menos un ataque a una empresa inmobiliaria en Japón, además de distintas víctimas en India, Vietnam y Rusia.
Las herramientas de Andariel
La herramienta principal del grupo Andariel es su tradicional malware, Dtrack. Este recopila información sobre una víctima y la envía a un host remoto. Entre otras cosas, Dtrack recopila el historial de búsqueda del navegador y lo guarda en un archivo por separado. La variante que utiliza Andariel en sus ataques no solo es capaz de enviar la información recopilada al servidor de los cibercriminales mediante HTTP, sino que también la almacena en un host remoto en la red de la víctima.
Cuando los atacantes encuentran datos dignos de atención, el ransomware Maui entra en escena. Habitualmente, los ataques de hosts se detectan 10 horas después de la activación del malware DTrack. Nuestros colegas de Stairwell han estudiado sus muestras y deducen que los operadores controlan el ransomware de forma manual, o sea, seleccionan qué datos van a cifrar.
Otra herramienta que los atacantes parecen estar utilizando es 3Proxy. Este servidor proxy legítimo, gratuito y multiplataforma es de interés para los atacantes debido, probablemente a su reducido tamaño (sólo unos cientos de kilobytes). Este tipo de herramienta puede utilizarse para mantener el acceso remoto a un ordenador infectado.
Andariel y la propagación de su malware
Los cibercriminales explotan versiones sin parches de servicios públicos en línea. En uno de estos casos, el malware descargó un HFS (un servidor de archivos HTTP): los atacantes usaron un exploit desconocido que les permitió ejecutar un script de Powershell desde un servidor remoto. En otro, pudieron infectar un servidor WebLogic mediante un exploit para la vulnerabilidad CVE-2017-10271, lo que, en definitiva, les permitió ejecutar un script.
Para obtener una descripción técnica más detallada sobre el ataque y las herramientas utilizadas, así como indicadores de compromiso, consulta este post en Securelist.
¿Cómo mantenerse a salvo?
Primero, asegúrate de que todos los dispositivos corporativos, incluyendo los servidores, estén equipados con soluciones de seguridad fiables. Además, sería interesante y recomendable pensar en estrategias y medidas anti-ransomware en caso de que surja una infección.