Lazarus experimenta con un nuevo ransomware

El grupo de ciberdelincuentes Lazarus utiliza las técnicas de APT tradicionales para distribuir el ransomware VHD.

El grupo Lazarus siempre ha destacado por usar métodos propios de los ataques de APT, pero centrándose en la ciberdelincuencia financiera. Recientemente, nuestros expertos detectaron el nuevo e inédito malware VHD, con el que Lazarus parece estar experimentando.

En términos funcionales, VHD es una herramienta de ransomware bastante estándar. Penetra sigilosamente a través de las unidades conectadas al ordenador de la víctima, cifra los archivos y suprime todas las carpetas de Información de volumen del sistema (saboteando así los intentos de restauración del sistema en Windows). Además, puede suspender los procesos que pueden proteger los archivos importantes de una posible modificación (como Microsoft Exchange o el servidor SQL).

Pero lo realmente interesante es cómo se infiltra VHD en los ordenadores que fija como objetivo, ya que sus mecanismos de distribución tienen más en común con los ataques de APT. Nuestros expertos investigaron recientemente un par de casos de VHD y analizaron las acciones de los atacantes en cada uno de ellos

Movimiento lateral a través de la red de la víctima

En el primer incidente, nuestros expertos centraron su atención en el código malicioso responsable de diseminar VHD en la red objetivo. Resultó que el ransomware tenía a su disposición las listas con las direcciones IP de los ordenadores de las víctimas, así como las credenciales de acceso a las cuentas con privilegios de administrador. Utilizó estos datos para realizar ataques de fuerza bruta contra el servicio de SMB. Si el malware lograba conectarse con la carpeta de red de otro ordenador mediante el protocolo de SMB, entonces se copiaba y ejecutaba a sí mismo, con lo que acababa cifrando ese equipo también.

Dicho comportamiento no es muy propio del ransomware en masa. Sugiere al menos una labor de reconocimiento preliminar de la infraestructura de la víctima, lo que es más característico de campañas de APT.

Cadena de infección

La última vez que nuestro Equipo Global de Respuesta a Emergencias se encontró con este ransomware durante una investigación, los analistas lograron rastrear la totalidad de la cadena de infección. Según informaron, los ciberdelincuentes:

  1. Ganaron acceso a los sistemas de la víctima al explotar una puerta de enlace VPN vulnerable.
  2. Obtuvieron los privilegios de administrador en los equipos comprometidos.
  3. Instalaron una puerta trasera.
  4. Se hicieron con el control del servidor del Directorio Activo.
  5. Infectaron todos los ordenadores de la red con el ransomware VHD mediante un cargador especialmente diseñado para dicha tarea.

El análisis posterior de las herramientas utilizadas demostró que la puerta trasera formaba parte del marco multiplataforma MATA (que algunos de nuestros colegas llaman Dacls). Hemos llegado a la conclusión de que se trata de otra herramienta de Lazarus.

Tienes a tu disposición un detallado análisis técnico de estas herramientas, junto con los indicadores de compromiso, en la publicación correspondiente en el blog Securelist.

Cómo proteger tu empresa

Los actores del ransomware VHD están claramente por encima de la media cuando se trata de infectar ordenadores corporativos con un cifrador. Este malware generalmente no se encuentra disponible en los foros de hackers; sino que, más bien, se desarrolla específicamente para los ataques dirigidos. Las técnicas utilizadas para penetrar en la infraestructura de la víctima y emprender la propagación desde el interior de la red recuerdan a los sofisticados ataques de APT.

Esta difuminación gradual de los límites entre las herramientas de la ciberdelincuencia financiera y los ataques de APT es una prueba de que incluso las empresas más pequeñas necesitan considerar el uso de tecnologías de seguridad más avanzadas. Dicho esto, recientemente lanzamos una solución integrada con las funciones de la Plataforma de Protección de Endpoints (EPP) y la de Respuesta y Detección de Endpoints (EDR). Puedes leer más acerca de la solución en su página dedicada.

Consejos