Treo Blog

  • Jonathan Rodriguez Paipa

Protección contra amenazas: El ransomware WastedLocker

Ben Nahorney

Co-autor por Martin Lee, gerente de Talos Outreach, EMEA.


Threat Protection es una nueva serie de blogs como parte de una colaboración entre Talos y Cisco Security, que combina el conocimiento de Talos sobre el panorama de amenazas y la cartera de seguridad de Cisco. En él, resaltaremos las amenazas particulares y mostraremos cómo el enfoque multicapa de Cisco Security puede evitar que afecten a su red.



Crédito: Pexels

WastedLocker es una familia ransomware que los actores de amenazas siguen utilizando en ataques dirigidos. Cisco Talos escribió originalmente sobre esta familia ransomware a principios de julio, aunque los ataques han continuado desde la publicación.


Los actores de la amenaza detrás de la familia ransomware parecen apuntar a organizaciones específicas en lugar de individuos. Una vez que el atacante obtiene un punto de apoyo, se extienden a través de la red utilizando herramientas de doble uso y binarios vivos fuera de la tierra (también conocido como LoLBins) para comprometer aún más los sistemas adicionales. Cuando los sistemas clave están bajo control de los atacantes, ejecutan la carga útil ransomware.




Esto paraliza a la víctima, aumentando la probabilidad de que la organización objetivo considerará pagar el rescate exigido.


Entrega de amenazas


Uno de los principales mecanismos utilizados para infectar a los usuarios está comprometiendo sitios web legítimos. Muchos de los atacantes que han comprometido estos sitios están utilizando un marco de entrega de malware llamado SocGholish, que se puede utilizar para mostrar páginas web falsas y entregar cargas útiles de malware. Si un usuario visita una de estas páginas, muestra una alerta falsa que informa al usuario de que su navegador está desactualizado y le indica que descargue una actualización. Si el usuario hace clic en el símbolo del sistema, se descarga código malintencionado.


El paraguas de Cisco puede prevenir el acceso a estos sitios maliciosos. Umbrella realiza un seguimiento de los sitios web comprometidos que sirven malware, y la infraestructura de apoyo de sitios web maliciosos, bloqueando el acceso a estos sitios a nivel DNS. Esto evita que los usuarios de ser expuestos a los mensajes maliciosos o descargar extensiones del navegador falsos.


Si un usuario intenta visitar uno de estos sitios malintencionados, Umbrella generará una alerta, lo que permitirá a un analista del centro de operaciones de seguridad (SOC) o un equipo similar investigar más a fondo. Con Umbrella Investigate, el analista puede buscar información adicional sobre el dominio.




Un dominio bloqueado por el paraguas de Cisco que distribuye el malware a través de los prompts falsos de la actualización del navegador.









Investiga no sólo muestra que el sitio malicioso tiene un historial de servir código malicioso, habiendo sido previamente asociado con SmokeLoader, pero la palabra clave alta y las puntuaciones léxicas en la puntuación general de riesgo de dominio proporcionan detalles sobre por qué Umbrella bloqueó este sitio, incluso si no estaba sirviendo código malicioso en ese momento, su estructura es altamente sospechosa.


Infección inicial


Suponiendo que las protecciones DNS como Umbrella no están en su lugar, y el usuario visita una de estas páginas, se les presenta una notificación falsa de que su navegador está desactualizado. Sin embargo, el archivo .zip que se les pide que descarguen es malicioso.


Afortunadamente, el AMP para los puntos finales puede parar la carga útil que SocGholish entrega, según lo evidenciado por la siguiente captura de pantalla de la respuesta de la amenaza del Cisco SecureX. En este caso, un módulo de reputación de archivos AMP detiene el archivo .zip debido a una disposición maliciosa y una calificación de gravedad "alta". El archivo también está marcado por el módulo AMP Global Intelligence gracias a la integración de AMP con Cisco Threat Grid.



Panel de respuesta de amenazas Cisco SecureX que muestra la detección de un archivo .zip entregado por SocGholish.

Resulta que este archivo se había enviado previamente a Cisco Threat Grid para su análisis. Si un analista SOC desea investigar para ver lo que el archivo puede hacer, pueden pivotar a Cisco Threat Grid y echar un vistazo. Al hacerlo, se muestran algunas de las características que se pueden detectar mediante análisis estático y dinámico a medida que se ejecuta el código.



Análisis dentro de la cuadrícula de amenazas de Cisco del malware utilizado en la infección inicial.

En este caso, los indicadores muestran varias cosas sospechosas sobre el archivo:

  • Ha sido marcado por múltiples servicios antivirus.

  • Se comunicaba con un dominio en la lista de bloqueo de Umbrella.

  • Se cargó un archivo a un dominio malicioso.

  • Eliminó el ejemplo de archivo original.


Todos estos comportamientos contribuyen a la conclusión de que se trata de un archivo malicioso.


Establecimiento de un punto de apoyo


Suponiendo que tienen éxito en conseguir un usuario para descargar el archivo .zip malicioso y el lanzamiento de la carga útil inicial, los atacantes detrás de WastedLocker a menudo utilizan varias herramientas en esta etapa, algunas maliciosas, algunos de doble uso, para extender su penetración en la organización.


Por ejemplo, los actores de amenazas a menudo aprovechan Cobalt Strike para moverse lateralmente entre sistemas a través de la red. Utilizan estas herramientas para ejecutar comandos, escalar privilegios y realizar la inyección de procesos y/o suplantación en equipos comprometidos. Los atacantes también suelen volcar credenciales de inicio de sesión para obtener acceso a otros sistemas en la red.


AMP for Endpoints puede detectar actividad maliciosa donde las herramientas de doble uso pueden haber sido utilizadas en los puntos finales. Pero más allá del punto final, los Firewall de Cisco Stealthwatch y Cisco con AMP for Networks permiten a los equipos de seguridad identificar cuando los atacantes intentan utilizarlos para moverse lateralmente a través de la red. Cisco SecureX también proporciona una sola vista, combinando los hallazgos de varias herramientas de seguridad en una sola vista, de modo que las formas sutiles que los actores de la amenaza expanden su presencia se pueden identificar más fácilmente, y antes.


La carga útil ransomware


Una vez que los sistemas clave se han visto comprometidos, los actores de amenazas implementan la carga de WastedLocker. La carga útil es característica de ransomware: Cifra los archivos en el ordenador, utilizando una extensión de archivo que incluye la cadena "desperdiciado", y elimina cualquier copia de seguridad de instantáneas de archivos.


Incluso si el malware se personaliza para un objetivo, todavía hay muchas funciones que el malware debe ejecutar para cumplir sus objetivos. Esta actividad nos permite detectar ransomware en Cisco Threat Grid y empujar esa detección en AMP, incluso si la variante ransomware es única.


Al tener una muestra o hash a mano, un analista puede enviarlo a Cisco Threat Grid para su análisis posterior. En el informe resultante, la sección Actividad de archivo muestra claramente los archivos de cifrado ransomware con la extensión de archivo característica (en este caso ".bbadesperdiciado_info") dentro del entorno sandbox de Cisco Threat Grid.



WastedLocker cifrar archivos en el entorno sandbox de Cisco Threat Grid.

En este caso, el ransomware comparte similitudes con una familia ransomware más antigua, BitPaymer. No es inusual encontrar situaciones como esta, ya que sólo hay muchas maneras de cifrar archivos. En el lado positivo, técnicas reutilizadas como estas a menudo ayudan a facilitar la detección. Eliminación de copias de seguridad y instantáneas son otras dos técnicas utilizadas con frecuencia por ransomware.



Análisis de WastedLocker ransomware en Cisco Threat Grid.

Conclusión


Los ataques ransomware bien planificados y ejecutados pueden ser devastadores. La buena noticia es que hay un montón de cosas que se pueden hacer para reducir las posibilidades de que estos ataques tengan éxito.


A medida que caminamos a través de esta ruta de infección para el WastedLocker ransomware, hemos demostrado cómo los productos de seguridad de Cisco pueden detectar varias etapas del ataque y evitar que llegue a su objetivo de mantener la red para el rescate.


Pero el poder real aquí se trae a la luz cuando estos productos se combinan, y Cisco SecureX puede hacer precisamente eso, reuniendo los productos aparentemente dispares juntos en un solo lugar. Esta es la verdadera fortaleza de Cisco SecureX, una plataforma de seguridad cibernética que se puede aprovechar para cubrir toda su infraestructura utilizando una plataforma abierta y integrada, combinando lo siguiente para bloquear amenazas como WastedLocker:

  • Paraguas de Cisco para bloquear las conexiones a los dominios maliciosos usados en el inicio de los ataques, y en las actividades del comando y del control (C2).

  • AMP for Endpoints para detectar y bloquear el código malicioso utilizado para iniciar ataques, ampliar la presencia de los atacantes y cifrar los sistemas.

  • Cisco Threat Grid a los archivos sospechosos del sandbox y aprender más sobre su comportamiento.

  • Cisco Stealthwatch para detectar y prevenir el movimiento lateral de los actores de la amenaza dentro de su red.

  • Firewalls de Cisco con AMP for Networks para detectar código malicioso que se transfiere entre sistemas a través de redes.

  • Respuesta de amenaza Cisco SecureX para proporcionar la visibilidad y el contexto que permite a los equipos de seguridad detectar y responder a las incursiones maliciosas antes.

También es importante asegurarse de que los equipos de seguridad realicen copias de seguridad de los datos y los sistemas en una ubicación sin conexión. Los defensores deben comprobar regularmente la integridad de esas copias de seguridad para asegurarse de que se pueden restaurar. De esa manera, si se enfrentan a un escenario en el peor de los casos, las víctimas pueden recuperar sus datos, en lugar de pagar el rescate.


La respuesta del incidente de Cisco Talos puede ayudar a las organizaciones a ayudar a responder a los ataques activos, o en la recuperación después de los ataques. Talos Incident Response proporciona un enfoque innovador, aprovechando nuestra visibilidad sin igual, nuestra inteligencia de amenazas única y procesable, y la capacidad de respuesta colectiva y global, juntos en una oferta de espectro completo.


Fuente: https://blogs.cisco.com/security/threat-protection-the-wastedlocker-ransomware


D&S colores.png

Un Servidor en Quien Confiar

Servicio al cliente:

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

Peticiones quejas y reclamos:

pqr.datayservice@datayservice.com

 

 © Data&Service, todos los derechos reservados.