Malware destructivo dirigido a organizaciones ucranianas

Microsoft Threat Intelligence Center (MSTIC) ha identificado evidencia de una operación de malware destructiva dirigida a múltiples organizaciones en Ucrania. Este malware apareció por primera vez en los sistemas de las víctimas en Ucrania el 13 de enero de 2022. Microsoft está al tanto de los eventos geopolíticos en curso en Ucrania y la región circundante y alienta a las organizaciones a utilizar la información de esta publicación para protegerse de manera proactiva de cualquier actividad maliciosa.

Mientras continúa nuestra investigación, MSTIC no ha encontrado asociaciones notables entre esta actividad observada, rastreada como DEV-0586, y otros grupos de actividad conocidos. MSTIC evalúa que el malware, que está diseñado para parecerse a un ransomware pero que carece de un mecanismo de recuperación de rescate, tiene la intención de ser destructivo y está diseñado para dejar inoperables los dispositivos específicos en lugar de obtener un rescate.

En la actualidad y según la visibilidad de Microsoft, nuestros equipos de investigación han identificado el malware en docenas de sistemas afectados y ese número podría aumentar a medida que continúa nuestra investigación. Estos sistemas abarcan múltiples organizaciones gubernamentales, sin fines de lucro y de tecnología de la información, todas con sede en Ucrania. No sabemos la etapa actual del ciclo operativo de este atacante o cuántas otras organizaciones de víctimas pueden existir en Ucrania u otras ubicaciones geográficas. Sin embargo, es poco probable que estos sistemas afectados representen el alcance total del impacto que otras organizaciones están informando.

Dada la escala de las intrusiones observadas, MSTIC no puede evaluar la intención de las acciones destructivas identificadas, pero cree que estas acciones representan un riesgo elevado para cualquier agencia gubernamental, sin fines de lucro o empresa ubicada o con sistemas en Ucrania. Recomendamos encarecidamente a todas las organizaciones que realicen de inmediato una investigación exhaustiva e implementen defensas utilizando la información proporcionada en esta publicación. MSTIC actualizará este blog a medida que tengamos información adicional para compartir.

Al igual que con cualquier actividad de actor de estado-nación observada, Microsoft notifica directa y proactivamente a los clientes que han sido atacados o comprometidos, brindándoles la información que necesitan para guiar sus investigaciones. MSTIC también está trabajando activamente con miembros de la comunidad de seguridad global y otros socios estratégicos para compartir información que pueda abordar esta amenaza en evolución a través de múltiples canales. Microsoft usa las designaciones DEV-#### como un nombre temporal dado a un grupo desconocido, emergente o en desarrollo de actividad de amenazas, lo que permite que MSTIC lo rastree como un conjunto único de información hasta que alcancemos un alto nivel de confianza sobre el origen o la identidad. del actor detrás de la actividad. Una vez que cumple con los criterios, un DEV se convierte en un actor designado o se fusiona con actores existentes.

Actividad del actor observado

El 13 de enero, Microsoft identificó una actividad de intrusión procedente de Ucrania que parecía ser una posible actividad de limpiaparabrisas de Master Boot Records (MBR). Durante nuestra investigación, encontramos una capacidad de malware única que se utiliza en ataques de intrusión contra múltiples organizaciones de víctimas en Ucrania.

Etapa 1: sobrescribir el registro de inicio maestro para mostrar una nota de rescate falsa

El malware reside en varios directorios de trabajo, incluidos C:PerfLogs, C:ProgramData, C:, y C:temp, y a menudo se denomina etapa1.exe. En las intrusiones observadas, el malware se ejecuta a través de Impacket, una capacidad disponible públicamente que los actores de amenazas suelen utilizar para el movimiento lateral y la ejecución.

El malware de dos etapas sobrescribe el Master Boot Record (MBR) en los sistemas de las víctimas con una nota de rescate (Etapa 1). El MBR es la parte de un disco duro que le dice a la computadora cómo cargar su sistema operativo. La nota de rescate contiene una billetera de Bitcoin y un ID de Tox (un identificador de cuenta único que se usa en el protocolo de mensajería cifrada de Tox) que MSTIC no ha observado previamente:

Your hard drive has been corrupted.
In case you want to recover all hard drives
of your organization,
You should pay us $10k via bitcoin wallet
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
with your organization name.
We will contact you to give further instructions.

El malware se ejecuta cuando el dispositivo asociado se apaga. Sobrescribir el MBR es atípico para el ransomware ciberdelincuente. En realidad, la nota de ransomware es una artimaña y el malware destruye el MBR y el contenido de los archivos a los que se dirige. Hay varias razones por las que esta actividad es inconsistente con la actividad de ransomware ciberdelincuente observada por MSTIC, incluyendo:

  • Las cargas útiles de ransomware generalmente se personalizan por víctima. En este caso, se observó la misma carga útil de rescate en varias víctimas.
  • Prácticamente todo el ransomware cifra el contenido de los archivos en el sistema de archivos. El malware en este caso sobrescribe el MBR sin ningún mecanismo de recuperación.
  • Los montos de pago explícitos y las direcciones de billetera de criptomonedas rara vez se especifican en las notas de rescate criminales modernas, pero se especificaron en DEV-0586. Se observó la misma dirección de billetera de Bitcoin en todas las intrusiones de DEV-0586 y, en el momento del análisis, la única actividad fue una pequeña transferencia el 14 de enero.
  • Es raro que el método de comunicación sea solo una ID de Tox, un identificador para usar con el protocolo de mensajería encriptada de Tox. Por lo general, hay sitios web con foros de soporte o múltiples métodos de contacto (incluido el correo electrónico) para facilitar que la víctima se comunique con éxito.
  • La mayoría de las notas de rescate criminales incluyen una identificación personalizada que se le indica a la víctima que envíe en sus comunicaciones a los atacantes. Esta es una parte importante del proceso donde la identificación personalizada se asigna en el backend de la operación de ransomware a una clave de descifrado específica de la víctima. La nota de rescate en este caso no incluye una identificación personalizada.

Microsoft seguirá supervisando la actividad de DEV-0586 e implementará protecciones para nuestros clientes. Las detecciones actuales, las detecciones avanzadas y los IOC implementados en nuestros productos de seguridad se detallan a continuación.

Etapa 2: Malware corruptor de archivos

Stage2.exe es un descargador de un malware corruptor de archivos malicioso. Tras la ejecución, etapa2.exe descarga el malware de próxima etapa alojado en un canal de Discord, con el enlace de descarga codificado en el descargador. El malware de próxima etapa se puede describir mejor como un corruptor de archivos malicioso. Una vez ejecutado en la memoria, el corruptor ubica archivos en ciertos directorios del sistema con una de las siguientes extensiones de archivo codificadas:

.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP

Si un archivo tiene una de las extensiones anteriores, el corruptor sobrescribe el contenido del archivo con un número fijo de bytes 0xCC (tamaño total del archivo de 1 MB). Después de sobrescribir el contenido, el destructor cambia el nombre de cada archivo con una extensión aparentemente aleatoria de cuatro bytes. El análisis de este malware está en curso.

Acciones de cliente recomendadas

MSTIC y los equipos de seguridad de Microsoft están trabajando para crear e implementar detecciones para esta actividad. Hasta la fecha, Microsoft ha implementado protecciones para detectar esta familia de malware como WhisperGate (por ejemplo, DoS:Win32/WhisperGate.A!dha) a través de Microsoft Defender Antivirus y Microsoft Defender para Endpoint, dondequiera que se implementen en entornos locales y en la nube. Continuamos con la investigación y compartiremos actualizaciones significativas con los clientes afectados, así como con socios del sector público y privado, a medida que obtengamos más información. Las técnicas utilizadas por el actor y descritas en esta publicación pueden mitigarse adoptando las consideraciones de seguridad que se proporcionan a continuación:

  • Utilice los indicadores de compromiso incluidos para investigar si existen en su entorno y evaluar posibles intrusiones.
  • Revise toda la actividad de autenticación para la infraestructura de acceso remoto, con un enfoque particular en las cuentas configuradas con autenticación de un solo factor, para confirmar la autenticidad e investigar cualquier actividad anómala.
  • Habilite la autenticación multifactor (MFA) para mitigar las credenciales potencialmente comprometidas y garantizar que se aplique MFA para toda la conectividad remota. NOTA: Microsoft recomienda encarecidamente a todos los clientes que descarguen y utilicen soluciones sin contraseña como Autenticador de Microsoft para asegurar las cuentas.
  • Permitir Acceso controlado a carpetas (CFA) en Microsoft Defender para Endpoint para evitar la modificación de MBR/VBR.

Indicadores de compromiso (IOC)

La siguiente lista proporciona las COI observadas durante nuestra investigación. Alentamos a los clientes a investigar estos indicadores en sus entornos e implementar detecciones y protecciones para identificar actividades relacionadas pasadas y prevenir futuros ataques contra sus sistemas.

Indicador Escribe Descripción
a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92 SHA-256 Hash de malware destructivo etapa1.exe
dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78 SHA-256 Hachís de etapa2.exe
cmd.exe /Q /c iniciar c:stage1.exe 1> \127.0.0.1ADMIN$__[TIMESTAMP] 2>&1 Línea de comando Ejemplo de línea de comando de Impacket que muestra la ejecución del malware destructivo. El directorio de trabajo ha variado en las intrusiones observadas.

NOTA: Estos indicadores no deben considerarse exhaustivos para esta actividad observada.

Detecciones

Microsoft 365 Defender

antivirus

El cargo Malware destructivo dirigido a organizaciones ucranianas apareció por primera vez en Blog de seguridad de Microsoft.

Fuente

Más artículos
Una Estrella cercana se parece a nuestro Sol en su juventud