LockerGoga tiene como objetivo atacar las infraestructuras críticas en todo el mundo uniendo esfuerzos como parte de un trío de ransomware

Los investigadores dicen que el ransomware LockerGoga, MegaCortex y Ryuk se usan en ataques, apuntando a infraestructuras críticas en todo el mundo.

El ransomware ha estado causando un grave caos en las empresas de todo el mundo. Las empresas temen que sus bases de datos se vean devastadas por los crecientes ataques de ransomware, apuntando a más y más industrias clave.

El gobierno holandés advierte sobre tres terribles ransomware

Un informe del Centro Nacional de Seguridad Cibernética en los Países Bajos afirma que al menos 1.800 empresas en todo el mundo están afectadas por el ransomware. El informe también destaca tres piezas de malware de cifrado de archivos que son responsables de la infección masiva. Esos son los ransomware LockerGoga, MegaCortex y Ryuk. Según los investigadores, estas tres amenazas de ransomware utilizan la misma infraestructura digital y se consideran "formas comunes de ransomware".

Infraestructuras críticas impactadas

Aunque el NCSC dijo que las víctimas de malware eran alrededor de 1.800, el número real de empresas objetivo podría ser mucho mayor . Los nombres de las organizaciones afectadas seguían siendo desconocidos, sin embargo, los investigadores declararon que los ataques de ransomware fueron contra infraestructuras críticas en todo el mundo.

El NCSC encontró pruebas de que Ryuk se ha utilizado en ataques de ransomware contra instituciones gubernamentales, educativas y de atención médica . Una de sus grandes víctimas es la multinacional española Prosegur. El ataque contra él resultó en el aislamiento de los sistemas internos y externos, cortando las comunicaciones con sus clientes.

MegaCortex es conocido por apuntar a redes corporativas. El ransomware encripta archivos, cambia la contraseña del usuario y amenaza con publicar los archivos de la víctima si no pagan el rescate. Una de las víctimas de malware fue Sophos, quien informó que los troyanos Emotet o Qakbot en sus redes estaban infectados con MegaCortex.

Al mismo tiempo, el ransomware LockerGoga se ha utilizado en varios ataques de malware contra infraestructuras críticas, como Altran Technologies en Francia, las compañías químicas Hexion y Momentive en los EE. UU., Y Norsk Hydro en Noruega, forzando un cambio a las operaciones manuales.

El Ransomware Trio se instala mediante ataques dirigidos

Se sabe que LockerGoga forma parte de una ola de infecciones de alto perfil que se dirigen específicamente a las grandes corporaciones. El grupo responsable de los ataques ha sido identificado como los que salen de Rusia, donde la infraestructura se alquila a otros grupos. Además, los grupos asociados con la infraestructura permiten atacar a grandes empresas e infectarlas con LockerGoga.

Los expertos cibernéticos revelaron que la mayoría de los ataques fueron llevados a cabo por "una organización criminal profesional" de una manera bastante organizada. Mientras uno de los grupos se ocupaba de los esfuerzos de penetración, otro estaba implementando el malware. Al usar variaciones de las amenazas de malware TrickBot y Emotet, los sistemas vulnerables pueden infectarse con LockerGoga, lo que lleva a que deje caer su carga útil a través de una puerta trasera. La carga útil de LockerGoga puede ejecutarse a través de una versión renombrada de una herramienta de administración del sistema. La propagación inicial de LockerGoga se lleva a cabo comúnmente a través de terminales infectados a otros sistemas conectados en una red.

Según los investigadores que analizaron el ransomware MegaCortex, los piratas informáticos obtuvieron primero acceso a una red y luego comprometieron el controlador de dominio de Windows. Después de comprometer el controlador de dominio, los delincuentes instalarían Cobalt Strike para abrirles un shell inverso.

Después de obtener acceso completo a la red, los hackers usarían PsExec para distribuir un archivo por lotes y el ransomware llamado winnit.exe al resto de las computadoras, como se muestra en la Figura 1 a continuación. Luego, se ejecutaría el archivo por lotes y todas las estaciones de trabajo se cifrarían instantáneamente.


Figura 1. Archivo por lotes - Fuente: Bleepstatic.com

Una vez que se inicia el ejecutable winnit.exe, se debe proporcionar una cadena codificada en base64 particular para que MegaCortex pueda extraer e inyectar un archivo DLL en la memoria. Cuando el ransomware cifra un archivo, agregará la extensión .megac0rtx a su nombre y un marcador de archivo MEGA-G8 =, como se muestra en la Figura 2 a continuación.

Según los investigadores, MegaCortex fue desarrollado para ser monitoreado por un hacker en vivo y luego limpiado después de que se completa la ejecución, similar a los métodos utilizados por LockerGoga.


Figura 2. Cifrado de archivos MegaCortex - Fuente: Bleepstatic.com

La nota de rescate de MegaCortex se llama "!!! _ READ-ME _ !!!. Txt" y se guarda en el escritorio de la víctima. Contiene correos electrónicos de los atacantes e instrucciones de pago. Las cantidades de rescate generalmente varían de 2-3 bitcoins a 600 BTC, como se muestra en la Figura 3 a continuación.


Figura 3. Nota de rescate MegaCortex - Fuente: Bleepstatic.com

Después de analizar el ransomware Ryuk, los expertos en seguridad declararon que utiliza la función Wake-on-Lan (una función de hardware que permite que un dispositivo apagado se active o se encienda enviando un paquete de red especial) para encenderlo. en dispositivos apagados en una red comprometida para tener un mayor éxito al cifrarlos. Una vez que se ejecute Ryuk, generará subprocesos con el argumento '8 LAN', como se muestra en la Figura 4 a continuación.


Figura 4. Subprocesos de desove con el argumento '8 LAN' - Fuente: Bleepstatic.com

Luego, el ransomware escaneará la tabla ARP del dispositivo y verificará si las entradas son parte de las subredes de direcciones IP privadas de "10.", "172.16." Y "192.168", como se muestra en la Figura 5 a continuación. Un aspecto a tener en cuenta también es el hecho de que LockerGoga puede reubicar la línea de comando de problemas a una carpeta TEMP y renombrarse para evadir la detección esencialmente. LockerGoga también tiene procesos secundarios que tienen la tarea de cifrar datos, que es un método que han adoptado otras amenazas de ransomware.


Figura 5. Comprobación de la red privada - Fuente: Bleepstatic.com

En caso de que la entrada ARP sea parte de alguna de esas redes, el ransomware Ryuk enviará un paquete Wake-on-Lan (WoL) a la dirección MAC del dispositivo para que se encienda. La solicitud WoL viene en forma de un 'paquete mágico' que contiene 'FF FF FF FF FF FF FF FF', como se muestra en la Figura 6 a continuación.


Figura 6. Ryuk Ransomware enviando un paquete WoL - Fuente: Bleepstatic.com

En caso de que la solicitud de WoL haya tenido éxito, Ryuk intentará montar el recurso compartido administrativo C $ del dispositivo remoto. Una vez que se monta el recurso compartido, la unidad de la computadora remota también se cifrará.

Las direcciones de correo electrónico asociadas con Ryuk ransomware son eliasmarco@tutanota.com y CamdenScott@protonmail.com, incluidas en su nota de rescate, como se muestra en la Figura 7 a continuación.


Figura 7. Nota de rescate de Ryuk - Fuente: Zdnet.com

LockerGoga, que ha sido aprovechado por prácticamente el mismo grupo de hackers, fue descubierto por primera vez en enero de 2019 cuando el ransomware llegó a los sistemas de la compañía francesa Altran Technologies. Debido a este ataque, la red de la compañía tuvo que cerrarse de inmediato.

Según los expertos cibernéticos, el ransomware LockerGoga generalmente se dirige a archivos DOC, DOT, WBK, DOCX, DOTX, DOCB, XLM, XLSX, XLTX, XLSB, XLW, PPT, POT, PPS, PPTX, POTX, PPSX, SLDX y PDF. Sin embargo, si el malware se inicia con el argumento de línea de comandos '-w', atacará todos los tipos de archivos.

Otros conmutadores compatibles son '-k' y '-m' para la codificación de base 64 y para proporcionar las direcciones de correo electrónico incluidas en la nota de rescate.

Después de cifrar los archivos de destino, LockerGoga agregará la extensión .locked a ellos. Esto significa que un archivo llamado test.jpg se cifrará primero y luego se le cambiará el nombre a test.jpg.locked, como se muestra en la Figura 8 a continuación.


Figura 8. Archivos cifrados de LockerGoga - Fuente: Bleepstatic.com

Cuando el ransomware cifra los archivos en la computadora, colocará una nota de rescate llamada README-NOW.txt en el escritorio, que incluye direcciones de correo electrónico para instrucciones de pago a cambio de una clave de descifrado, como se muestra en la Figura 9 a continuación.


Figura 9. Nota de rescate de LockerGoga - Fuente: Bleepstatic.com

Un hecho interesante sobre el ransomware LockerGoga es que utiliza un certificado válido que aumenta las posibilidades de su despliegue en la computadora de la víctima sin levantar sospechas. Sin embargo, si presta atención a la alerta de Windows que solicita la autorización del certificado, notará que algo está mal porque se trata de un proceso de host para los Servicios de Windows y la firma es de MIKL Limited (una empresa de consultoría de TI incorporada en el Reino Unido el 17 de diciembre de 2014), como se muestra en la Figura 10 a continuación.


Figura 10. Certificado de LockerGoga - Fuente: Bleepstatic.com

Según los investigadores, las muestras de archivos conocidas para el ransomware LockerGoga hasta ahora son 'trabajador' y 'trabajador32', y el ransomware lanza un proceso con un nombre similar al que usa Microsoft para sus Servicios de Windows, como 'svch0st' o ' svchub.

Las direcciones de correo electrónico asociadas con el ransomware LockerGoga son CottleAkela@protonmail.com y QyavauZehyco1994@o2.pl, incluidas en su nota de rescate, como se muestra en la Figura 11 a continuación.


Figura 11. Nota de rescate de LockerGoga - Fuente: Bleepstatic.com

Los ataques de ransomware continúan aumentando

El hecho de que tres piezas de malware fueran suficientes para cerrar las operaciones de las grandes empresas es más que inquietante. Según los expertos en seguridad, el éxito de los ataques de ransomware hace que los atacantes estén aún más decididos a alcanzar sus objetivos, mientras que las empresas objetivo siguen aumentando.

Difundir ransomware en víctimas corporativas está lejos de ser la peor parte de una intrusión. En algunos casos, el cifrado de archivos está precedido por la filtración de datos, que podría venderse a otros piratas informáticos o utilizarse para cometer actos de sabotaje. Entonces, mientras las víctimas paguen el rescate, los ataques continuarán, y lo único que les queda a las compañías es aumentar su seguridad en línea, advierten los expertos en cibernética.

January 21, 2020
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.