Los investigadores atribuyen dos ataques de ransomware dirigidos al grupo de piratería de Lazarus
Hollywood te haría creer que los hackers adolescentes que usan sudaderas con capucha pueden derribar gigantes corporativos enteros por valor de miles de millones de dólares por la incomodidad del sótano de sus padres. En el mundo real, sin embargo, las cosas realmente no funcionan de esa manera. Los ciberataques sofisticados son llevados a cabo por delincuentes experimentados que tienen muchos recursos a su disposición.
Las campañas de ransomware dirigidas a organizaciones específicas son operaciones extremadamente complicadas que a menudo involucran a varios equipos de piratería independientes que trabajan en diferentes tareas. Un equipo, por ejemplo, sería responsable de proporcionar la infraestructura de Comando y Control (C&C), un segundo comprometería la red de la víctima, un tercero se aseguraría de que la mayor cantidad posible de computadoras estén infectadas, y un cuarto sería responsable de La carga útil real del ransomware. Los investigadores de Kaspersky describieron el sistema con mayor detalle en una publicación de blog el martes, pero también mencionaron un par de excepciones a la regla.
El ransomware VHD capta la atención de los expertos.
La carga útil de los dos ciberataques que los expertos de Kaspersky describieron fue el ransomware VHD, un malware de cifrado de archivos relativamente nuevo que apareció hace unos meses. El ransomware en sí no es especialmente sofisticado. Rastrea los discos duros de los hosts infectados, encripta los archivos con una combinación de AES y RSA y elimina los puntos de restauración del sistema para dificultar la recuperación de los datos. Sin embargo, varias características de los ataques captaron la atención de los investigadores.
El primero se lanzó en marzo, y los expertos notaron que involucraba un mecanismo muy interesante para propagarse a través de la red de la víctima. Con la ayuda de una herramienta automatizada, los piratas informáticos utilizaron una lista de credenciales SMB específicas de la víctima para abrirse paso por la fuerza bruta a otras computadoras, y después de conectarse con éxito a ellas, copiaron una carga útil de ransomware VHD y la ejecutaron a través de llamadas WMI.
Estas no son las técnicas que usaría un equipo de piratas informáticos, y los expertos sabían que probablemente estaban buscando algo más serio. Se sintieron de la misma manera un par de meses después cuando fueron llamados para responder a otro ataque con el ransomware VHD.
Esta vez, el punto de entrada inicial era una puerta de enlace VPN vulnerable a través de la cual los piratas informáticos obtuvieron privilegios administrativos y desplegaron una puerta trasera. Tras haber comprometido el servidor de Active Directory de la víctima, los delincuentes procedieron a distribuir copias del ransomware VHD a un número no especificado de computadoras.
Cuando observaron más de cerca la puerta trasera, los investigadores se dieron cuenta de lo que estaban tratando exactamente.
La conexión de Lázaro
El centavo cayó cuando los investigadores determinaron que la puerta trasera utilizada durante el segundo ataque era una instancia de lo que llaman el marco de malware MATA.
Hemos hablado en el pasado sobre cuán difícil es la atribución en el mundo de la ciberseguridad, pero después de haberla investigado cuidadosamente, los expertos de Kaspersky están bastante seguros de que el marco MATA fue creado y utilizado por el infame grupo de piratería Lazarus.
Lazarus es un equipo de hackers sofisticados responsables de bastantes ataques cibernéticos masivos, incluida la filtración de Sony de 2014 y el lanzamiento del limpiador OlympicDestroyer que paralizó la infraestructura crítica de TI antes de los Juegos Olímpicos de Invierno en Pyeongchang en 2018. Se cree que Lazarus está vinculado a el gobierno de Corea del Norte, y su nombre se ha asociado con cualquier cosa, desde ataques con motivos financieros hasta grandes campañas de ciberespionaje. Según Kaspersky, el ransomware VHD es su última creación.
El ransomware puede no ser especialmente sofisticado, pero no se ha visto en ningún otro ataque, y los investigadores están bastante seguros de que los piratas informáticos no lo están alquilando a otra pandilla de delitos informáticos. Al mismo tiempo, están bastante seguros de que Lázaro es el único equipo que tiene acceso a las herramientas y técnicas utilizadas durante los ataques de marzo y mayo.
En lugar de compartir las ganancias con otros equipos de ciberdelitos, Lazarus decidió hacerlo solo con el ransomware VHD. Solo el tiempo dirá si esta será una buena estrategia, pero, teniendo en cuenta la ilustre cartera de ciberataques disruptivos del grupo, no apostaríamos en su contra. Si ejecuta una organización que podría ser objetivo de Lazarus, debe asegurarse de que un ataque de ransomware con el ransomware VHD esté en su modelo de amenaza.
