TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

¿Qué sigue después de ProxyLogon?… DEARCRY! Ransomware

Escrito por Christopher Coquis on 12/03/21 17:01
Christopher Coquis

DEARCRY RANSOMWAREImaginar que despiertas con la noticia de que tu servidor Exchange está expuesto a 4 vulnerabilidades de día cero, no debe ser una experiencia muy agradable.

Afortunadamente cuentas con los parches de seguridad para proteger tu infraestructura y ya has programado tu ventana de mantenimiento para la instalación de los mismos… Sin embargo, por la noche para iniciar la instalación, al conectarte al servidor no puedes tener acceso a ningún tipo de información y encuentras la extensión .CRYPT en todos los archivos. Además, encuentras un archivo readme.txt que inicia diciendo

>>“Your file has been encrypted!”<<

Un escenario no muy alentador, donde toda la información ha sido secuestrada. Al parecer esto está pasando ahora mismo.

Imagen 1. Solicitud de Rescate

La relación entre ProxyLogon y DearCry

El pasado 2 de marzo de 2021, se anunciaron cuatro vulnerabilidades de día cero que afectaron a distintas versiones de Servidores Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065). Microsoft por su parte publicó las actualizaciones de seguridad pertinentes para que los administradores pudieran proteger su infraestructura.

Actualmente existe una alta sospecha entre la explotación de ProxyLogon y la instalación del nuevo ransomware llamado DearCry, justo como menciona Bleeping Computer.

A partir de la explotación de ProxyLogon las consecuencias y afectaciones son distintas debido al compromiso de los servidores Exchange. Sin embargo, el día de ayer Michael Gillespie, creador del Servicio ID Ransomware (servicio que ayuda a identificar el tipo de ransomware que ha afectado algún tipo de información), reportó a través de un tweet que habían recibido a través de ID Ransomware, una serie de muestras con la extensión “.CRYPT”. Las muestras provenían de IPs relacionadas a Servidores Exchange de Estados Unidos, Canadá y Australia. Esto confirmaría en gran medida la relación que existe entre ProxyLogon y la ejecución posterior de DearCry.

Ejecución de Software malicioso

A través del mismo tweet de Michael Gillespie, el usuario Paul proporcionó información de tres muestras identificadas (los hashes MD5 serán agregados en la sección de IOCs). El archivo que se ejecutó en este caso es el correspondiente al hash MD5 0e55ead3b8fd305d9a54f78c7b56741a, que en nuestro escenario corresponde al archivo s1.exe.

Imagen 2. Muestra

La muestra no tiene algún icono personalizado y al momento de la ejecución no se bloqueó por el antimalware por defecto (esto puede cambiar dependiendo los updates que ejecute el fabricante, incluso a lo largo del día).

Imagen 3. Procesos al momento de ejecutar la muestra.

La ejecución de malware no dispara algún tipo de conexión por red, ya sea por conexión a alguna IP externa o por petición de tipo DNS. Al ejecutarse la muestra se inicia la interacción de escritura en los archivos que se cifrarán. En la Imagen 4 se puede observar lectura y escritura del archivo ImagenPNG.png que finalmente se cifrará y tendrá la extensión .CRYPT como se ve en la Imagen 5.

Imagen 4. Interacción con archivos por cifrar, en este caso imagenPNG.png.

Imagen 5. Archivos cifrados, incluido imagenPNG.png.

 

Cuando termina, los archivos se encuentran cifrados incluyendo archivos con extensiones .jpg, .png, .csv, .txt, .rtf, .docx, .pptx y .exe. Al hacer la lectura HEX del archivo desktop.ini.CRYPT se puede observar el nombre que se le ha dado a la variante del Ransomware.

Imagen 6. Archivos cifrados DEARCRY.

 

Finalmente, se tiene acceso al archivo readme.txt (mostrado en la imagen 1), donde se encuentra el contacto del ciberdelincuente.

Aquí los IoCs de esta ejecución

Hashes MD5

0e55ead3b8fd305d9a54f78c7b56741a

cdda3913408c4c46a6c575421485fa5b

c6eeb14485d93f4e30fb79f3a57518fc

¿Cómo te puedes protegerte del Ransomware DEARCRY?

  • Mantener el software al día en cuanto a actualizaciones
    Sabemos que las ventanas de mantenimiento suelen ser un dolor de cabeza, sin embargo te recomendamos tener el buen hábito de mantenerte al día con esto cerraras varios gaps.
  • Protección en Endpoint con base a comportamiento
    Es importante contar con protección ante amenazas con base a comportamiento y uso de machine learning, ya que en casos como el presentado puede no existir la firma para la amenaza por algún vendor especifico, pero el comportamiento será identificado.
  • Backups
    Si todo falla, los respaldos podrán brindarnos una opción adicional. La recomendación aquí es mantener tus respaldos bajo el esquema 3,2, 1.
  • Gestión de privilegios en equipos de cómputo
    Al controlar los privilegios de las aplicaciones en las PCs podemos evitar que las mismas realicen acciones que pueden impactar a los equipos, cómo es el cifrado de datos.

¡TIP! Lleva a cabo una estrategia de prevención de Ransomware para minimizar riesgos

ChristopherCoquis

Llevar a cabo estas buenas prácticas te ayudará a minimizar la superficie de ataque y el impacto por Ransomware, incluso te servirá para evitar infecciones por otro tipo de ataques. Si crees que con los controles y configuraciones que tienes actualmente estas cubierto, el completar un análisis sobre tu postura de seguridad te ayudará a identificar y evaluar los componentes de riesgo en la infraestructura de la organización con respecto a los procesos de negocio, el factor humano y el uso de tecnologías.

Descarga tu guía para prevenir ransomware

 

Topics: PrevencionRansomware, ransomware variantes, tips importantes para protegerte de ransomware, CCleaner, descarga maliciosa, vovalex, ransomware en d, winrar, proxilogon, exchange


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
CyberSecTrends2023
Smartekh Cloud Happy Hour
15-3
TikTok

¿Quieres hablar con un Consultor de Ciberseguridad?

Acerca de Smartekh

Creemos en en el poder que tiene la tecnología para hacer a las empresas más competitivas, desarrollar estrategias de seguridad de alto nivel y profesionales de TI expertos.

Creando sinergia entre tecnología, análisis y consultores expertos; generamos y complementamos la estrategia de seguridad con los más altos niveles de calidad, optimizando el desempeño y la operación del negocio.

Y lo hacemos de la mano de los líderes del sector TI, con un obsesivo compromiso a acelerar su éxito en cada paso al camino.

¿Listo para conocernos? ->

No te pierdas lo mejor de Smartekh

Contacto

[fa icon="phone"]  55 5047 1030

[fa icon="envelope"]  informacion@smartekh.com

[fa icon="home"]  Heriberto Frías 1451 Int. 101, Benito Juárez CDMX 03100

[fa icon="facebook-square"]Facebook [fa icon="linkedin-square"]Linkedin [fa icon="twitter-square"]Twitter [fa icon="pinterest-square"]Pinterest

Copyright 2024 | Diseñado con [fa icon="heart"] a la Seguridad por Smartekh
[fa icon="chevron-up"]Back to top