Las cuentas de administrador secuestradas provocan ataques de ransomware personalizados
Un ataque de ransomware que llama a la víctima por su nombre ha golpeado un negocio de fabricación, según informan investigadores de TrendMicro. Supuestamente llevado a cabo en las últimas horas del 18 de febrero, los actores a cargo secuestraron una cuenta de usuario administrativo, plantando una variante del ransomware BitPaymer utilizando la herramienta de línea de comandos PsExec. Además, se aseguraron de poner el nombre de la organización afectada en la misma nota de rescate, que coincidía perfectamente con el ataque de iEncrypt ransomware contra la compañía Arizona Beverage a principios de este mes. Similar a BitPaymer , iEncrypt también incluía el nombre de la víctima en la nota de rescate, lo que implica que las dos amenazas pueden tener una conexión.
El ataque tuvo éxito gracias a una infección anterior por Dridex
De acuerdo con el equipo de seguridad de TrendMicro, la infección del 18 de febrero tuvo éxito después de que los piratas informáticos a cargo hicieron una serie de intentos fallidos de implementar de forma remota el agente de post-explotación Empire PowerShell en máquinas de nivel de administración aleatorias. Sin embargo, ese éxito probablemente se debió a una infección anterior por Dridex que no solo había ocurrido de antemano, sino que también pasó desapercibida por la empresa.
Además del caso Arizona Beverage y algunos ataques contra varias empresas a fines de 2018, esta es la ocasión más reciente en que los ciberdelincuentes se dirigen a su víctima por su nombre en el texto de la nota de rescate. Además, el nombre de la compañía también funcionó como una extensión de archivo anexada a todos los datos cifrados. Lo que dice la nota, sin embargo, es evidente a partir del siguiente texto:
Hola [nombre de la víctima]
Su red fue hackeada y encriptada. No hay software de descifrado gratuito disponible en la web. Envíenos un correo electrónico a [caracteres ilegibles] @ protonmail.com (o) [caracteres ilegibles] @ india.com para obtener el monto del rescate. Mantener a nuestros contactos a salvo. La divulgación puede llevar a la imposibilidad de descifrado. Por favor, use el nombre de su empresa como el asunto del correo electrónico. COLA: [caracteres aleatorios] TECLA: [caracteres aleatorios]
La nota de rescate no solo contiene el nombre de la víctima, sino también la clave de cifrado. Dado que este último es un requisito previo para el descifrado exitoso.
Guardar para nombre y extensión, el código sigue siendo el mismo
Como se mencionó anteriormente, esta no es la primera vez que los investigadores de seguridad se encuentran con una infección de ransomware BitPaymer. El nuevo caso tampoco presenta una nueva variante de BitPaymer. Una mirada más cercana al código no revela diferencias significativas en comparación con los ataques del año pasado. La única variable parece ser el nombre de la organización afectada en la nota de rescate. A diferencia de las infecciones previas de BitPaymer que agregaron la extensión .locked a los datos encriptados, la más reciente del 18 de febrero de 2019, usó el nombre de la víctima.
El ataque de ransomware BitPaymer enfatiza la necesidad de mecanismos de protección mejorados cuando se trata de herramientas de administrador de sistemas, ya que están constantemente sujetos a intentos de explotación.. Además, ejecutar un servicio de monitoreo activo junto con una solución antimalware tampoco perjudicaría.