Ciberseguridad

Ransomware DoppelPaymer sigue atacando

Ransomware Doppelpaymer Pemex

El 10 de noviembre de 2019, la compañía petrolera estatal mexicana PEMEX (Petróleos Mexicanos) sufrió un ataque de ransomware DoppelPaymer, con la pandilla DoppelPaymer pidiendo un rescate de 565 bitcoins ($ 4.9 millones) para descifrar archivos.

En una declaración posterior publicada en Twitter, Pemex dijo que volvieron a funcionar normalmente y que su producción de combustible, suministro e inventario no se vieron afectados en el ataque.

El ransomware DoppelPaymer ha estado haciendo víctimas desde al menos mediados de junio de 2019, y está pidiendo cientos de miles de dólares estadounidenses en rescate de sus víctimas.

La variedad tiene al menos ocho variantes con un conjunto de características continuamente actualizado, y la primera se descubrió en abril.

DoppelPaymer obtuvo su nombre de BitPaymer , con el que comparte grandes porciones de código, pero incluye modificaciones que lo hacen superior como un proceso de cifrado roscado para una operación más rápida.

«Tanto BitPaymer como DoppelPaymer continúan operando en paralelo y se han identificado nuevas víctimas de ambas familias de ransomware en junio y julio de 2019», dice el equipo de inteligencia e investigación de amenazas de CrowdStrike.

«Las operaciones paralelas, junto con la importante superposición de código entre BitPaymer y DoppelPaymer, indican no solo una bifurcación de la base de código de BitPaymer, sino una operación completamente separada».

«Hay información engañosa que circula sobre los equipos de Microsoft, junto con referencias a RDP (BlueKeep), como formas en que se propaga este malware», dice Simon Pope, Director de Respuesta a Incidentes de MSRC.

«Nuestros equipos de investigación de seguridad han investigado y no han encontrado evidencia que respalde estas afirmaciones. En nuestras investigaciones descubrimos que el malware se basa en operadores humanos remotos que utilizan las credenciales de administrador de dominio existentes para extenderse a través de una red empresarial».

Análisis de amenazas: ransomware DoppelPaymer

Resumen

  • El ransomware DoppelPaymer se descubrió por primera vez en abril de 2019
  • Pertenece a la familia de malware Dridex, distribuido por el grupo de ciberdelincuencia INDRIK SPIDER
  • El algoritmo de cifrado se cambia de RC4 a AES-256-CBC
  • Crea servicios de sistema obsoletos y los modifica para iniciar el ransomware
  • Resuelve manualmente las funciones de API a través de la estructura PE y TEB
  • Más de 60 organizaciones han sido comprometidas con éxito
    El grupo DoppelPaymer tiene una cuenta de Twitter

Vector de ataque

DoppelPaymer es un sucesor del ransomware BitPaymer y forma parte de la familia de malware Dridex.

Actualmente, se distribuye de varias formas, incluidos correos electrónicos de phishing o spam con documentos adjuntos que están incrustados con código malicioso, ya sea JavaScript o VBScript.

Al ejecutarse, este código descarga el cargador de primera etapa de DoppelPaymer en la máquina de la víctima. Luego, los atacantes usan el kit de herramientas PowerShell Empire para ejecutar un ataque de fuerza bruta en Active Directory. El módulo Mimikatz se utiliza para volcar contraseñas de la memoria del sistema.

Para empezar, DoppelPaymer inyecta su código en explorer.exe, aprovechando la técnica de secuestro de DLL.

Una vez que las credenciales de los usuarios se ven comprometidas, el ransomware puede distribuirse por la red, robando y cifrando datos confidenciales.

Se sabe que DoppelPaymer explota la vulnerabilidad CVE-2019-19781 que afecta a Citrix ADC en sus últimas campañas.

Carga útil

El ejecutable de DoppelPaymer está ofuscado de la forma específica de la familia de malware Dridex. El código inicial ofuscado contiene código no deseado y ofuscación del flujo de control, y se utiliza para decodificar la carga útil.

LEA TAMBIÉN:  Emotet un malware de correo electrónico 'indetectable'

Después de decodificar la carga útil, salta al punto de entrada original (OEP) donde el ransomware comienza la inicialización con la creación de argumentos de línea de comandos.

El valor del argumento que se pasará al ransomware se calcula como un hash CRC32 a partir del valor del argumento pasado. A continuación, el valor se agrega al valor codificado ( 0xE484133A , en este ejemplo). DoppelPaymer luego salta a la dirección que es la suma del valor actual del puntero de instrucción y el valor calculado.

Medidas claves para protegerse del ransomware DoppelPaymer 

Pope menciona una buena higiene de credenciales, menos privilegios y segmentación de red como medidas clave para proteger las redes empresariales contra ataques de ransomware.

Seguir estas mejores prácticas puede ayudar a los administradores de seguridad a bloquear a las pandillas de delitos cibernéticos detrás del ransomware DoppelPaymer y otras operaciones de ransomware para que deshabiliten sus herramientas de seguridad, así como para usar credenciales privilegiadas previamente robadas para destruir sus datos o retenerlos como rescate.

«Queremos ayudar a las empresas y gobiernos de todo el mundo a protegerse mejor de estos ataques», agrega Pope .

«La protección contra Dopplepaymer [sic] y otro malware ya está disponible para los clientes que usan Windows Defender, y continuaremos mejorando estas protecciones a medida que identifiquemos nuevas amenazas emergentes».

Microsoft enumera las siguientes medidas que los clientes deben tomar para bloquear los ataques de ransomware y evitar la pérdida de datos:

• Mantenga su sistema operativo Windows y antivirus hasta a la fecha. Actualiza a Windows 10 .
• Realice copias de seguridad de sus archivos regularmente en un disco duro externo.
• Habilitar el historial de archivos o la protección del sistema. En sus dispositivos con Windows 10 o Windows 8.1, debe tener habilitado su historial de archivos y debe configurar una unidad para el historial de archivos.
• Utilice OneDrive para el consumidor o para las empresas.
• Tenga cuidado con los correos electrónicos de phishing, los correos no deseados y al hacer clic en archivos adjuntos maliciosos.
• Utilice Microsoft Edge para obtener protección SmartScreen. Le impedirá navegar por sitios que se sabe que albergan exploits y lo protegerá de ataques de ingeniería social como phishing y descargas de malware.
• Deshabilite la carga de macros en sus programas de Office.
• Desactive la función de Escritorio remoto siempre que sea posible.
• Utilice la autenticación de dos factores.
• Use una conexión a Internet segura y protegida con contraseña.
• Evite navegar por sitios web conocidos por ser sitios de reproducción de malware (sitios de descarga ilegal, sitios pornográficos, etc.).

Si bien Microsoft recomienda deshabilitar los Servicios de escritorio remoto si es posible, en muchos casos es necesario en entornos empresariales.

Si es así, los administradores deben asegurarse de no hacer que los servidores de Escritorio remoto sean accesibles desde Internet, ya que serán atacados por ataques de fuerza bruta para obtener acceso a la red detrás de ellos. En cambio, solo debe hacerlos disponibles después de que un usuario inicie sesión en una VPN corporativa.

Sobre el Autor

Felipe Argüello

Más de 30 años de experiencia en las áreas de Ingeniería, Consulta Técnica, Ventas Internacionales, Gestión y Posicionamiento estratégico de diversas líneas de productos de Alta Tecnología y Seguridad Electrónica.