ransomware

El equipo de inteligencia de amenazas de Microsoft asegura que el grupo DEV-0270 (también conocido como Nemesis Kitten o Phosphorus) ha estado abusando de la función BitLocker de Windows en sus ataques y la ha usado para cifrar los datos de los discos de sus víctimas con la posterior petición de rescate a las mismas.

Los analistas de Microsoft comentan que los atacantes aprovechan cada vez más los LOLBINs (Living Off the Land Binaries), una técnica que se basa en aprovecharse de binarios propios del sistema para ocasionar un importante daño en un ataque, con una tasa de detección relativamente baja) en sus ataques.

En este caso concreto se usa BitLocker, una función de protección de datos que proporciona cifrado de volumen completo en dispositivos que ejecutan Windows 10, Windows 11 o Windows Server 2016 y superior. Según la investigación, el grupo utiliza DiskCryptor, un sistema de cifrado de disco de código abierto para Windows que permite el cifrado completo del disco duro de un dispositivo.

Desde el acceso de los atacantes a los equipos hasta la aparición de la nota de rescate de los equipos bloqueados pasaron aproximádamente dos días y en las notas se exige el pago de la cantidad de 8.000 dólares a cambio de las claves de desbloqueo de la información.

Para el descubrimiento de controladores de dominio, los atacantes hacen uso de los siguientes comandos de PowerShell y WMI:

"powershell.exe" /c Get-WMIObject Win32_NTDomain | findstr DomainController
"findstr.exe" DomainController

Microsoft dice que este grupo de atacantes es una división del grupo «Phosphorus» respaldado por Irán (conocido también como Charmin Kitten y APT35) conocios por dirigir sus ataques a víctimas de alto perfil vinculadas a gobiernos, ONGs y organizaciones de defensa de todo el mundo.

El grupo DEV-0270 está siendo operado por una empresa iraní conocida bajo dos alias: Secnerd (secnerd[.]ir) y Lifeweb (lifeweb[.]it).

Estas organizaciones también están vinculadas a Najee Technology Hooshmand (ناجی تکنولوژی هوشمند), ubicada en Karaj, Irán, según las investigaciones.

El grupo suele ser oportunista en su orientación: escanean Internet para encontrar servidores y dispositivos, lo que hace que las organizaciones con servidores y dispositivos vulnerables y detectables sean susceptibles a estos ataques.

Dado que muchos de los ataques de DEV-0270 han explotado vulnerabilidades conocidas en Exchange (ProxyLogon) o Fortinet (CVE-2018-13379), se recomienda a las empresas parchar sus servidores y equipos para bloquear los intentos de explotación y los posteriores ataques de ransomware.

Para estos casos, herramientas como SANA (Servicio de Análisis, Notificaciones y Alertas de seguridad), creada por Hispasec, ayudan a las empresas a monitorizar y gestionar las potenciales vulnerabilidades de sus sistemas.

Fuente y redacción: segu-info.com.ar

Compartir