Los operadores del ransomware Makop comenzaron su negocio delictivo en 2020, aprovechando una nueva variante del famoso ransomware Phobos. La mayoría de las intrusiones son manejadas por «delincuentes que utilizan el teclado», con herramientas conocidas y a medida.
Makop es una rama de la variante del ransomware Phobos y opera bajo una estructura de afiliados. Se ha informado de que el ransomware Makop está atacando activamente a organizaciones América Latina, incluidos sectores críticos. El ransomware Makop cifra los archivos en los sistemas de la víctima y solicita el pago de un rescate en bitcoins.
Los archivos cifrados por Makop suelen tener la extensión «.makop» o «.mkp» y no se conocen herramientas de descifrado gratuitas capaces de descifrar archivos cifrados.
El ransomware Makop aprovecha diferentes técnicas para ingresar a las redes de las organizaciones e inyectar la carga útil. Los vectores de ataque más comunes incluyen la explotación de sistemas expuestos a Internet que han expuesto servicios RDP no seguros, correos electrónicos de phishing que contienen archivos adjuntos maliciosos (que a menudo utilizan extensiones de archivo inusuales para evitar los análisis de correo electrónico), sitios web de torrents, anuncios maliciosos, etc.
La banda de ransomware Makop tiene a su disposición un arsenal de herramientas de software tanto personalizadas como estándar. El uso de estas herramientas es un claro indicador de las técnicas en evolución que utilizan los cibercriminales para llevar a cabo extorsiones digitales. Para defenderse de los ataques de ransomware Makop, las organizaciones deben realizar auditorías de seguridad periódicas y mantener su software actualizado.
Según el investigador de seguridad Luca Mella, se ha descubierto que la banda de ransomware Makop utiliza un conjunto de herramientas desarrolladas a medida en sus campañas. Entre ellas se encuentra una herramienta llamada ARestore que se creó en 2020 y está parcialmente ofuscada.
Esta herramienta genera listas de nombres de usuario y contraseñas potenciales de Windows locales y las prueba localmente. La APT la utiliza después de la fase de acceso inicial de su cadena de ataque.
Además, los operadores aprovechan otros ensamblajes .NET personalizados, como PuffedUp, para lograr etapas posteriores de la cadena de ataque. Esta herramienta en particular está diseñada para garantizar la persistencia después del acceso inicial. Se basa en un archivo de configuración de texto ubicado en la misma carpeta, que contiene una o más cadenas de 42 caracteres que se colocarán en el portapapeles del usuario.
Además, la banda de ransomware también está utilizando herramientas de código abierto y freeware disponibles en el mercado para realizar movimientos laterales y descubrimiento de sistemas.
Junto con el abuso de herramientas Microsoft SysInternal como PsExec y otras herramientas de código abierto conocidas como Putty y Mimikatz, Makop ha abusado de software aún más peculiar. Los atacantes utilizaron recientemente PowerShell, NLBrute, Advanced Port Scanner y la herramienta Windows Everything.
Otra herramienta única utilizada por el grupo incluye una herramienta de administración del sistema llamada YDArk, una herramienta de código abierto.
El equipo de seguridad de Lifars ha profundizado mucho en los detalles técnicos de Makop y aquí se pueden encontrar algunos IOC relacionados a este ransomware.
Ransomware LYNX
Se ha descubierto que el grupo de ransomware como servicio (RaaS) Lynx opera una plataforma altamente organizada, con un programa de afiliados estructurado y métodos de cifrado robustos.
El panel de afiliados de Lynx está organizado en varias secciones, que incluyen «Noticias», «Empresas», «Chats», «Información» y «Filtraciones». Este diseño permite a los afiliados configurar perfiles de víctimas, generar muestras de ransomware personalizadas y administrar cronogramas de fugas de datos dentro de una interfaz fácil de usar.
Los afiliados reciben una participación del 80% de las ganancias del rescate, manejan todas las negociaciones y mantienen el control sobre la billetera del rescate. Lynx también ofrece servicios adicionales, como un centro de llamadas para acosar a las víctimas y soluciones de almacenamiento avanzadas para afiliados de alto rendimiento.
El grupo también proporciona un «Archivo todo en uno» que contiene binarios para entornos Windows, Linux y ESXi, que cubren una variedad de arquitecturas, incluidas ARM, MIPS y PPC. Este enfoque de múltiples arquitecturas garantiza una amplia compatibilidad y maximiza el impacto de los ataques en diversas redes.
Lynx ha introducido recientemente múltiples modos de cifrado: «rápido», «medio», «lento» y «completo», lo que permite a los afiliados equilibrar la velocidad y la profundidad del cifrado de archivos. El ransomware emplea algoritmos de cifrado robustos, incluidos Curve25519 Donna y AES-128.
El grupo recluta activamente equipos de pruebas de penetración experimentados a través de foros clandestinos, haciendo hincapié en un estricto proceso de verificación. No se dirigen a entidades responsables del sustento de civiles, como instituciones de salud, organismos gubernamentales, iglesias u organizaciones sin fines de lucro.
Lynx emplea tácticas de doble extorsión, cifrando los datos de las víctimas y amenazando con filtrarlos en su sitio de filtración dedicado (DLS) si no se pagan los rescates. El DLS sirve como plataforma donde los atacantes publican anuncios sobre ataques y divulgan datos filtrados de sus víctimas.
Fuente y redacción: segu-info.com.ar
