Variantes más nuevas de RansomExx adaptadas a los servidores Attack Linux

RansomExx, una variante de ransomware responsable de varios ataques de alto perfil en 2020, ha mostrado signos de mayor desarrollo y actividad sin obstáculos.

El desarrollo informado más recientemente implica el uso de variantes más nuevas adaptadas para servidores Linux que expandieron efectivamente su rango a más servidores de Windows.

De acuerdo a una investigación se observó que el ataque se inició primero como un correo electrónico de phishing con un archivo ZIP adjunto protegido con contraseña, que en realidad es un documento de Word (detectado como Trojan.W97M.SHATHAK.A ) con una macro maliciosa. Muestra un mensaje que atrae a los usuarios a habilitar contenido macro:

Después de dejar que la macro entre en el documento, intentará descargar el troyano IcedID (detectado como TrojanSpy.Win32.ICEDID.BP) desde una URL maliciosa. Si la descarga se realiza correctamente, el troyano se ejecuta mediante regsvr32.exe.

En este caso, utilizó la esteganografía como método para entregar la carga útil a través de un archivo .png descargado de una URL maliciosa.

El archivo se descifra y la carga útil se inyecta en la memoria. Para la persistencia, IcedID crea una tarea programada para que se ejecute cada hora, en la que nuevamente usa regsvr32.exe para ejecutar su DLL malicioso.

Ahora, msiexec.exe se usa para inyectar e implementar la carga útil final de IcedID. Con la carga útil final, el atacante podrá cargar y ejecutar la carga útil Cobalt Strike, lo que le permitirá comunicarse con el servidor de comando y control (C&C).

Después de establecer una conexión con el servidor malicioso, el actor de amenazas comenzará a recopilar información de la máquina y se moverá lateralmente.

Variante Linux de RansomExx para comprometer servidores Linux

Los expertos observaron que una nueva variante de Linux de RansomEXX apunta al entorno de VMware, en particular a las máquinas que sirven como almacenamiento para los archivos de VMware.

Los expertos analizaron tres variantes de RansomExx para Linux utilizando Trend Micro Telfhash, y las tres muestras compartieron el mismo comportamiento. La muestra es multiproceso y va directamente al cifrado. No tiene actividades de red, técnicas anti-análisis u otras actividades fuera de su agenda principal.

Recomendaciones de seguridad

Las recomendaciones de seguridad para evitar este tipo de ataque podríamos establecer en dos dimensiones, la primera a las descargas que realizan los usuarios en sus equipos, procurando que los archivos descargados sean solo de fuentes confiables y legítimas para evitar la entrada de archivos maliciosos en su sistema. Y la segunda corresponde a las macros, los usuarios deben  evitar habilitar macros y deben tener cuidado con los documentos que les soliciten que lo hagan.