Ransomware MAKOP
Los operadores del
ransomware Makop
comenzaron su negocio delictivo en 2020, aprovechando una nueva variante del
famoso ransomware Phobos. La mayoría de las intrusiones son manejadas por
«delincuentes que utilizan el teclado», con herramientas conocidas y a medida.
Makop es una rama de la variante del ransomware Phobos
y opera bajo una estructura de afiliados.
Se ha informado de que el ransomware Makop está atacando activamente a
organizaciones América Latina, incluidos sectores críticos. El ransomware
Makop cifra los archivos en los sistemas de la víctima y solicita el pago de
un rescate en bitcoins.
Los archivos cifrados por Makop suelen tener la extensión «.makop» o
«.mkp» y no se conocen herramientas de descifrado gratuitas
capaces de descifrar archivos cifrados.
El ransomware Makop aprovecha diferentes técnicas para ingresar a las redes de
las organizaciones e inyectar la carga útil. Los vectores de ataque más
comunes incluyen la explotación de sistemas expuestos a Internet que han
expuesto servicios RDP no seguros, correos electrónicos de phishing que
contienen archivos adjuntos maliciosos (que a menudo utilizan extensiones de
archivo inusuales para evitar los análisis de correo electrónico), sitios web
de torrents, anuncios maliciosos, etc.
de software tanto personalizadas como estándar. El uso de estas herramientas
es un claro indicador de las técnicas en evolución que utilizan los
cibercriminales para llevar a cabo extorsiones digitales. Para defenderse de
los ataques de ransomware Makop, las organizaciones deben realizar auditorías
de seguridad periódicas y mantener su software actualizado.
Según el investigador de seguridad
Luca Mella, se ha descubierto que la banda de ransomware Makop utiliza un conjunto de
herramientas desarrolladas a medida en sus campañas. Entre ellas se encuentra
una herramienta llamada ARestore que se creó en 2020 y está parcialmente
ofuscada.
Esta herramienta genera listas de nombres de usuario y contraseñas potenciales
de Windows locales y las prueba localmente. La APT la utiliza después de la
fase de acceso inicial de su cadena de ataque.
Además, los operadores aprovechan otros ensamblajes .NET personalizados, como
PuffedUp, para lograr etapas posteriores de la cadena de ataque. Esta
herramienta en particular está diseñada para garantizar la persistencia
después del acceso inicial. Se basa en un archivo de configuración de texto
ubicado en la misma carpeta, que contiene una o más cadenas de 42 caracteres
que se colocarán en el portapapeles del usuario.
Además, la banda de ransomware también está utilizando herramientas de código
abierto y freeware disponibles en el mercado para realizar movimientos
laterales y descubrimiento de sistemas.
Junto con el abuso de herramientas Microsoft SysInternal como PsExec y otras
herramientas de código abierto conocidas como Putty y Mimikatz, Makop ha
abusado de software aún más peculiar. Los atacantes utilizaron recientemente
PowerShell, NLBrute, Advanced Port Scanner y la herramienta Windows
Everything.
Otra herramienta única utilizada por el grupo incluye una herramienta de
administración del sistema llamada
YDArk, una herramienta de código abierto.
El equipo de seguridad de
Lifars ha profundizado mucho en los detalles técnicos de Makop y aquí
se pueden encontrar algunos IOC relacionados a este ransomware.
Ransomware LYNX
Se ha descubierto que el grupo de ransomware como servicio (RaaS) Lynx opera
una plataforma altamente organizada, con un programa de afiliados estructurado
y métodos de cifrado robustos.
El panel de afiliados de Lynx está organizado en varias secciones, que
incluyen «Noticias», «Empresas», «Chats», «Información» y «Filtraciones». Este
diseño permite a los afiliados configurar perfiles de víctimas, generar
muestras de ransomware personalizadas y administrar cronogramas de fugas de
datos dentro de una interfaz fácil de usar.
Los afiliados reciben una participación del 80% de las ganancias del
rescate, manejan todas las negociaciones y mantienen el control sobre la
billetera del rescate. Lynx también ofrece servicios adicionales, como un
centro de llamadas para acosar a las víctimas y soluciones de almacenamiento
avanzadas para afiliados de alto rendimiento.
El grupo también proporciona un «Archivo todo en uno» que contiene binarios
para entornos Windows, Linux y ESXi, que cubren una variedad de arquitecturas,
incluidas ARM, MIPS y PPC. Este enfoque de múltiples arquitecturas garantiza
una amplia compatibilidad y maximiza el impacto de los ataques en diversas
redes.
Lynx ha introducido recientemente múltiples modos de cifrado: «rápido»,
«medio», «lento» y «completo», lo que permite a los afiliados equilibrar la
velocidad y la profundidad del cifrado de archivos. El ransomware emplea
algoritmos de cifrado robustos, incluidos Curve25519 Donna y AES-128.
El grupo recluta activamente equipos de pruebas de penetración experimentados
a través de foros clandestinos, haciendo hincapié en un estricto proceso de
verificación. No se dirigen a entidades responsables del sustento de civiles,
como instituciones de salud, organismos gubernamentales, iglesias u
organizaciones sin fines de lucro.
Lynx emplea tácticas de doble extorsión, cifrando los datos de las víctimas y
amenazando con filtrarlos en su sitio de filtración dedicado (DLS) si no se
pagan los rescates. El DLS sirve como plataforma donde los atacantes publican
anuncios sobre ataques y divulgan datos filtrados de sus víctimas.
«Un análisis en profundidad reveló una superposición significativa de
código con el
ransomware INC
[…]. Esto indica claramente que Lynx puede haber comprado o adaptado el
código fuente del ransomware INC, lo que le permite aprovechar las
capacidades de malware existentes. Para las organizaciones, esto subraya la
importancia de actualizar continuamente los procedimientos de respuesta a
incidentes, invertir en inteligencia de amenazas en tiempo real y fomentar
una cultura de
Fuente:
HeimdalSecurity