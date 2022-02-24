Esta publicación fue escrita con contribuciones de Anne Jobmann de IBM® Security X-Force, Claire Zaboeva y Richard Emerson.
El 24 de febrero de 2022, Symantec Enterprise informó de que se implementó un ransomware denominado PartyTicket junto con el malware HermeticWiper. IBM Security X-Force obtuvo una muestra del ransomware PartyTicket y ha proporcionado análisis técnicos, indicadores de compromiso y detecciones en la sección PartyTicket de este blog.
El 23 de febrero de 2022, fuentes de inteligencia de código abierto empezaron a informar sobre la detección de un malware de limpieza (una familia de malware destructivo diseñado para destruir permanentemente los datos del objetivo) que se ejecutaba en sistemas pertenecientes a organizaciones ucranianas. IBM Security X-Force obtuvo una muestra del limpiador llamado HermeticWiper. Utiliza un controlador de gestión de particiones benigno (una copia de empntdrv.sys) para realizar sus capacidades de borrado corrompiendo el Master Boot Record (MBR), la partición y el sistema de archivos (FAT o NTFS) de todas las unidades físicas disponibles.
Este no es el primer malware de borrado dirigido a organizaciones ucranianas que analiza X-Force. En enero de 2022, X-Force analizó el malware WhisperGate y no identificó ninguna coincidencia de código entre WhisperGate y HermeticWiper.
Esta entrada de blog detallará los conocimientos de IBM Security X-Force sobre el malware HermeticWiper, el análisis técnico de la muestra y los indicadores de compromiso (IoC) para ayudar a las organizaciones a protegerse de este malware.
En enero de 2022, X-Force analizó el malware WhisperGate. HermeticWIper es la segunda familia de malware destructivo observada en los últimos dos meses dirigida a organizaciones en Ucrania y, según se informa, a otros países de Europa del Este. No se identificaron superposiciones de código entre WhisperGate y HermeticWiper.
El ritmo al que se implementan y descubren estas nuevas y destructivas familias de malware no tiene precedentes, y pone aún más de relieve la necesidad de que las organizaciones cuenten con una estrategia de defensa activa e informada que vaya más allá de las defensas basadas en firmas.
A medida que el conflicto en la región sigue evolucionando y dadas las capacidades destructivas tanto de WhisperGate como de HermeticWiper, IBM Security X-Force recomienda que las organizaciones de infraestructuras críticas dentro de la región objetivo fortalezcan las defensas. Esas organizaciones deben centrarse en la preparación para posibles ataques que puedan destruir o cifrar datos o afectar de otro modo significativamente a las operaciones.
En opinión de X-Force, es probable que los ciberataques destructivos sigan utilizándose contra objetivos civiles en apoyo de operaciones híbridas. Además, X-Force cree que es probable que los ciberataques continúen escalando y expandiéndose en paralelo con el alcance del conflicto en curso. Cabe señalar que el creciente número de capacidades destructivas centradas contra los sectores privados y las entidades asociadas con Ucrania y sus presuntos aliados probablemente alterará el entorno de la ciberseguridad al crear una amenaza elevada para el comercio regional.
Esta sección contiene los resultados del análisis realizado a las muestras enviadas. El análisis típico incluye análisis estáticos y de comportamiento.
El análisis de comportamiento describe el comportamiento del malware observado en un sistema durante su ejecución. El análisis del comportamiento suele incluir las acciones realizadas en el sistema, como la eliminación de archivos, la persistencia, los detalles sobre la ejecución de procesos y cualquier comunicación C2. Cabe señalar que el análisis del comportamiento puede no captar todos los comportamientos notables del malware, ya que ciertas funciones solo pueden ser realizadas por el malware en condiciones específicas.
El análisis estático es una inmersión más profunda en el análisis técnico del malware. El análisis estático suele incluir más detalles sobre la funcionalidad, la ofuscación o el empaquetado de la muestra, el cifrado utilizado por el malware, la información de configuración u otros detalles técnicos notables.
Tras la ejecución, HermeticWiper ajusta inmediatamente sus privilegios de token de proceso y habilita SeBackupPrivilege. Esto le da al malware control de acceso de lectura a cualquier archivo, independientemente de lo especificado en la lista de control de acceso (ACL).
A continuación, comprueba la versión del sistema operativo del sistema para saber qué versión del controlador de gestión de particiones benigno (EaseUS Partition Manager: epmntdrv.sys) utilizará. El controlador se comprime inicialmente por Microsoft (compresión SZDD) y se integra en su recurso llamado RCDATA.
Para Windows XP:
Para Windows 7 y versiones posteriores:
Después de verificar qué versión utilizará, el controlador de gestión de particiones benignas comprimidas SZDD se coloca en el directorio siguiente como:
%WINDIR%\system32\driver\<random_2chars>dr Example: C:\Windows\system32\Drivers\vfdr
A continuación, procede a descomprimirlo y añade ".sys " como extensión de archivo.
Example: C:\Windows\system32\Drivers\vfdr.sys
A continuación, vuelve a ajustar sus privilegios de token de proceso para habilitar SeLoadDriverPrivilege. Este token permite que el proceso de HermeticWiper tenga la capacidad de cargar y descargar controladores de dispositivos.
A continuación, desactiva los volcados de crash modificando la siguiente clave del registro:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled = 0
Tenga en cuenta que los volcados de memoria son volcados de memoria que contienen información sobre por qué el sistema se detiene inesperadamente. Con esta opción desactivada, el sistema no podrá crear ningún basurero y, por lo tanto, cubrirá correctamente sus huellas.
También desactiva Volume Shadow Service (vss) si está activado, y desactiva ShowCompColor y ShowInfoTip en todo el registro HKEY_USERS:
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowCompColor = 0 ShowInfoTip = 0
La opción ShowCompColor muestra en color los archivos NTFS comprimidos y encriptados, mientras que ShowInfoTip muestra descripciones emergentes para los elementos de las carpetas y del escritorio.
HermeticWiper procede entonces a añadir y cargar el controlador creado como un servicio utilizando API de Windows como OpenSCManagerW(), OpenServiceW(), CreateServiceW() y StartServiceW().
Ejemplo:
Esto crea una entrada de servicio en el registro:
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
Una vez que el servicio de controladores benigno se inicia y carga en el sistema, procede a borrar sus huellas una vez más eliminando el controlador creado en %WINDIR%\system32\drivers y eliminando el servicio creado en el registro.
HermeticWiper enumera un rango de hasta 100 unidades físicas mediante un bucle 0-100. Utiliza el gestor de particiones benigno, ahora cargado en el sistema, para corromper todos los registros de arranque maestros (MBR) de todas las unidades físicas presentes en el sistema.
Pero no se queda ahí, también corrompe todas las particiones disponibles, incluso las que admiten sistemas de archivos FAT y NTFS. En el caso de NTFS, también daña la tabla maestra de archivos (MFT), que contiene toda la información sobre un archivo para garantizar que los datos no se pueden recuperar.
Una vez que todos los discos estén corrompidos, el sistema debería provocar un fallo, pero por si acaso, HermeticWiper también creó un hilo de suspensión de seguridad que activa un apagado del sistema para forzar el reinicio del sistema objetivo.
El análisis de la muestra del limpiaparabrisas reveló que estaba firmada con un certificado digital emitido a nombre de una organización llamada "Hermetica Digital Ltd" y que se creó el 15 de abril de 2021. Un certificado digital es un archivo o una firma criptográfica que demuestra la autenticidad de un elemento, como un archivo, un servidor o un usuario.
HermeticWiper contiene el siguiente certificado digital:
FILE SYSTEM:
%WINDIR%\system32\driver\<random_2chars>dr
REGISTRO:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = 0
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
SERVICIO:
service name: <random_2chars>dr
IBM Security X-Force ha desarrollado la siguiente firma de Yara para detectar instancias adicionales de HermeticWiper.
import "pe"
rule XFTI_HermeticWiper : HermeticWiper
{
meta:
author = "IBM X-Force Threat Intelligence Malware Team"
description = "Detects the wiper targeting Ukraine."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
ticket = "IRIS-12790"
hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
yara_version = "4.0.2"
date_created = "24 Feb 22"
date_updated = ""
reference = ""
xfti_reference = ""
strings:
$s1 = "\\\\.\\EPMNTDRV\\%u" wide fullword
$s2 = "C:\\Windows\\SYSVOL" wide fullword
$s3 = "DRV_X64" wide fullword
$s4 = "DRV_X86" wide fullword
$s5 = "DRV_XP_X64" wide fullword
$s6 = "DRV_XP_X86" wide fullword
condition:
uint16(0) == 0x5A4D and 4 of them and
pe.imports("lz32.dll", "LZOpenFileW") and
pe.imports("kernel32.dll", "FindResourceW") and
pe.imports("advapi32.dll", "CryptAcquireContextW")
}
La muestra de ransomware denominada PartyTicket es un ransomware compilado por Golang que se cree que se distribuye junto con el malware HermeticWiper que se dirige a organizaciones ucranianas.
El ransomware PartyTicket no incluye ninguna escalada de privilegios y se ejecutará dentro del contexto del usuario actual. Esto significa que si se ejecutó con una cuenta sin privilegios, las carpetas y archivos que requieran privilegios superiores no se cifrarán.
PartyTicket añade".[vote2024forjb@protonmail.com].encryptedJB" como extensión de archivo para todos los archivos que cifra. Utiliza RSA y AES para cifrar los archivos objetivo.
El análisis estático inicial del ransomware revela "Biden" y "Casa Blanca" a los que se hace referencia en el código.
Tras la ejecución, el ransomware PartyTicket crea una lista de archivos para cifrar comprobando todas las unidades disponibles de la A: a la Z: y recorriendo todos los directorios excepto los que contienen "Windows" y "Archivos de programa".
Al atravesar la estructura de directorios, el ransomware enumera una lista objetivo de archivos que contienen las siguientes extensiones:
.acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi, .odt, .one, .ova, .pdf, .png, .ppt, .pub, .rar, .rtf, .sfx, .sql, .txt, .url, .vdi, .vsd, .wma, .wmv, .wtv, .xls, .xml, .xps, .zip, .docx, .epub, .html, .jpeg, .pptx, .xlsx, .pgsql, .contact, inc
Tenga en cuenta que el archivo .exe está incluido en el archivo de destino para cifrarlo, lo que indica que el ransomware se cifrará después.
Una vez creada la lista de objetivos, el ransomware creará una copia de sí mismo con un nombre de identificador único universal (UUID) para cada archivo de la lista de objetivos. Las copias se ejecutan con un tiempo de espera de treinta segundos como hijos del proceso original de PartyTicket, cada uno responsable de cifrar un archivo dentro de la lista de archivos objetivo.
Ejemplo del ciclo de vida de ejecución del proceso secundario PartyTicket:
C:\Windows\system32\cmd.exe cmd /c copy <PartyTicket.exe> b6771851-a968-11eb-9f9f-000c29fc4fde.exe b6771851-a968-11eb-9f9f-000c29fc4fde.exe.exe <target_file_to_encrypt> timeout /t 30 && C:\Windows\system32\cmd.exe /C del <UUID>.exe
SISTEMA DE ARCHIVOS:
%DESKTOP%\read_me.html
<encrypted_files>.[vote2024forjb@protonmail.com].encryptedJB
IBM Security X-Force ha desarrollado la siguiente firma de Yara para ayudar a identificar instancias del ransomware PartyTicket.
rule XFTI_PartyTicket : PartyTicket
{
meta:
author = "IBM Security X-Force "
description = "Detects the PartyTicket ransomware deployed alongside the HermeticWiper malware. The rule includes notable strings and function names."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382"
yara_version = "4.0.2"
date_created = "25 Feb 22"
strings:
$main_func1 = "pr1me"
$main_func2 = "dtFie"
$main_func3 = "getBoo"
$main_func4 = "selfElect"
$main_func5 = "highWay60"
$main_func6 = "voteFore403"
$main_func7 = "subscribeNewPartyMember"
$proj_path = "/403forBiden/"
$file_ext = ".encryptedJB"
condition:
uint16(0) == 0x5A4D and 7 of them
}
En este momento, X-Force recomienda a las organizaciones implementar detecciones para los indicadores del sistema de archivos, el registro y los servicios de Windows enumerados en este informe, así como aprovechar la regla de Yara proporcionada para escanear archivos. Además, las empresas globales deberían procurar establecer un conocimiento sólido de sus respectivas redes, cadenas de suministro, terceros y asociaciones que estén basadas en instituciones regionales o que sirvan a ellas. También se aconseja que las organizaciones abran líneas de comunicación entre las entidades relevantes de intercambio de información para garantizar la recepción e intercambio de indicadores que se pueden ejecutar.
Además de las medidas de respuesta asociadas a los indicadores de compromiso, X-Force recomienda que las organizaciones consideren las siguientes medidas proactivas:
Si tiene preguntas y quiere hablar más a fondo sobre el malware y las técnicas de prevención, puede programar una sesión informativa aquí. Obtenga las últimas actualizaciones a medida que se desarrolle más información en IBM Security X-Force Exchange y el blog de IBM PSIRT.
Si tiene problemas de ciberseguridad o ha ocurrido un incidente, póngase en contacto con X-Force para obtener ayuda.
Línea de atención telefónica en EE.UU. 1-888-241-9812
Línea de atención telefónica internacional (+001) 312-212-8034
Obtenga información para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
Descubra cómo está cambiando el panorama actual de la seguridad y cómo afrontar los retos y aprovechar la capacidad de recuperación de la IA generativa.
Obtenga información clave y estrategias prácticas para proteger su nube con la inteligencia de amenazas más reciente.
Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una vulneración y experimente una respuesta rápida a los incidentes de ciberseguridad
Utilice las soluciones de detección y respuesta a amenazas de IBM para reforzar su seguridad y acelerar la detección de amenazas.
Optimice los procesos de toma de decisiones, mejore la eficiencia de los SOC y acelere la respuesta ante incidentes con una solución de orquestación y automatización inteligente.
Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una vulneración y experimente una respuesta rápida a los incidentes de ciberseguridad