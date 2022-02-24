Esta publicación fue escrita con contribuciones de Anne Jobmann de IBM Security X-Force, Claire Zaboeva y Richard Emerson.
El 24 de febrero de 2022, Symantec Enterprise informó que un ransomware denominado PartyTicket se había desplegado junto con el malware HermeticWiper. IBM Security X-Force obtuvo una muestra del ransomware PartyTicket y proporcionó análisis técnicos, indicadores de compromiso y detecciones dentro de la sección PartyTicket de este blog.
El 23 de febrero de 2022, las fuentes de inteligencia de código abierto comenzaron a informar detecciones de un malware wiper, una familia de malware destructiva diseñada para destruir permanentemente los datos del objetivo, que se ejecuta en sistemas pertenecientes a organizaciones ucranianas. IBM Security X-Force obtuvo una muestra del wiper llamado HermeticWiper. Utiliza un controlador de administrador de particiones benigno (una copia de empntdrv.sys) para realizar sus capacidades de limpieza corrompiendo el registro maestro de arranque (MBR), la partición y el sistema de archivos (FAT o NTFS) de todas las unidades físicas disponibles.
Este no es el primer malware de tipo wiper dirigido a organizaciones ucranianas que X-Force ha analizado. En enero de 2022, X-Force analizó el malware WhisperGate y no identificó ninguna coincidencia de código entre WhisperGate y HermeticWiper.
Esta entrada en el blog detallará los insights de IBM Security X-Force sobre el malware HermeticWiper, el análisis técnico de la muestra y los indicadores de compromiso (IoC) para ayudar a las organizaciones a protegerse de este malware.
En enero de 2022, X-Force analizó el malware WhisperGate. HermeticWIper es la segunda familia de malware destructivo recientemente vista en los últimos dos meses dirigida a organizaciones en Ucrania y, según se informa, a otros países de Europa del Este. No se identificaron superposiciones de código entre WhisperGate y HermeticWiper.
El ritmo al que se están desplegando y descubriendo estas nuevas familias de malware destructivo no tiene precedentes, y destaca aún más la necesidad de que las organizaciones tengan una estrategia de defensa activa e informada que se expanda más allá de las defensas basadas en firmas.
A medida que el conflicto en la región sigue evolucionando y dada la capacidad destructiva tanto de WhisperGate como de HermeticWiper, IBM Security X-Force recomienda que las organizaciones de infraestructura crítica dentro de la región afectada fortalezcan sus defensas. Esas organizaciones deben centrarse en la preparación para posibles ataques que puedan destruir o cifrar datos o afectar significativamente las operaciones.
En opinión de X-Force, es probable que los ataques cibernéticos destructivos continúen aprovechándose contra objetivos civiles en apoyo de operaciones híbridas. Además, X-Force cree que es probable que los ataques cibernéticos continúen escalando y expandiéndose en paralelo con el alcance del conflicto en curso. Cabe señalar que el creciente número de capacidades destructivas enfocadas contra las industrias privadas y entidades asociadas con Ucrania y sus aliados percibidos probablemente alterará el entorno de ciberseguridad al crear una amenaza elevada para el comercio regional.
Boletín de la industria
Manténgase al día sobre las tendencias más importantes e intrigantes de la industria sobre IA, automatización, datos y más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Esta sección contiene los resultados del análisis realizado para las muestras enviadas. El análisis típico incluye análisis de comportamiento y estático.
El análisis de comportamiento describe el comportamiento del malware observado en un sistema durante su ejecución. El análisis de comportamiento suele incluir acciones realizadas en el sistema, como archivos eliminados, persistencia, detalles relacionados con la ejecución de procesos y cualquier comunicación C2. Cabe señalar que es posible que el análisis de comportamiento no capture todo el comportamiento notable del malware, ya que el malware solo puede realizar ciertas funciones en condiciones específicas.
El análisis estático es una inmersión más profunda en el análisis técnico del malware. El análisis estático suele incluir más detalles sobre la funcionalidad, la ofuscación o el empaquetado en la muestra, el cifrado utilizado por el malware, la información de configuración u otros detalles técnicos notables.
Tras su ejecución, HermeticWiper ajusta inmediatamente los privilegios de su token de proceso y habilita SeBackupPrivilege. Esto le da al malware control de acceso de lectura a cualquier archivo, independientemente de lo que se especifique en la lista de control de acceso (ACL).
A continuación, comprueba la versión del sistema operativo para saber qué versión copia de un controlador de gestión de particiones benigno (EaseUS Partition Manager: epmntdrv.sys) lo utilizará. El controlador está inicialmente comprimido por Microsoft (compresión SZDD) e incrustado en su recurso llamado RCDATA.
Para Windows XP:
Para Windows 7 y versiones posteriores:
Después de verificar qué versión utilizará, el controlador de gestión de particiones benignas comprimido SZDD se coloca en el directorio siguiente como:
%WINDIR%\system32\driver\<random_2chars>dr Example: C:\Windows\system32\Drivers\vfdr
Luego procede a descomprimirlo y agrega “.sys” como extensión de archivo.
Example: C:\Windows\system32\Drivers\vfdr.sys
Luego procede a ajustar sus privilegios de token de proceso nuevamente para habilitar SeLoadDriverPrivilege. Este token permite que el proceso de HermeticWiper tenga la capacidad de cargar y descargar controladores de dispositivos.
A continuación, deshabilita los volcados de memoria modificando la siguiente clave de registro:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled = 0
Tenga en cuenta que los volcados de fallo son volcados de memoria que contienen información sobre por qué el sistema se detiene inesperadamente. Con esta opción desactivada, se impedirá que el sistema cree volcados, lo que le permitirá borrar sus huellas con éxito.
También deshabilita Volume Shadow Service (vss) si está habilitado, y deshabilita ShowCompColor y ShowInfoTip en todos los registros HKEY_USERS:
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowCompColor = 0 ShowInfoTip = 0
La opción ShowCompColor muestra los archivos NTFS comprimidos y cifrados en color, mientras que ShowInfoTip muestra descripciones emergentes para los elementos de carpeta y escritorio.
A continuación, HermeticWiper procede a agregar y cargar el controlador creado como un servicio utilizando API de Windows como OpenSCManagerW(), OpenServiceW(), CreateServiceW() y StartServiceW().
Ejemplo:
Esto crea una entrada de servicio en el registro:
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
Una vez que el servicio de controladores benigno se inicia y carga en el sistema, procede a borrar sus huellas una vez más eliminando el controlador creado en %WINDIR%\system32\drivers y eliminando el servicio creado en el registro.
HermeticWiper enumera un rango de hasta 100 unidades físicas mediante un bucle 0-100. Utiliza el administrador de particiones benigno, ahora cargado en el sistema, para corromper todos los registros de arranque maestro (MBR) para cada unidad física presente en el sistema.
Pero no se detiene ahí; también corrompe todas las particiones disponibles, incluso las que admiten el sistema de archivos FAT y NTFS. En el caso de NTFS, también corrompe la tabla maestra de archivos (MFT), que contiene toda la información sobre un archivo, para garantizar que los datos sean irrecuperables.
Una vez que todos los discos están dañados, el sistema debería resultar en un bloqueo, pero por si acaso, HermeticWiper también creó un subproceso de suspensión a prueba de fallas que desencadena un apagado del sistema para forzar el reinicio del sistema de destino.
El análisis de la muestra de wiper reveló que se firmó con un certificado digital emitido a una organización llamada 'Hermetica Digital Ltd' y se creó el 15 de abril de 2021. Un certificado digital es un archivo o firma criptográfica que prueba la autenticidad de un elemento, como un archivo, servidor o usuario.
HermeticWiper contiene el siguiente certificado digital:
SISTEMA DE ARCHIVOS:
%WINDIR%\system32\driver\<random_2chars>dr
REGISTRO:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = 0
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
SERVICIO:
nombre del servicio: <random_2chars>dr
IBM Security X-Force ha desarrollado la siguiente firma de Yara para detectar instancias adicionales de HermeticWiper.
importe la regla "pe"
XFTI_HermeticWiper: HermeticWiper
{
meta:
author = "IBM X-Force Threat Intelligence Malware Team"
description = "Detects the wiper targeting Ukraine."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
ticket = "IRIS-12790"
hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
yara_version = "4.0.2"
date_created = "24 Feb 22"
date_updated = ""
reference = ""
xfti_reference = ""
strings:
$s1 = "\\\\.\\EPMNTDRV\\%u" wide fullword
$s2 = "C:\\Windows\\SYSVOL" wide fullword
$s3 = "DRV_X64" wide fullword
$s4 = "DRV_X86" wide fullword
$s5 = "DRV_XP_X64" wide fullword
$s6 = "DRV_XP_X86" wide fullword
condition:
uint16(0) == 0x5A4D and 4 of them and
pe.imports("lz32.dll", "LZOpenFileW") and
pe.imports("kernel32.dll", "FindResourceW") and
pe.imports("advapi32.dll", "CryptAcquireContextW")
}
La muestra de ransomware denominada PartyTicket es un ransomware compilado por Golang que se cree que se distribuye junto con el malware HermeticWiper que se dirige a organizaciones de Ucrania.
El ransomware PartyTicket no incluye ninguna escalada de privilegios y se ejecutará dentro del contexto del usuario actual. Esto significa que si se ejecutó con una cuenta sin privilegios, las carpetas y los archivos que requieren mayores privilegios no se cifrarán.
PartyTicket agrega“.[vote2024forjb@protonmail.com].encryptedJB” como extensión de archivo a todos los archivos que cifra. Utiliza tanto RSA como AES para cifrar archivos específicos.
El análisis estático inicial del ransomware revela "Biden" y "Whitehouse" a los que se hace referencia en el código.
Tras la ejecución, el ransomware PartyTicket crea una lista de archivos para cifrar comprobando todas las unidades disponibles de la A: a la Z: y recorriendo todos los directorios excepto los que contienen "Windows" y "Archivos de programa".
Al atravesar la estructura de directorios, el ransomware enumera una lista objetivo de archivos que contienen las siguientes extensiones:
.acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi, .odt, .uno, .ova, .pdf, .png, .ppt, .pub, .rar, .rtf, .sfx, .sql, .txt, .url, .vdi, .vsd, .wma, .wmv, .wtv, .xls, .xml, .xps, .zip, .docx, .epub, .html, .jpeg, .pptx, .xlsx, .pgsql, .contact, inc
Tenga en cuenta que .exe está incluido en el archivo de destino que se va a cifrar, lo que indica que el ransomware se cifrará a sí mismo posteriormente.
Una vez creada la lista de objetivos, el ransomware creará una copia de sí mismo con un nombre de identificador único universal (UUID) para cada archivo dentro de la lista de objetivos. Las copias se ejecutan con un tiempo de espera de treinta segundos como elementos secundarios del proceso PartyTicket original, cada uno responsable de cifrar un archivo dentro de la lista de archivos de destino.
Ejemplo del ciclo de vida de ejecución del proceso secundario de PartyTicket:
C:\Windows\system32\cmd.exe cmd /c copy <PartyTicket.exe> b6771851-a968-11eb-9f9f-000c29fc4fde.exe b6771851-a968-11eb-9f9f-000c29fc4fde.exe.exe <target_file_to_encrypt> timeout /t 30 && C:\Windows\system32\cmd.exe /C del <UUID>.exe
SISTEMA DE ARCHIVOS:
%DESKTOP%\read_me.html
<encrypted_files>.[vote2024forjb@protonmail.com].encryptedJB
IBM Security X-Force ha desarrollado la siguiente firma de Yara para ayudar a identificar instancias del ransomware PartyTicket.
regla XFTI_PartyTicket : PartyTicket
{
meta:
author = "IBM Security X-Force "
description = "Detects the PartyTicket ransomware deployed alongside the HermeticWiper malware. The rule includes notable strings and function names."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382"
yara_version = "4.0.2"
date_created = "25 Feb 22"
strings:
$main_func1 = "pr1me"
$main_func2 = "dtFie"
$main_func3 = "getBoo"
$main_func4 = "selfElect"
$main_func5 = "highWay60"
$main_func6 = "voteFore403"
$main_func7 = "subscribeNewPartyMember"
$proj_path = "/403forBiden/"
$file_ext = ".encryptedJB"
condition:
uint16(0) == 0x5A4D and 7 of them
}
En este momento, X-Force recomienda a las organizaciones implementar detecciones para el sistema de archivos, el registro y los indicadores de servicio de Windows enumerados en este informe, así como aprovechar la regla de Yara proporcionada para analizar archivos. Además, las empresas globales deben tratar de establecer insight sólido en sus respectivas redes, cadenas de suministro, terceros y asociaciones que se basan en instituciones de la región o dan servicio a estas. También se recomienda que las organizaciones establezcan líneas de comunicación entre las entidades pertinentes que comparten información para garantizar la recepción y el intercambio de indicadores aplicables en la práctica.
Además de las medidas de respuesta asociadas con los indicadores de compromiso, X-Force recomienda que las organizaciones consideren las siguientes medidas proactivas:
Si tiene preguntas y desea obtener más información sobre el malware y las técnicas de prevención, puede programar una sesión informativa aquí. Obtenga las últimas actualizaciones a medida que se desarrolle más información en IBM Security X-Force Exchange y el blog de IBM PSIRT.
Si tiene problemas o un incidente de ciberseguridad, comuníquese con X-Force para obtener ayuda.
Línea directa en EE. UU. 1-888-241-9812
Línea directa global (+001) 312-212-8034
Obtenga insights para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
Descubra cómo está cambiando el panorama de seguridad actual y cómo afrontar los desafíos y aprovechar la resiliencia de la IA generativa.
Obtenga insights clave y estrategias prácticas para proteger su nube con la inteligencia de amenazas más reciente.
Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una violación y experimente una respuesta rápida a los incidentes de ciberseguridad
Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.
Optimice los procesos de toma de decisiones, mejore la eficiencia de los SOC y acelere la respuesta ante incidentes con una solución de orquestación y automatización inteligente.
Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una violación y experimente una respuesta rápida a los incidentes de ciberseguridad