Durante el año pasado, la pandilla subterránea de ransomware se ha convertido en una amenaza formidable para las organizaciones en diversas industrias y geografías.
Identificado por primera vez en julio de 2023, el grupo resurgió en mayo de 2024 con un sitio de fuga dedicado (DLS), señalando una fase operativa renovada y más sofisticada.
Sus campañas ahora abarcan desde los Emiratos Árabes Unidos hasta Corea del Sur, apuntando a empresas en construcción, fabricación, TI y más allá.
Las víctimas informan encriptaron activos críticos y amenazaron fugas de datos, con demandas de rescate que explotan la presión técnica y psicológica.
En su último modus operandi, los operadores subterráneos adaptan meticulosamente cada ataque al entorno de la víctima.
La infiltración inicial a menudo aprovecha las credenciales robadas o las vulnerabilidades no parpadas en los servicios de escritorio remotos.
Una vez dentro, deshabilitan las copias de la sombra usando el comando Vssadmin Eliminar Sombras /All /Quiet, despojando a las víctimas de opciones de reversión rápidas.
Proceso de verificación del número de valores de argumento inicial (fuente – ASEC)
Analistas de ASEC anotado que este enfoque práctico transforma entornos de rutina en paisajes totalmente comprometidos, dejando rastros forenses que complican la respuesta de incidentes.
Después del reconocimiento, el ransomware procede con rutinas de cifrado que combinan el cifrado simétrico AES y el envoltorio asimétrico RSA.
Cada archivo está encriptado con una clave AES única, mientras que el material de la clave y el vector de inicialización (IV) están sellados con una clave pública RSA codificada antes de agregarse al archivo.
No se produce una comunicación C2 externa durante el cifrado, asegurando que la evidencia local por sí sola no pueda facilitar el descifrado.
Formato de metadatos finales (fuente – ASEC)
Los metadatos de cifrado, que se extienden el tamaño original del archivo, los conjuntos de indicadores, la versión y los valores mágicos, están estructurados en un bloque 0x18 bytes fijado al final de cada archivo.
Mecanismo de infección Dive Deep Dive
El núcleo del mecanismo de infección de Underground se encuentra en su ejecución de carga útil de varias etapas. Tras el lanzamiento, el binario verifica sus parámetros de línea de comandos y sale inmediatamente si se detectan más de dos argumentos, una protección contra el análisis rudimentario.
El malware luego declara una cadena mutex, “8DC1F7B9D2F4EA58”, para evitar múltiples instancias.
Sin emplear técnicas avanzadas de evasión de sandbox, ejecuta rápidamente rutinas de pre-cifrado: eliminar copias en la sombra, modificar claves de registro para restringir las desconexiones remotas de escritorio y detener los servicios SQL con comandos como:———
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\ /v MaxDisconnectionTime /t REG_DWORD /d 1209600000 /f net stop MSSQLSERVER /f /m net stop SQLSERVERAGENT /f /m net stop MSSQLFDLauncher /f /m SystemTime 6 months ago being passed to the encryption-related function (Source – ASEC)
Al excluir los directorios del sistema y las extensiones ejecutables, como .exe, .dll y .sys, el malware evita paralizar el sistema operativo, enfocando su poder destructivo en el contenido generado por el usuario.
Cambio estructural entre el archivo original y el archivo cifrado (fuente – ASEC)
Una vez que el entorno está preparado, se genera un número aleatorio de 0x30 bytes a través de la API BCRYPT, dividida en una tecla AES 0x20 bytes y una IV 0x10-byte.
Los archivos se leen en la memoria, encriptados en su lugar y luego se agreguen con el material de tecla cifrado RSA (0x200 bytes).
Para archivos grandes, un método de rayado encripta los segmentos de cabeza, cola y periódicos utilizando valores de bandera que dictan el tamaño de la unidad de cifrado y los intervalos de brecha, el rendimiento de equilibrio y el impacto del archivo.
Finalmente, el ransomware implementa un script _eraser.bat para purgar registros de eventos de Windows a través de Wevtutil.exe, borrando trazas de su actividad y obstaculizando el análisis de causa raíz.
A través de estas tácticas refinadas, el underground aprovecha una combinación de métodos clásicos y avanzados, subrayando la importancia de los parches proactivos, las copias de seguridad segmentadas y el monitoreo de punto final robusto para defenderse de su amenaza en evolución.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
