¿Qué es WastedLocker Ransomware y cómo protegerse contra él?
Como la mayoría de los ransomware,WastedLocker ataca a las computadoras que ejecutan ventanas . Sin embargo, WastedLocker es un cazador de caza mayor.
Ataca a grandes corporaciones y pide enormes rescates. Si bien muchos ataques de ransomware exigen unos cientos de dólares, WastedLocker exige millones de dolares .
El grupo de hackers detrás de WastedLocker está muy bien organizado. Desde principios de este siglo, el equipo ha estado en funcionamiento y ha ganado más de 100 millones de dólares.
¿Quién está detrás del ransomware WastedLocker?
WastedLocker es un producto de Corporación malvada , que también se conoce como Araña Indrik . Este es un grupo de hackers ruso que tuvo su primer éxito con Zeus , un troyano bancario. El producto más famoso de este grupo fue dridex , un troyano bancario que generaba mucho dinero. Dridex estuvo activo de 2011 a 2020 y se desarrolló como una mejora de Zeus.
El grupo Evil Corp está liderado por Maxim Yakubets y Ígor Turashev . En diciembre de 2019, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos emitió una orden de arresto contra la pareja. Además, ofreció una recompensa de 5 millones de dólares por información que condujera a su arresto. Pero lamentablemente todavía no han sido detenidos.
La razón principal del interés de las autoridades estadounidenses en Evil Corp es Dridex, no el ransomware desperdiciado . Sin embargo, la seria atención de las agencias de seguridad estadounidenses obligó a Evil Corp a reevaluar todas sus actividades, y el grupo permaneció en silencio, temporalmente, hasta principios de 2020.
La fuente del ransomware WastedLocker
Evil Corp desarrolló ransomware por primera vez en 2017 con el cifrado bitpaymer . Este fue un “ gran cazador ”, lo que significa que apuntaba a grandes corporaciones y pedía grandes rescates. Bitpaymer fue el precursor del ransomware WastedLocker.
Bitpaymer se lanzó en 2017, dirigido a hospitales en el Reino Unido. Luego los ataques pasaron a centrarse en grandes corporaciones estadounidenses . El mecanismo de entrega del ransomware se basó en módulos Dridex.
En 2019, Evil Corp creó una variante de Bitpaymer, llamada DoppelPaymer , a Ransomware como servicio sistema. RaaS permite a otros piratas informáticos utilizar un sistema de ransomware por una tarifa sin permitirles acceder al código.
En mayo de 2020, el grupo lanzó casillero desperdiciado como reemplazo de Bitpaymer. El nuevo ransomware comparte algunas similitudes de procedimiento con Bitpaymer, pero tiene un código completamente diferente.
Los ataques WastedLocker son altamente adaptado . El grupo no sólo lleva a cabo una investigación exhaustiva para obtener acceso a una red, sino que también produce diferentes módulos para cada ataque y una nota de rescate específica. El grupo también puede ajustar un ataque a medida que ocurre. En algunos casos, los administradores de red han podido detectar y eliminar el cuentagotas WastedLocker, lo que ha provocado que el grupo coloque manualmente un reemplazo más sigiloso.
El inicio de un ataque WastedLocker
La mayoría de los objetivos del ransomware WastedLocker han sido grandes corporaciones estadounidenses. La víctima ve una ventana emergente al visitar sitios específicos que les recomiendan actualizar su navegador. La ventana emergente, cuando se presiona, descarga un archivo zip, que contiene un módulo JavaScript llamado SocGolish .
Los sitios web en los que aparecen ventanas emergentes no son propiedad de Evil Corp. Más bien, son propiedad de organizaciones legítimas y están administrados por ellas, y el grupo Evil Corp ha logrado infectarlos. Sitios web de noticias son regularmente el objetivo de esta infección.
El módulo instala y ejecuta scripts de PowerShell y el Golpe de cobalto Puerta trasera. Esto les da entrada a los piratas informáticos, que utilizarán métodos tanto manuales como automatizados para continuar con el ataque.
¿Qué sucede en un ataque de ransomware WastedLocker?
El punto de partida del hacker es un punto final en el sistema que instaló la puerta trasera Cobalt Strike. Utilizando la experiencia y un conjunto de herramientas de servicios de escaneo del sistema, el hacker luego construye un perfil de cuentas de usuario en el punto final y conexiones a otros puntos finales a través de la red. El hacker también investigará respaldo procesa y suelta archivos para cargarlos en el servidor de respaldo y desencadenar una infección de ransomware.
En este punto, la actividad se parece más a una Amenaza Persistente Avanzada que un ataque de ransomware. Las herramientas incluyen sistemas para capturar credenciales y acceder a la cuenta de un usuario en el dispositivo al que se accede a través de un acceso remoto Sistema que permite al hacker adquirir la identidad del usuario y comunicarse con otros miembros de la organización.
La fase de reconocimiento del ataque permite al pirata informático moverse por la red para localizar los principales almacenes de archivos y servidores de bases de datos, que se convertirán en objetivos de infección. Una vez que el líder del equipo esté satisfecho de que es suficiente objetivos de alto valor han sido adquiridos, se activa el ransomware WastedLocker.
Cifrado WastedLocker
El ransomware realiza varias tareas antes de iniciar el cifrado. Se borra todo instantáneas de documentos de trabajo generados por funciones de guardado automático. También deshabilitará Windows Defender, elevará el acceso a su cuenta a Administrador e instalará el proceso de cifrado como un servicio.
El sistema genera una clave de cifrado diferente para cada archivo. Esto es un AES cifrado con una clave de 256 bits. Luego, esas claves se enumeran en un archivo, que está cifrado con un código de 4096 bits. RSA cifrar. Este es el Llave pública , que cifró los archivos. RSA utiliza una clave diferente para descifrar. Esto no puede derivarse de la clave de cifrado. Por lo tanto, conocer la clave pública no le sirve de nada a la víctima. Sin embargo, se puede utilizar como código de referencia para el proceso de descifrado. Los pares de claves RSA parecen generarse fuera del sitio y la clave pública se envía al sistema de destino mientras que la clave privada se guarda en el servidor de Evil Corp para su entrega después del pago.
WastedLocker no cifra archivos del sistema ni ejecutables, por lo que la computadora está todavía operativo . Sin embargo, cifrará los archivos de trabajo, como documentos, hojas de cálculo, imágenes, vídeos y archivos de audio. También cifra los archivos de almacenamiento de bases de datos. En lugar de simplemente trabajar en una computadora alfabéticamente o comenzar con la primera computadora con la que se contactó, WastedLocker identifica el almacén de datos más crítico y comienza con lo que parece ser su valor más alto directorio.
Cada archivo se sobrescribe con su versión cifrada. Luego, al nombre del archivo se le agrega una extensión adicional. Este es el nombre de la empresa objetivo y desperdiciado , por ejemplo, un archivo llamado gastos.docx en una computadora de una empresa llamada NewWorks, Inc. terminará con el nombre gastos.docx.newworkswasted. El proceso de cifrado también genera una nota de rescate para cada archivo cifrado. El texto de la nota es el mismo en todos los casos, por lo que sólo tendrás que abrir una de ellas. Este es un archivo de texto y tiene el mismo nombre que el archivo cifrado pero con _info. Entonces, en el caso del ejemplo, la nota de rescate asociada sería gastos.docx.newworkswasted_info.
La nota de rescate tiene el siguiente formato:
SU RED ESTÁ ENCRIPTADA AHORA
USAR
NO ENTREGUE ESTE CORREO ELECTRÓNICO A TERCEROS
NO CAMBIAR EL NOMBRE NI MOVER EL ARCHIVO
EL ARCHIVO SE ENCRIPTA CON LA SIGUIENTE CLAVE:
[comienzo_clave]
QUÉDATELO
Las direcciones de correo electrónico utilizadas para el contacto se utilizan sólo para un ataque. Siempre están en los siguientes dominios:
- PROTONMAIL.CH
- AIRMAIL.CC
- ECLIPSO.CH
- TUTANOTA.COM
- PROTONMAIL.COM
Una vez que el ataque ha cifrado todos los archivos de destino en el sistema de la víctima a los que se puede acceder, el proceso de ransomware finaliza. No continúa con otras estrategias de ataque, como eliminar archivos o infectar el proceso de arranque. Los archivos nuevos creados después del ataque no se cifrarán.
Recuperarse de un ataque WastedLocker
Hay no way para descifrar archivos que han sido cifrados durante un ataque de ransomware WastedLocker sin pagar el rescate. El cifrado AES que convierte los archivos no se puede descifrar, al igual que el cifrado RSA que protege la lista de claves AES. No existen consultorías de ciberseguridad que ofrezcan un servicio de descifrado.
La mejor manera de recuperarse de un ataque sin pagar es asegurarse de tener copias de seguridad de todos los archivos críticos y que su proceso de respaldo y sus almacenes estén muy bien protegidos. Como el grupo Evil Corp utiliza la exploración manual y se mueve por el sistema durante el tiempo necesario para obtener todos los almacenes de datos esenciales, esas ubicaciones de respaldo generalmente también se cifran.
Las demandas de rescate de WastedLocker oscilan entre 500.000 y 10 millones de dólares. El ataque más famoso hasta la fecha fue contra la empresa de tecnología estadounidense Garner en octubre de 2020. A la empresa se le pidió 10 millones de dólares. Nadie sabe si la empresa pagó ese monto total. Sin embargo, pagaron porque obtuvieron la clave de descifrado. Así que parece que el grupo Evil Corp está preparado para negociar .
Defensa contra el ransomware WastedLocker
La buena noticia es que WastedLocker es ya no está activo . Sin embargo, su sucesor, llamado Infierno, está en circulación. Esto está muy cerca de WastedLocker pero tiene algunas características de ofuscación adicionales que deben considerarse Casillero desperdiciado II .
La mejor defensa reside en la ciberseguridad inteligente, susceptible y sensible datos , que tiene regulaciones adicionales sobre su uso y protección. Aquí hay tres paquetes de ciberseguridad que brindan una defensa competente contra el ransomware WastedLocker.
1. CrowdStrike Falcon Insight (PRUEBA GRATUITA)
Información sobre el halcón de CrowdStrike es un paquete de detección y respuesta de puntos finales (EDR). Incluye un módulo de coordinación para crear protección en toda la empresa. El agente de punto final se instala en Windows, macOS y Linux y el supervisor es un servicio basado en la nube.
La combinación de protección del dispositivo y monitoreo del sistema es una excelente defensa contra sistemas de ransomware como WastedLocker y Hades. Los módulos in situ utilizan Detección de anomalías , lo que le permite detectar malware nuevo o actividades aparentemente genuinas realizadas por cuentas de usuarios legítimas. El EDR aislará los dispositivos si detecta actividad sospechosa. También puede eliminar archivos de malware y finalizar procesos. El sistema de protección de terminales es totalmente autónomo y se puede comprar por separado. Se comercializa como CrowdStrike Halcón Prevenir .
El módulo basado en la nube es un cazador de amenazas que se basa en cargas de registros de actividad de los agentes de punto final. esto se pone fuentes de inteligencia sobre amenazas de CrowdStrike que actualizan sus estrategias de búsqueda de datos. El coordinador informará a todos los puntos finales sobre las amenazas detectadas, ya sea identificadas en los datos o notificadas por un punto final.
Puedes conseguir unPrueba gratuita de 15 díasde Falcón Prevent.
Prueba GRATUITA de 15 días de Falcon Prevent Start
dos. GestionarEngine DataSecurity Plus
GestionarEngine DataSecurity Plus es un protector de datos confidenciales diseñado para empresas que necesitan cumplir con HIPAA, PCI DSS y otros estándares de privacidad de datos .
El sistema incluye un módulo de eDiscovery que identifica almacenes de datos confidenciales y clasifica los tipos de datos que se encuentran allí. Esto le permite aumentar las medidas de seguridad para esas ubicaciones. Además, se implementa el sistema de defensa de DataSecurity Plus como monitor de integridad de archivos (FIM). Esto detectará las acciones de cifrado inmediatamente y las bloqueará.
El sistema examina los procesos que intentan acceder a almacenes de datos confidenciales y mide su intención. Luego, el paquete bloqueará cualquier actividad maliciosa eliminando procesos y suspendiendo cuentas de usuarios comprometidas.
DataSecurity Plus es un paquete de software local que se instala en Servidor de windows . Está disponible para una prueba gratuita de 30 días .
3. Zona de gravedad de BitDefender
Zona de gravedad de BitDefender es un conjunto de sistemas de defensa cibernética que funcionan muy bien en combinación para proteger contra WastedLocker y Hades. La defensa más importante es su gestión. respaldo servicio.
Implementos GravityZone escaneo de malware en varios puntos del sistema. Escanea los puntos finales y todos los archivos descargados en ellos. El sistema también protege el acceso al almacén de respaldo, escaneando cada archivo antes de permitirlo. Eso incluye incluso transferencias comandadas manualmente.
El paquete GravityZone tiene un escáner de vulnerabilidad y un administrador de parches para reducir su superficie de ataque. También hay un monitor de integridad de archivos como último recurso. GravityZone implementa respuestas automatizadas. Puede aislar un dispositivo tan pronto como detecta actividad sospechosa. Eso limitará el daño potencial que podrían causar WastedLocker y Hades.
BitDefender GravityZone es un paquete de software que se ejecuta como un dispositivo virtual. Está disponible para una prueba gratuita de un mes .
