Perfil de Ransomware: RansomExx
RansomExx es un ransomware operado por humanos que evita que los usuarios accedan a los sistemas infectados y amenaza con publicar datos robados a menos que se pague un rescate. Ha estado involucrado en una serie de ataques a grandes corporaciones y agencias gubernamentales desde que se observó por primera vez en 2018. RansomExx se destaca por ser uno de los pocos grupos de ransomware que se dirige a entornos Windows y Linux.
¿Qué es RansomExx?
RansomExx, a veces denominado Defray777 y Ransom X, es una variante de ransomware que cifra archivos y exige una gran suma de criptomonedas para descifrarlos.
Al igual que con muchas otras familias de ransomware contemporáneas, los incidentes de RansomExx generalmente involucran un componente de robo de datos. Antes del cifrado, los datos de los sistemas comprometidos se extraen a los servidores controlados por el atacante y se utilizan como palanca adicional para obligar a las víctimas a pagar el rescate. Si no se paga el rescate, los datos robados se publican en el sitio de fugas de RansomExx.
La historia de RansomExx
RansomExx surgió por primera vez en 2018 con el nombre de "Defray". El grupo permaneció relativamente desconocido durante los primeros años antes de pasar a la infamia a mediados de 2020 luego de una serie de ataques contra organizaciones de alto perfil, incluido el Departamento de Transporte de Texas. Alrededor de este tiempo, la operación de ransomware fue renombrada como RansomExx.
RansomExx inicialmente apuntó solo a sistemas Windows. Sin embargo, en julio de 2020, se observó una nueva variante de Linux de RansomExx. A pesar de compartir muchas similitudes con la variante original de Windows, la variante de Linux no era tan sofisticada como su predecesora; carecía de comunicación de comando y control, técnicas antianálisis y la capacidad de terminar procesos en ejecución (por ejemplo, software de seguridad).
En diciembre de 2020, RansomExx lanzó un sitio de filtraciones en la web oscura donde el grupo publica los datos robados de las víctimas que se niegan a pagar el rescate.
Desde que se descubrió RansomExx por primera vez, se han realizado 346 envíos a ID Ransomware, una herramienta en línea que ayuda a las víctimas de ransomware a identificar qué ransomware ha cifrado sus archivos. Estimamos que solo el 25 por ciento de las víctimas realizan un envío a ID Ransomware, lo que significa que puede haber un total de 1384 incidentes de RansomExx desde el inicio del ransomware.
RansomExx nota de rescate
Una vez que se completa el proceso de encriptación, RansomExx suelta una nota de rescate llamada en todos los directorios infectados. La nota indica que los archivos de la víctima han sido encriptados y brinda instrucciones sobre cómo comunicarse con los atacantes. La nota también ofrece descifrar un archivo cifrado de forma gratuita para probar la legitimidad del descifrador proporcionado por el atacante.
A continuación se muestra una nota de rescate de RansomExx de muestra:
¿A quién se dirige RansomExx?
RansomExx se dirige a grandes organizaciones con los recursos y la motivación para pagar grandes demandas de rescate, incluidas empresas y agencias gubernamentales. RansomExx es una de las pocas cepas de ransomware que se dirige a los sistemas basados en Linux, así como a los sistemas Windows. RansomExx es una preocupación global y ha impactado a organizaciones en América del Norte, América del Sur, Asia, Europa y Oceanía.
¿Cómo se propaga RansomExx?
Los ataques de RansomExx comienzan violando el sistema de destino, generalmente a través de un protocolo de escritorio remoto comprometido, campañas de phishing, explotando vulnerabilidades conocidas o credenciales robadas. Después de comprometer el sistema, los atacantes se moverán lateralmente a través de la red, utilizando una variedad de herramientas posteriores al compromiso, como Pyxie, Cobalt Strike y Vatet, para obtener una posición más sólida. Los datos se extraen a los servidores controlados por el atacante antes de que se implemente el ejecutable del ransomware.
RansomExx generalmente se entrega como malware sin archivos. Se carga de manera reflexiva y se ejecuta en la memoria sin tocar el disco duro, lo que puede dificultar la detección por parte de las soluciones de seguridad. Los archivos cifrados se adjuntan con una extensión única basada en el nombre de la organización afectada.
Como los ataques de RansomExx se operan manualmente y son muy específicos, la anatomía exacta de un ataque puede variar de un incidente a otro.
Principales ataques de RansomExx
Departamento de Transporte de Texas: en mayo de 2020, el Departamento de Transporte de Texas se vio afectado por RansomExx, lo que interrumpió varios servicios y el sitio web de la agencia. En un comunicado, la agencia anunció que se habían tomado medidas inmediatas para aislar el incidente y que el FBI estaba investigando el asunto.
Konica Minolta: en julio de 2020, una infección de RansomExx resultó en casi una semana de interrupción del servicio en Konica Minolta, una empresa japonesa de fabricación de tecnología con más de 40 000 empleados. Durante este período, los clientes no pudieron acceder al sitio de soporte de la empresa y algunas impresoras Konica Minolta mostraron un error de "Notificación de servicio fallida".
Embraer: Embraer, uno de los fabricantes de aviones más grandes del mundo, fue víctima de un ataque RansomExx en noviembre de 2020. Embraer se negó a negociar con los actores de amenazas, lo que resultó en la publicación de cientos de megabytes de datos robados en el sitio de fugas de RansomExx, incluida la información de los empleados. , contactos comerciales, fotos de simulaciones de vuelo y código fuente.
Gigabyte: en agosto de 2021, el fabricante taiwanés de hardware informático Gigabyte sufrió un ataque RansomExx. Algunas partes del sitio web de Gigabyte se cayeron durante el incidente, pero los sistemas de producción de la compañía no se vieron afectados. Los atacantes amenazaron con publicar 112 GB de datos robados a menos que la empresa aceptara sus demandas de rescate.
Cómo proteger la red de RansomExx y otros ransomware
Las siguientes prácticas pueden ayudar a las organizaciones a reducir el riesgo de un incidente de RansomExx.
Capacitación en concientización sobre ciberseguridad: debido a que la mayoría del ransomware se propaga a través de acciones iniciadas por el usuario, las organizaciones deben implementar iniciativas de capacitación que se centren en enseñar a los usuarios finales los fundamentos de la ciberseguridad. El ransomware y los métodos de propagación están en constante evolución, por lo que la capacitación debe ser un proceso continuo para garantizar que los usuarios finales estén frente a las amenazas actuales.
Higiene de credenciales: Practicar una buena higiene de credenciales puede ayudar a prevenir ataques de fuerza bruta, mitigar los efectos del robo de credenciales y reducir el riesgo de acceso no autorizado a la red.
Autenticación multifactor: MFA brinda una capa adicional de seguridad que puede ayudar a evitar el acceso no autorizado a cuentas, herramientas, sistemas y repositorios de datos. Las organizaciones deben considerar habilitar MFA siempre que sea posible.
Parches de seguridad: las organizaciones de todos los tamaños deben tener una estrategia sólida de administración de parches que garantice que las actualizaciones de seguridad en todos los puntos finales, servidores y dispositivos se apliquen lo antes posible para minimizar la ventana de oportunidad de un ataque.
Copias de seguridad: las copias de seguridad son una de las formas más efectivas de mitigar los efectos de un incidente de ransomware. Muchas cepas de ransomware pueden propagarse lateralmente a través de la red y cifrar las copias de seguridad almacenadas localmente, por lo que las organizaciones deben usar una combinación de almacenamiento de medios y almacenar copias de seguridad tanto dentro como fuera del sitio. Consulte esta guía para obtener más información sobre cómo crear copias de seguridad a prueba de ransomware.
Fortalecimiento del sistema: El fortalecimiento de las redes, los servidores, los sistemas operativos y las aplicaciones es crucial para reducir la superficie expuesta a ataques y gestionar las posibles vulnerabilidades de seguridad. La desactivación de servicios innecesarios y potencialmente explotables como PowerShell, RDP, Windows Script Host, macros de Microsoft Office, etc. reduce el riesgo de infección inicial, mientras que la implementación del principio de privilegio mínimo puede ayudar a prevenir el movimiento lateral.
Bloquear macros: muchas familias de ransomware se entregan a través de documentos PDF o de Microsoft Office integrados en macros. Las organizaciones deben revisar su uso de macros, considerar bloquear todas las macros de Internet y solo permitir que las macros examinadas y aprobadas se ejecuten desde ubicaciones confiables.
Autenticación de correo electrónico: las organizaciones pueden utilizar una variedad de técnicas de autenticación de correo electrónico, como el marco de política del remitente, el correo identificado con claves de dominio y la autenticación, informes y conformidad de mensajes basados en dominios para detectar la suplantación de correo electrónico e identificar mensajes sospechosos.
Segregación de red: la segregación de red efectiva ayuda a contener incidentes, evita la propagación de malware y reduce la interrupción del negocio en general.
Monitoreo de red: las organizaciones de todos los tamaños deben contar con sistemas para monitorear posibles canales de exfiltración de datos y responder de inmediato a actividades sospechosas.
Pruebas de penetración: las pruebas de penetración pueden ser útiles para revelar vulnerabilidades en la infraestructura de TI y la susceptibilidad de los empleados al ransomware. Los resultados de la prueba se pueden utilizar para asignar recursos de TI e informar futuras decisiones de ciberseguridad.
Plan de respuesta a incidentes: las organizaciones deben tener un plan integral de respuesta a incidentes que detalle exactamente qué hacer en caso de infección. Una respuesta rápida puede ayudar a evitar que el malware se propague, minimizar las interrupciones y garantizar que el incidente se resuelva de la manera más eficiente posible.
Cómo eliminar RansomExx y otros ransomware
RansomExx utiliza métodos de cifrado que actualmente hacen que sea imposible descifrar datos sin pagar por una herramienta de descifrado proporcionada por el atacante.
Las víctimas de RansomExx deben estar preparadas para restaurar sus sistemas a partir de copias de seguridad, utilizando procesos que deben definirse en el plan de respuesta a incidentes de la organización. Se recomiendan las siguientes acciones:
Tome medidas para contener la amenaza.
Determinar la extensión de la infección.
Identificar la fuente de la infección.
Recolectar evidencia.
Restaurar el sistema a partir de copias de seguridad.
Asegúrese de que todos los dispositivos de la red estén limpios.
Realice un análisis forense integral para determinar el vector de ataque, el alcance del incidente y el alcance de la exfiltración de datos.
Identificar y fortalecer las vulnerabilidades para reducir el riesgo de que se repita el incidente.
Senan Conrado
Comments