Análisis de malware

Descripción técnica de APT Sandworm (NotPetya)

7 de abril de por Pedro Tavares

Sandworm, también conocido como Telebots, es uno de los actores de amenazas rusos más peligrosos que afectan los sistemas de control industrial. Utilizan una herramienta llamada BlackEnergy y están asociados a la electricidad y la generación de energía con fines de espionaje, denegación de servicio y destrucción de datos. Este grupo está atribuido a la Dirección Principal de Inteligencia de Rusia (GRU) y ha llevado a cabo varios ataques contra miles de corporaciones, organizaciones, campañas políticas y gobiernos estadounidenses e internacionales.

En todo el mundo, Sandworm ha implementado nuevas tácticas, técnicas y procedimientos (TTP) para aprovechar la debilidad de un objetivo. Sandworm es un grupo de amenazas activo desde, y algunos investigadores sugieren que el grupo también estuvo involucrado en ataques contra Georgia en.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Cronología de los ciberataques de Sandworm

Los ataques empleados en las campañas de Sandworm suelen ser destructivos y los más notables se enumeran a continuación:

• En diciembre de y diciembre de, el grupo Sandworm ejecutó ciberataques contra empresas que apoyan las infraestructuras eléctricas, interrumpiendo el suministro de electricidad a más de 225.000 clientes ucranianos.
• En, Sandworm realizó oleadas de phishing dirigidas a gobiernos locales, partidos políticos y campañas en Francia, incluidas campañas relacionadas con la campaña presidencial del presidente francés Emmanuel Macron.
• En, se lanzó una notable campaña de malware, NotPetya, que provocó que cientos de organizaciones víctimas en todo el mundo perdieran mil millones de dólares en conjunto. Petya y NotPetya son variantes de malware diferentes, utilizan diferentes claves para el cifrado y tienen estilos de reinicio, pantallas y notas únicos. Sin embargo, ambos son igualmente destructivos.
• Sandworm lanzó ataques contra los Juegos Olímpicos de Invierno de después de que un esfuerzo de dopaje patrocinado por el gobierno ruso impidiera a los atletas rusos participar bajo la bandera rusa.
• En octubre de, Sandworm desfiguró aproximadamente 15.000 sitios web en Georgia.
• Más recientemente, en, Sandworm ha estado explotando una falla crítica de Exim (CVE–10149) para comprometer los servidores de correo Exim. Según la NSA , “los actores explotaron a las víctimas que utilizaban el software Exim en sus MTA de cara al público enviando un comando en el campo “MAIL FROM” de un mensaje SMTP (protocolo simple de transferencia de correo)”.

Descripción general de los TTP de Sandworm

El grupo de amenazas ha utilizado varias técnicas para comprometer un gran volumen de objetivos en los últimos años. En esta sección nos centraremos en los principales TTP utilizados por el grupo Sandworm, divididos en varios grupos según el mapeo MITRE ATTCK.

T1566: PhishingEl grupo Sandworm utilizó campañas de phishing para obtener acceso a computadoras o credenciales de cuentas. Los correos electrónicos fueron especialmente elaborados para parecer familiares y confiables. El grupo de amenazas desarrolló y probó todas las técnicas de phishing antes de llevar a cabo sus campañas para aumentar sus posibilidades de éxito.Fuente : https://attack.mitre.org/techniques/T1566/

T1059: Intérprete de comandos y secuencias de comandosEl grupo de amenazas utilizó comandos de PowerShell y scripts especialmente diseñados para descubrir información del sistema, ejecutar código o descargar malware. Según algunos investigadores, “en un caso, el grupo ejecutó un script de PowerShell malicioso que contenía versiones de una herramienta de recolección de credenciales. La herramienta funcionaba sólo en la memoria y el software antivirus no la podía detectar fácilmente”.Fuente : https://attack.mitre.org/techniques/T1059/

T1078: Cuentas válidasSandworm utilizó cuentas legítimas existentes para mantener su presencia en la infraestructura. El grupo también implementó malware y aprovechó herramientas de piratería para mantener el control sobre las redes y los dispositivos de las víctimas. Este TTP también se utilizó para filtrar datos, incluidos documentos confidenciales, herramientas y más.Fuente : https://attack.mitre.org/techniques/T1059/

T1070: Eliminación del indicador en el hostSandworm utilizó un algoritmo para ocultar características particulares del malware Olympic Destroyer para obstruir las investigaciones de ataques y evitar la detección.Fuente : https://attack.mitre.org/techniques/T1070/

T1036: EnmascaramientoSandworm intentó enmascarar su actividad investigando y emulando malware utilizado por Lazarus Group.Fuente : https://attack.mitre.org/techniques/T1036/

T1003: volcado de credenciales del sistema operativoSandworm a menudo arrojaba credenciales para obtener información de inicio de sesión y de credenciales de las máquinas comprometidas.Fuente : https://attack.mitre.org/techniques/T1003/

T1083: Descubrimiento de archivos y directoriosSandworm accedió y examinó archivos, ejecutó scripts maliciosos y buscó en máquinas comprometidas archivos de credenciales y archivos que contenían detalles de configuración de red.Fuente : https://attack.mitre.org/techniques/T1083/

T1210: Explotación de servicios remotosSandworm aprovechó los servicios remotos para acceder a los sistemas internos. Cuando se completó el acceso, implementaron malware que se aprovechó para obtener privilegios del sistema y ejecutar o implantar otras etapas.Fuente : https://attack.mitre.org/techniques/T1210/

T1491: DesfiguraciónSandworm desfiguró aproximadamente 1.500 sitios web e interrumpió el servicio de algunos de esos sitios web tras el compromiso del proveedor de alojamiento web georgiano.Fuente : https://attack.mitre.org/techniques/T1491/

T1490: Inhibir la recuperación del sistemaEl grupo malicioso implementó malware destructivo para eliminar archivos de los discos duros, forzar apagados e impedir el reinicio y la recuperación al configurar incorrectamente BitLocker, lo que dejó las computadoras inoperables.Fuente : https://attack.mitre.org/techniques/T1490/

El Departamento de Justicia acusa a seis miembros de Sandworm APT

Durante los años de investigación de Sandworm, el Departamento de Justicia acusó a seis ciudadanos rusos por su presunta participación en los ciberataques de NotPetya, la red eléctrica de Ucrania y los Juegos Olímpicos en una nota publicada en octubre de. La lista de los seis acusados ​​se presenta a continuación.

( fuente )

El grupo de amenazas está a cargo de varios ciberataques de alto perfil en los últimos años, incluido el destructivo ciberataque NotPetya que tuvo como objetivo cientos de empresas y hospitales en todo el mundo.

Cada persona se encargó de realizar varios actos maliciosos como se menciona en la publicación oficial y también se resume en la tabla anterior. Los acusados ​​y sus cómplices causaron grandes daños y perturbaciones en las redes informáticas de todo el mundo, incluidos Francia, Georgia, los Países Bajos, la República de Corea, Ucrania, el Reino Unido y los Estados Unidos.

Gusano de arena enganchado

Esta investigación en curso se considera un paso importante para derrotar a este grupo malicioso. Varios investigadores de amenazas aplaudieron la represión del Departamento de Justicia y dijeron que el arresto y la extracción de los seis ciudadanos rusos podría limitar su capacidad para utilizar el sistema financiero occidental o viajar a cualquier país que pueda tener un acuerdo de extradición con Estados Unidos.

Al Grupo de Análisis de Amenazas (TAG) de Google, al Grupo de Inteligencia Talos de Cisco, a Facebook y a Twitter también se les atribuyó el mérito de ayudar al Departamento de Justicia con esta investigación. El poder de compartir información fue una pieza crucial para destacar e identificar a los acusados ​​y sus devastadores ataques, incluido el incidente cibernético NotPetya que afectó a muchos usuarios finales de Internet y organizaciones en todo el mundo.

Fuentes

Fallo Exim, NSA

APT rusas, IronNet

Análisis del gusano de arena. Sombras digitales

El Departamento de Justicia acusa a 6 miembros de Sandworm APT, Departamento de Justicia