Introducción

WastedLocker es el nombre de un malware de cifrado de datos, también llamado ransomware, que será analizado en este artículo. Los sistemas infectados con este malware se cifran y se envía un mensaje, generalmente dentro de un archivo HTML o TXT, con los detalles del rescate.

El ransomware WastedLocker ha sido un tema candente en, y varias organizaciones vieron sus datos dañados y cifrados por delincuentes. Los ataques de ransomware son una gran amenaza para las empresas: sus datos están cifrados y el precio del rescate no garantiza que los delincuentes devolverán lo que robaron.

El gigante tecnológico Garmin es un ejemplo de una organización que se vio afectada por la amenaza WastedLocker, allá por junio de.

1: Mensaje de Garmin que confirma la interrupción como resultado de un ataque de ransomware (WastedLocker)

El servicio Garmin Connect estaba caído, pero el ciberataque también provocó daños en los servicios técnicos y en el soporte de sus aplicaciones de navegación. Como actividad de mitigación, se pidió a todos los empleados que apagaran cualquier computadora que tuviera acceso a sus sistemas. En el incidente de Garmin, los delincuentes solicitaron 10 millones de dólares por la divulgación de los datos robados.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Cómo funciona WastedLocker

WastedLocker es un nuevo ransomware operado por un grupo criminal conocido como la pandilla Evil Corp, la misma organización asociada con Dridex y BitPaymer. Sin embargo, este malware es muy diferente de BitPaymer. Únicamente comparten la característica de añadir módulos específicos para diferentes ámbitos y destinos.

Los ataques llevados a cabo con WastedLocker están muy dirigidos. Se sospecha que durante un primer intento de penetración, se realiza una evaluación de las defensas activas y el siguiente intento está diseñado específicamente para eludir el software de seguridad activo y otras protecciones perimetrales. La 2, de PaloAlto , es un diagrama de alto nivel de cómo esta amenaza prolifera a través de la infraestructura.

2 : Cadena de eliminación de WastedLocker

Según la 2, la ruta más común utilizada por los delincuentes son los archivos ZIP (el archivo señuelo) que contienen componentes del cargador de marco JavaScript SocGholish que perfilan el sistema víctima y usan PowerShell para, en última instancia, implementar cargas útiles de Cobalt Strike.

Cuando la carga útil Cobalt Strike se instala en el lado de la víctima, se utiliza para realizar un movimiento lateral desde la máquina de la víctima a través de la red. Con este enfoque, los delincuentes pueden identificar sistemas adicionales y desplegar nuevas cargas útiles que amplíen la huella inicial.

También se ha observado que el grupo detrás de este malware utiliza utilidades legítimas de Windows (LOL Bins), como Windows Management Instrumentation (WMI) y PsExec.

Como se observa en otros grupos y ransomware como Netwalker y Ragnar_Locker , los objetivos de alto valor se ven particularmente afectados por los delincuentes. Estos incluyen sistemas internos de alto uso y alta visibilidad y sistemas que contienen copias de seguridad, para evitar una fácil restauración de datos.

Cuando el sistema de destino se ve afectado, los archivos dañados cambian de nombre durante el proceso de cifrado e incluyen una abreviatura del nombre de la organización de destino con la cadena «desperdiciada» al final (por ejemplo, GARMINWASTED).

3: Muestra de datos de daños de Garmin

Para cada archivo cifrado, se elimina un archivo adicional que contiene la nota de ransomware. La nota de rescate tiene el mismo nombre que el archivo asociado con la adición de «_info».

4: Archivo de nota de rescate: ransomware WastedLocker

Las solicitudes de reembolso son exorbitantes y van desde 500.000 dólares hasta más de 10 millones de dólares en Bitcoin.

Durante el proceso malicioso, el malware intenta eliminar instantáneas de volumen con comandos básicos de VSSADMIN:

vssadmin.exe Eliminar sombras /Todos /Silencio

Para obtener más detalles sobre los enfoques de instantáneas de volumen, lea este artículo .

Por ahora, los datos confidenciales de las víctimas no se comparten en línea, como ocurre con otras familias de malware. Sin embargo, se necesitan medidas preventivas para contener esta amenaza.

Cómo protegerse contra los ataques de WastedLocker

Los ataques de ransomware son una tendencia en esta era digital. Las recomendaciones generales para protegerse contra ellos son bastante estándar:

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Conclusión

WastedLocker es una de las familias de ransomware altamente agresivas que están en funcionamiento en. Este ransomware sigue los pasos de otras bestias de malware como REvil, Netwalker y Ragnar Locker , y la prevención es absolutamente fundamental en este campo.

Detectar y detener a los delincuentes antes de que ganen terreno de alguna manera es esencial para proteger los activos y los datos confidenciales. Este último punto será cierto si el grupo detrás de WastedLocker decide filtrar los datos de la víctima.

Fuentes

Análisis del ransomware dirigido a WastedLocker , Kaspersky

WastedLocker: análisis técnico , Kaspersky

WastedLocker Ransomware: Abuso de los atributos de archivos ADS y NTFS , Sentinel Labs

Evaluación de amenazas: actividades de ransomware WastedLocker , Unidad 42

Amenazas destacadas: WastedLocker, ransomware personalizado , Malwarebytes Labs