Ryuk Ransomware Gang usa Zerologon Bug para un ataque ultrarrápido - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Ryuk Ransomware Gang usa Zerologon Bug para un ataque ultrarrápido

Hola, un placer verte por aquí. Te habla Eduardo Arroyo y esta vez te voy a hablar sobre Ryuk Ransomware Gang usa Zerologon Bug para un ataque ultrarrápido

Ryuk Ransomware Gang usa Zerologon Bug para un ataque ultrarrápido

Los investigadores dijeron que el equipo pudo pasar del phishing inicial al cifrado de nivel de dominio completo en solo cinco horas.

Los actores de amenazas de Ryuk atacaron nuevamente, pasando de enviar un correo electrónico de phishing a completar el cifrado en la red de la víctima en solo cinco horas.

Esta velocidad vertiginosa es en parte el resultado de que la pandilla utilizó el error de escalada de privilegios Zerologon (CVE-2020-1472), menos de dos horas después del phishing inicial, dijeron los investigadores.

La vulnerabilidad de Zerologon permite que un atacante no autenticado con acceso de red a un controlador de dominio comprometa por completo todos los servicios de identidad de Active Directory, según Microsoft. Fue reparado en agosto, pero muchas organizaciones siguen siendo vulnerables.

En este ataque en particular, después de que los atacantes elevaron sus privilegios usando Zerologon, utilizaron una variedad de herramientas comunes como Cobalt Strike, AdFind, WMI y PowerShell para lograr su objetivo, según el análisis de los investigadores del Informe DFIR. lanzado el domingo.

El ataque comenzó con un correo electrónico de phishing que contenía una versión del cargador Bazar, dijeron los investigadores. A partir de ahí, los atacantes realizaron un mapeo de dominio básico, utilizando utilidades integradas de Windows como Nltest. Sin embargo, necesitaban aumentar sus privilegios para hacer un daño real, por lo que aprovecharon la vulnerabilidad de Zerologon recientemente revelada, dijeron los investigadores.

Después de obtener privilegios de administrador elevados, los ciberdelincuentes pudieron restablecer la contraseña en la máquina controladora de dominio principal, según el análisis.

Luego, se movieron lateralmente al controlador de dominio secundario, haciendo más descubrimiento de dominio a través de Net y el módulo Active Directory PowerShell.

«A partir de ahí, los actores de amenazas parecían estar usando el módulo de escalamiento de privilegios de canalización con nombre predeterminado en el servidor», dijeron los investigadores. “En este punto, los actores de amenazas han utilizado [Remote Desktop Protocol] RDP para conectarse desde el controlador de dominio secundario al primer controlador de dominio, utilizando la cuenta de administrador integrada. «

El movimiento lateral se inició a través de las ejecuciones de las balizas Cobalt Strike con Server Message Block (SMB) y Windows Management Instrumentation (WMI), dijeron los investigadores. SMB es un protocolo de intercambio de archivos de red incluido en Windows 10 que ofrece la capacidad de leer y escribir archivos en dispositivos de red. Mientras tanto, WMI permite la gestión de datos y las operaciones en sistemas operativos basados ​​en Windows.

Cobalt Strike pertenece a un grupo de herramientas de doble uso que se utilizan generalmente para actividades de explotación y posexplotación. Otros ejemplos incluyen PowerShell Empire, Powersploit y Metasploit, según hallazgos recientes de Cisco.

“A partir del análisis de la memoria, también pudimos concluir que los actores estaban usando una versión de prueba de Cobalt Strike con la cadena EICAR presente en la configuración de red de la baliza. Se utilizaron tanto ejecutables portátiles como balizas DLL ”, añadieron los investigadores.

Una vez en el controlador de dominio principal, se lanzó y ejecutó otra baliza de Cobalt Strike.

El análisis del ataque reveló que después de aproximadamente cuatro horas y 10 minutos, el ancho de banda de Ryuk cambió desde el controlador de dominio primario, utilizando RDP para conectarse a los servidores de respaldo.

«Luego, se realizaron más reconocimientos de dominio utilizando AdFind. Una vez completado, los actores de amenazas estaban listos para su objetivo final», según el informe de DFIR.

Para la etapa final del ataque, los operadores de Ryuk primero implementaron su ejecutable de ransomware en los servidores de respaldo. Posteriormente, el malware se lanzó en otros servidores del entorno y luego en las estaciones de trabajo.

Ryuk es un malware muy activo, responsable de varios éxitos recientes, incluido un ataque de alto perfil que cerró Universal Health Services (UHS), propietario de una red nacional de hospitales en la lista Fortune-500.

«Los actores de la amenaza terminaron su objetivo ejecutando el ransomware en el controlador de dominio principal y, después de cinco horas, el ataque se completó», dijeron los investigadores.

El uso de Zerologon facilitó mucho los esfuerzos de los ciberdelincuentes, ya que el ataque no tenía que estar dirigido a un usuario muy privilegiado que probablemente tendría múltiples controles de seguridad.

De hecho, la parte más difícil de la campaña fue el inicio del ataque: la instalación exitosa de Bazar desde el correo electrónico de phishing inicial, que requirió la interacción del usuario. Los investigadores señalan que el usuario era un usuario de dominio y no tenía otros permisos, pero esto resultó ser un problema, gracias a Zerologon.

El ataque muestra que las organizaciones deben estar preparadas para moverse más rápido que nunca en respuesta a cualquier actividad maliciosa detectada.

«Debe estar listo para actuar en menos de una hora, para asegurarse de que puede interrumpir eficazmente al actor de la amenaza», según los investigadores.

El estudio de caso surge como intentos de explotación contra el pico Zerologon. Los funcionarios del gobierno advirtieron la semana pasada que los actores avanzados de amenazas persistentes (APT) ahora están explotando el error para atacar los sistemas de apoyo electoral.

Esto se produjo pocos días después de que Microsoft hiciera sonar la alarma de que un actor de un estado nacional iraní estaba explotando activamente la falla (CVE-2020-1472). El APT es MERCURY (también conocido como MuddyWater, Static Kitten y Seedworm). Además, los investigadores de Cisco Talos también advirtieron recientemente sobre un aumento en los intentos de explotación contra Zerologon.

En septiembre, lo que estaba en juego aumentó por los riesgos asociados con el error cuando se lanzaron cuatro exploits públicos de prueba de concepto para el defecto en Github. Esto llevó al Secretario de Seguridad Nacional a emitir una directiva de emergencia poco común, ordenando a las agencias federales que parcheen sus servidores Windows contra la falla antes del 2 de septiembre.

.

Deberías compartir en tu Facebook para que tus colegas lo vean

??? ? ? ???

Comparte