Se ha observado que el ransomware Elpaco, una variante de Mimic, permite a los atacantes conectarse al servidor de una víctima a través de RDP después de un ataque de fuerza bruta exitoso y luego ejecutar el ransomware.
Esta variante explota la DLL Everything, que se utiliza para la detección de archivos, y proporciona a los atacantes una interfaz gráfica de usuario (GUI) fácil de usar para personalizar el comportamiento del malware.
Además, también proporciona herramientas para ejecutar instrucciones del sistema y desactivar medidas de seguridad.
Tácticas, técnicas y procedimientos del atacante (TTP)
Se descubrió que esta muestra abusaba de la biblioteca Everything, un motor de búsqueda de nombres de archivos legítimo que indexa archivos en PC con Windows para proporcionar búsquedas rápidas y actualizaciones en tiempo real.
Similar al ransomware Mimic identificado previamente por Trend Micro, este artefacto incluye una carga útil maliciosa en un paquete protegido con contraseña llamado Everything64.dll y la aplicación Everything legítima (Everything32.dll y Everything.exe). Así que exploté esta biblioteca.
Analice las amenazas cibernéticas utilizando el potente entorno limitado de ANYRUN. Oferta de Black Friday: obtenga hasta 3 licencias gratuitas.
Los archivos restantes en el paquete eran utilidades legítimas de 7-Zip capaces de extraer contenido de archivos maliciosos.
7-Comando para descomprimir zip
Cuando se ejecuta, el malware descomprime el archivo y coloca los archivos necesarios en un directorio separado llamado %AppData%\Local. Este directorio recibe el nombre de un UUID generado aleatoriamente.
Según Kaspersky, el ransomware Mimic utiliza la API Everything para buscar archivos específicos, cifrar información del usuario, exigir el pago de un rescate y utiliza funciones avanzadas como el cifrado multiproceso para acelerar el ataque.
Además, Mimic evade la detección al ofuscar el código, lo que dificulta que las herramientas de seguridad identifiquen y finalicen los ataques.
El contenido del archivo es necesario para cifrar archivos y realizar otras funciones del sistema operativo.
Por ejemplo, la herramienta Defender Control es un archivo DC.exe que se utiliza para habilitar o deshabilitar Windows Defender. Una vez descomprimida, comenzará la muestra.
Estructura de El Paco
La consola principal del malware, svhostss.exe, es también el artefacto más interesante. Es importante tener en cuenta que este nombre es muy similar al proceso real de Windows svchost.exe.
Durante el análisis de la memoria, los actores de amenazas utilizan con frecuencia este patrón de nombres para confundir a las personas con menos conocimientos.
En el mismo directorio, el malware contiene una GUI llamada gui40.exe. A través de la interacción de la consola, puede realizar fácilmente tareas como modificar funciones de ransomware, como la nota de rescate y los directorios/archivos permitidos, o realizar acciones en la máquina de destino.
“La GUI permite a los operadores seleccionar unidades enteras para cifrar, realizar inyección de procesos para ocultar procesos maliciosos, personalizar notas de rescate, cambiar extensiones de cifrado y “puede establecer el orden de cifrado y excluir ciertos directorios o formatos del cifrado”, afirman los investigadores. dicho.
Personalizando la nota de rescate
Esta amenaza es altamente personalizable ya que también puede ejecutar comandos del sistema para eliminar procesos específicos especificados por el operador.
Parámetros de ransomware
Las variantes Elpaco y Mimic utilizan la función SetSearchW exportada desde la DLL legítima de Everything para examinar los archivos de la víctima.
Función Establecer búsqueda W
Usar el comando Del para eliminar todos los archivos ejecutables, archivos de configuración, DLL, archivos por lotes y elementos relacionados con la base de datos del directorio de ransomware es la etapa final de la ejecución del malware.
Lo interesante es que la muestra elimina de forma segura el archivo svhostss.exe sin posibilidad de recuperación.
La muestra de Elpaco y otras variantes Mimic se dirigen principalmente a Estados Unidos, Rusia, Países Bajos, Alemania y Francia.
Los investigadores dicen que la amenaza es difícil de combatir porque el mecanismo de cifrado impide que los archivos de las máquinas infectadas sean descifrados sin la clave privada. Elpaco también tiene la capacidad de borrar archivos después del cifrado para evitar su detección y análisis.
Recientemente, se han informado ataques a gran escala utilizando Elpaco y otras muestras imitativas, que afectaron a muchos países de todo el mundo.
Aprovechamiento de los resultados de MITRE ATT&CK de 2024 para líderes en ciberseguridad de pymes y MSP: únase al seminario web gratuito
