Lo que sabemos sobre el ransomware Darkside y el ataque al oleoducto estadounidense

El 7 de mayo, un ataque de ransomware obligó a Colonial Pipeline, empresa responsable de casi la mitad del suministro de combustible de la Costa Este de EE.UU., a interrumpir sus operaciones de forma proactiva. Los almacenes de gasolina, gasóleo, aceite para calefacción doméstica, combustible para aviones y suministros militares se han visto tan afectados que la Administración Federal de Seguridad de Autotransportes (FMCSA) declaró el estado de emergencia en 18 estados para ayudar a paliar la escasez.  Han pasado cinco días desde el cierre provocado por el atentado, pero Colonial sigue sin poder reanudar sus operaciones a pleno rendimiento.

Los cortes ya han empezado a afectar a los automovilistas; en el área metropolitana de Atlanta, el 30% de las gasolineras están sin gasolina y en otras ciudades se registran cifras similares. Para mantener los suministros intactos para los servicios esenciales, el gobierno emitió avisos contra el acaparamiento.

La Oficina Federal de Investigaciones (FBI) ha confirmado que el grupo Darkside está detrás del ataque. Se trata de una familia de ransomware relativamente nueva que se detectó por primera vez en agosto de 2020, pero el grupo que está detrás se nutre de la experiencia de anteriores empresas de cibercrimen con éxito financiero. Además de bloquear los sistemas informáticos de la empresa, el grupo de ransomware también ha robado más de 100 GB en datos corporativos, según Bloomberg. El grupo tiene un historial de doble extorsión a sus víctimas: no solo pide dinero para desbloquear los ordenadores, sino que también exige el pago por los datos capturados. Si las víctimas no pagan, el grupo filtrará todos los datos robados. Como veremos más adelante, Darkside muestra un nivel de innovación que le diferencia de su competencia, siendo uno de los primeros en ofrecer lo que llamamos "servicios de cuádruple extorsión".

Trend Micro Research encontró docenas de muestras de ransomware Darkside sobre el terreno, e investigó cómo funciona el ransomware, así como las organizaciones a las que suele atacar.

El ransomware Darkside

Se cree que Darkside tiene sus raíces en Europa del Este y apareció por primera vez en agosto de 2020. Ofrecen su ransomware como servicio a los afiliados a cambio de un porcentaje de los beneficios. Darkside es un buen ejemplo de ransomware moderno, que opera con un modelo de negocio más avanzado. El ransomware moderno identifica objetivos de alto valor y tiene una monetización más precisa de los activos comprometidos (doble extorsión como ejemplo). Los ataques de ransomware modernos también suelen ser realizados por varios grupos que colaboran y se reparten los beneficios. Estos ataques pueden parecerse más a los ataques de amenazas persistentes avanzadas (APT) que a los eventos de ransomware tradicionales. 

He aquí una breve cronología de la actividad de Darkside recopilada a partir de los informes disponibles públicamente:

• • Agosto de 2020: El grupo Darkside presentó su ransomware.
• • Octubre de 2020: Los 20.000 dólares robados a las víctimas fueron donados a la caridad.
• • Noviembre. 2020: Se estableció el modelo de ransomware como servicio (RaaS) para Darkside. El grupo invitó a otros delincuentes a utilizar su servicio. Después se descubrió un sitio de filtración de datos de Darkside.
• • Noviembre de 2020: Se lanzó una red de entrega de contenidos (CDN) para almacenar y entregar datos comprometidos.
• • Diciembre de 2020: El actor detrás de Darkside invitó a los medios de comunicación y a las organizaciones de recuperación de datos a seguir su Centro de Prensa en el sitio de filtración pública.
• • Marzo de 2021: Se lanza Darkside v2 con varias actualizaciones.
• • Mayo de 2021: Ataque a Colonial Pipeline. Tras el ataque, Darkside anuncia que es apolítico y que empezará a investigar los objetivos de sus operadores. Esto es posiblemente para evitar llamar la atención en el futuro.

Acceso inicial

De nuestra investigación de las muestras de Darkside, vemos que el phishing, el protocolo de escritorio remoto (RDP) o el aprovechamiento de vulnerabilidades conocidas fueron las tácticas utilizadas para obtener el acceso inicial. Los delincuentes también utilizan herramientas comunes y legítimas a lo largo del proceso de ataque para no ser detectados y ofuscar su ataque.

A lo largo de las fases de reconocimiento y obtención de la entrada, vimos que estas herramientas legítimas se utilizaron por diversos motivos:

• • PowerShell - reconocimiento, persistencia
• • Metasploit Framework - para el reconocimiento
• • Mimikatz - para el reconocimiento
• • Bloodhound - para reconocimiento
• • CobaltStrike - instalación

En el caso de los ransomware modernos como Darkside, la obtención del acceso inicial ya no conduce inmediatamente al lanzamiento del ransomware. Ahora hay varios pasos intermedios que son ejecutados manualmente por un atacante.

Movimiento lateral y escalada de privilegios

El movimiento lateral es una fase de descubrimiento clave en el proceso del ransomware moderno. En general, el objetivo es identificar todos los datos críticos dentro de la organización. Estos serán los archivos y ubicaciones objetivo para los próximos pasos de exfiltración y cifrado.

En el caso de Darkside, confirmamos los informes de que el objetivo del movimiento lateral es obtener acceso al Controlador de Dominio (DC) o al Directorio Activo para robar credenciales, escalar privilegios y adquirir otros activos valiosos para la filtración de datos. A continuación, continúa su movimiento lateral a través del sistema, utilizando finalmente el recurso compartido de red del DC para desplegar el ransomware en los equipos conectados. Algunos de los métodos conocidos de movimiento lateral desplegados por Darkside utilizan PSExec y RDP. Pero como hemos dicho antes, un grupo de ransomware moderno se comporta con métodos más comúnmente asociados a los grupos APT: adaptarán sus herramientas y métodos a las defensas de red de las víctimas.

Filtración

Como es una práctica común con el ransomware de doble extorsión, los archivos críticos son exfiltrados antes de que el ransomware sea lanzado. Este es el paso más arriesgado hasta el momento en el proceso de ejecución del ransomware, ya que la exfiltración de datos es más probable que sea advertida por el equipo de seguridad de la empresa. Es el último paso antes de que el ransomware sea lanzado, y el ataque suele acelerarse en este punto para completar el proceso antes de ser detenido.

Para la exfiltración, hemos visto que se utilizan las siguientes herramientas

• • 7-zip - se utiliza para archivar archivos en preparación para la exfiltración
• • Rclone y Mega Client - herramientas de terceros utilizadas para exfiltrar archivos a servicios de almacenamiento en la nube
• • PuTTy - aplicación alternativa utilizada para la transferencia de archivos en red

Los expertos en seguridad descubrieron que los actores de Darkside utilizan varios sitios de filtración basados en Tor para alojar los datos robados. Los informes comparten que dos ejemplos de los servicios de intercambio de archivos para la exfiltración de datos son Mega.nz y privatelab.

Ejecución e impacto

La ejecución del ransomware propiamente dicho será la siguiente. El ransomware comparte muchas similitudes con ReVil en este paso del proceso, incluyendo la estructura de las notas de rescate y el uso de PowerShell para ejecutar un comando que elimina las copias shadow de la red. También ambos utilizan el mismo código para comprobar que su víctima no se encuentra en un país de la Comunidad de Estados Independientes (CEI).

Además de PowerShell, que se utiliza para instalar y operar el propio malware, los informes dicen que Certutil y Bitsadmin se utilizan para descargar el ransomware. Se emplean dos métodos de cifrado, dependiendo de si el sistema operativo de destino es Windows o Linux. En Linux se utiliza un cifrado de flujo ChaCha8 con RSA-4096 y en los sistemas Windows se utiliza Salsa20 con RSA-1024.

A continuación se muestra un ejemplo de nota de rescate de Darkside.

Figura 1. Nota de rescate de Darkside

 

Técnicas MITRE ATT&CK

A continuación se presentan las tácticas y técnicas de MITRE ATT&CK asociadas al ransomware Darkside.

 

Reconocimiento

• T1590 (Reunir información de la red de la víctima)

 

Acceso inicial

• • T1078(Cuentas válidas)
• • T1566(Phishing)
• • T1190(Explotación de aplicaciones de cara al público)

 

Ejecución

• • T1059.004(Intérprete de comandos y scripts: Shell Unix)
• • T1059.001(Intérprete de comandos y scripts: PowerShell)
• • T1569(Servicios del sistema)

Persistencia

• • T1078 (Cuentas válidas)
• • T1053 (Tarea/trabajo programado) 
• • T1098 (Manipulación de Cuentas)

Escalada de privilegios

• • T1548.002 (Abuso del mecanismo de control de elevación: eludir el control de cuentas de usuario)
• • T1036 (Enmascaramiento)
• • T1140 (Desofuscar / Decodificar archivos o información)

Evasión de la defensa

• • T1222.002 (Modificación de permisos de archivos y directorios: Modificación de Permisos de Archivos y Directorios en Linux y Mac)
• • T1214 (Credenciales en el Registro)
• • T1083 (Descubrimiento de archivos y directorios)
• • T1055 (Inyección de procesos: inyección de bibliotecas de enlaces dinámicos)
• • T1500 (Compilación después de la entrega)
• • T1562.001 (Deterioro de las defensas: desactivación o modificación de herramientas)

Acceso a credenciales

• • T1555 (Credenciales de los almacenes de contraseñas
• • T1082 (Descubrimiento de información del sistema)
• • T1071 (Protocolo de capa de aplicación estándar)
• • T1057 (Descubrimiento de procesos)
• • T1555.003 (Credenciales de los almacenes de contraseñas: credenciales de los navegadores web)

Descubrimiento

• • T1087 (Descubrimiento de cuentas)
• • T1105 (Copia remota de archivos)
• • T1490 (Inhibir la recuperación del sistema)
• • T1105 (Transferencia de herramientas de entrada)
• • T1087.002 (Descubrimiento de cuentas: cuenta de dominio)
• • T1482 (Descubrimiento de la confianza del dominio)
• • T1069.002 (Descubrimiento de grupos de permisos: grupos de dominio)
• • T1018 (Descubrimiento del sistema remoto)
• • T1016 (Descubrimiento de la configuración de la red del sistema)

Movimiento lateral

• • T1080 (Contenido Compartido Corrupto)
• • T1486 (Datos encriptados por impacto)

Recogida

• • T1113 (Captura de pantalla)

Comando y Control

• • T1043 (Puerto de uso común)

Exfiltración

• • T1567.002 (Exfiltración por servicio web: Exfiltración a almacenamiento en la nube)
• • T1048 (Exfiltración sobre protocolo alternativo)

Impacto

• • T1489 (parada de servicio)

Conclusión

El ransomware es una amenaza antigua pero en constante evolución. Como podemos ver en los eventos de esta semana, el ransomware moderno ha cambiado en muchos aspectos: objetivos más grandes, nuevas técnicas de extorsión y consecuencias de gran alcance más allá de las propias víctimas.

Los autores de ransomware ya no se contentan con bloquear los ordenadores de las empresas y pedir un rescate, sino que ahora profundizan en la red de las organizaciones y buscan nuevas formas de obtener beneficios. Por ejemplo, un servidor en la nube comprometido pasa por un ciclo de vida de ataque completo, desde el compromiso inicial hasta la exfiltración de datos y la reventa y venta de acceso a otros para una mayor monetización.  Los activos empresariales comprometidos son un producto lucrativo en los mercados clandestinos del underground: los ciberdelincuentes saben muy bien cómo ganar dinero atacando los servidores de las empresas.

En el incidente de Colonial se utilizó la doble extorsión contra las víctimas, pero algunos actores han ido más allá. Como señala el Director de Comunicaciones de Amenazas Globales de Trend Micro, Jon Clay:

• • Primera fase: Solo ransomware. Cifrado de archivos, luego suelta la nota de rescate y espera el pago en bitcoin.
• • 2ª fase: Doble extorsión. Fase 1 + exfiltración de datos y amenaza de liberación de datos. Maze fue el primer caso documentado y los demás grupos de actores de amenazas siguieron su ejemplo.  
• • 3ª fase: Triple extorsión. Fase 1 + Fase 2 y luego amenazas DDoS. Avaddon fue el primero documentado en hacer esto.
• • 4ª fase: Cuádruple extorsión. Fase 1 + (posiblemente Fase 2 o Fase 3) + envío directo de correos electrónicos a la base de clientes de la víctima afectada, o hacer que los centros de llamadas contratados se pongan en contacto con los clientes.

De hecho, tal y como detallan los informes de seguridad, Darkside ofrece tanto la opción de llamada DDOS como la de Call Center. Están poniendo a disposición de sus afiliados la Extorsión Cuádruple, y mostrando un claro signo de innovación. En el cibercrimen, no hay leyes de derechos de autor ni de patentes para las herramientas y técnicas. La innovación consiste tanto en copiar rápida y completamente las mejores prácticas de otros como en idear nuevos enfoques.

Este es el tipo de ataques de ransomware que veremos en el futuro. Por ello, las organizaciones deben tomarse el tiempo necesario para poner en marcha un plan de respuesta a incidentes centrado en el nuevo modelo de ataques de ransomware.

Por desgracia, algunas organizaciones pueden estar dejando de lado la ciberseguridad. Por ejemplo, algunos expertos en seguridad señalaron que Colonial utilizaba una versión vulnerable de Microsoft Exchange previamente explotada, entre otros fallos de ciberseguridad. Un ataque exitoso a una empresa que proporciona servicios críticos tendrá efectos que perjudican a múltiples sectores de la sociedad, por lo que la protección de estos servicios debe ser una prioridad absoluta.

En una audiencia en el Senado de Estados Unidos sobre las amenazas de ciberseguridad, el senador de Ohio Rob Portman describió el ataque a Colonial como "potencialmente el más sustancial y dañino ataque a la infraestructura crítica de Estados Unidos de la historia". Este ataque es una llamada a la acción para que todas las organizaciones refuercen sus redes contra las amenazas y mejoren su capacidad para detectar a los actores maliciosos. Trend Micro dispone de una plataforma de ciberseguridad multicapa que puede ayudar a mejorar la detección y la respuesta contra los últimos ataques de ransomware y también a mejorar la visibilidad.

Trend Micro Research