Cisco Talos ha observado recientemente un ataque que llevó al despliegue de una variante del ransomware MedusaLocker conocida como «BabyLockerKZ». Las técnicas distinguibles, incluyendo el almacenamiento consistente del mismo conjunto de elementos en la misma ubicación en los sistemas comprometidos, el uso de herramientas que tienen la ruta PDB con la cadena «paid_memes» y una herramienta de movimiento lateral llamada «checker», permitieron echar un vistazo más profundo para tratar de entender más sobre este actor de amenaza.
Este atacante utiliza varias herramientas de ataque conocidas públicamente y binarios «living-off-the-land», un conjunto de herramientas construidas por el mismo desarrollador para ayudar en el robo de credenciales y el movimiento lateral en organizaciones comprometidas. Estas son en su mayoría envoltorios de complementos disponibles públicamente que incluyen funcionalidades adicionales para agilizar el proceso de ataque y proporcionan interfaces gráficas o de línea de comandos.
El mismo desarrollador creó la variante de MedusaLocker utilizada en el ataque inicial. Esta variante que utiliza las mismas URL de chats y sitios de filtraciones contiene varias diferencias con respecto al ransomware original, como una clave de ejecución automática diferente o un conjunto adicional de claves públicas y privadas almacenadas en el registro. Basándose en el nombre de la clave de ejecución automática, los atacantes llaman a esta variante «BabyLockerKZ».
Se evaluó con confianza media que el actor está motivado financieramente, probablemente trabajando como un agente de acceso inicial (IAB) o un afiliado de un cártel de ransomware, y ha estado llevando a cabo ataques desde al menos 2022. La telemetría de Talos indica que el actor atacó de forma oportunista a muchas víctimas en todo el mundo.
Seguimiento de BabyLockerKZ en todo el mundo
La información recopilada sobre las herramientas empleadas habitualmente por el actor de la amenaza permiten estimar el número y los países de origen de las víctimas. Aunque es improbable que esto capte todas las actividades del adversario, proporciona una visión de una ventana específica de actividad.
El atacante lleva activo al menos desde octubre de 2022. En ese momento, los objetivos se encontraban principalmente en países europeos como Francia, Alemania, España o Italia. Durante el segundo trimestre de 2023, el volumen de ataques por mes casi se duplicó y el grupo cambió su enfoque hacia países sudamericanos como Brasil, México, Argentina y Colombia. Los ataques mantuvieron un volumen constante de alrededor de 200 IP únicas comprometidas al mes hasta el primer trimestre de 2024, cuando los ataques disminuyeron.
Tácticas, técnicas y procedimientos (TTPs) y herramientas del atacante
Durante el ataque que llevó al despliegue de BabyLockerKZt, se utilizaron varias herramientas de ataque conocidas públicamente y otras que podrían ser exclusivas de este actor. El grupo utilizó con frecuencia las carpetas de usuario Música, Imágenes o Documentos de los sistemas comprometidos para almacenar las herramientas de ataque. Para conocer todas las herramientas y direcciones que se utilizaron se pueden consultar aquí.
Cobertura
Existen diversas maneras que una organización puede utilizar para defenderse de estos ataques. Por ejemplo, los endpoints seguros son ideales para prevenir la ejecución del malware; el escaneo web impide el acceso a sitios web maliciosos y detecta el malware utilizado en estos ataques. Por el lado del resguardo de las bandejas de entradas, una protección avanzada puede bloquear correos maliciosos enviados por actores de amenazas. En relación a la conexión de los usuarios a Internet, las puertas de enlace seguro a Internet (SIG) bloquean la conexión a dominios, IP y URL maliciosos, tanto si los usuarios están dentro como fuera de la red corporativa. Por último, implementar la autenticación multifactor a los usuarios permite asegurarse que solo accedan a la red personas autorizadas.
