Actualización de Adversario “WIZARD SPIDER”.

Recientemente Crowdstrike ha dado a conocer detalles interesantes asociados al grupo criminal WIZARD SPIDER con sede en Rusia, pretenden ser actores de alto nivel en el marco de amenazas globales. Inicialmente se han centrado en el robo bancario utilizando TrickBot, Ryuk , BitPaymer y Samas dirigido a entornos corporativos.

En análisis recientes al comparar Ryuk con Hermes tienen bastante relación y su arsenal se ve en constante desarrollo. Por otro lado Hermes es un ransomware básico que fue observado en foros underground a la venta, por lo que es común que existan modificaciones de él.

El principal objetivo de WIZARD SPIDER es optimizar su framework de monetización, hacerlo más efectivo y automático por lo que sus tácticas, técnicas y procedimientos están en constante desarrollo.

Troyano TrickBot

La pieza central del grupo WIZARD SPIDER para desplegar sus operaciones fue TrickBot, recientemente esa botnet fue desarticulada, detrás de esa operación se han visto vinculados distintos participantes, como ser Microsoft, ESET y agencias Gubernamentales de Estados Unidos, se cree que el 90% de la estructura de Trickbot fue aislada.

Entre el 21 y 22 de septiembre CrowdStrike Intelligence observó que se distribuía un archivo de configuración no estándar a las víctimas infectadas con TrickBot. Dichos comandos provenían del C2 y le daban la orden al bot de que cambie sus comunicaciones hacia el servidor de comando y control (C2) 0.0.0.1 en el puerto TCP 1. Esto generó el aislamiento de esas máquinas y una baja importante para esa botnet. 

Seguimiento de la actividad de TrickBot

Backdoor BazarLoader

Adicionalmente a Trickbot, WIZARD SPIDER ha estado utilizando BazarLoader (también conocido como Kegtap ), también se lo ha visto muy asociado a Ryuk. Las campañas de spam vinculadas a BazarLoader recientemente identificadas consisten en correos electrónicos que contienen un enlace a un archivo de Google Docs para posteriormente redireccionar la descarga del binario desde un sitio externo.

Ejemplo de archivo PDF en Google Docs de BazarLoader 

Ejemplo de aviso falso Microsoft Teams PDF de BazarLoader 

Los componentes de puerta trasera de BazarLoader tienen potencial de ejecutar cargas útiles arbitrarias, secuencias de comandos de PowerShell y por lotes, extraer archivos de una víctima y finalizar los procesos en ejecución. Además del componente de puerta trasera, hemos observado que WIZARD SPIDER implementa y utiliza el marco de post-explotación CobaltStrike .

Conti Ransomware

Los últimos meses han visto un resurgimiento de la actividad de WIZARD SPIDER y la introducción del ransomware Conti. Una de las mejoras incorporadas en Conti es el uso de DLS (Data Leak Site), de esta forma es posible identificar a los clientes comprometidos.

Víctimas de Conti Ransomware por sector

Conti es una representación convencional del ransomware moderno. Repite los archivos del sistema local y los de los recursos compartidos de red SMB destino para determinar qué datos cifrar. Luego utiliza el cifrado AES-256 a través de una clave pública codificada, este último método cifrado lo han comenzado a utilizar en Agosto 2020. 

El desarrollo continuo de WIZARD SPIDER de Conti se centra igualmente en la evasión del software antivirus tradicional basado en firmas y en obstaculizar los esfuerzos de análisis de malware. Crowdstrike a observado la utilización de Conti sobre técnicas de ofuscación basadas en compiladores, como ADVobfuscator , proporciona ofuscación de código cuando se crea el código fuente del ransomware.

Pueden continuar leyendo la investigación inicial por Crowstrike AQUI.

Saludos!!!

Fuentes

Wizard Spider Adversary Update
https://www.crowdstrike.com/blog/wizard-spider-adversary-update/

TrickBot Botnet Survives Takedown Attempt
https://www.securityweek.com/trickbot-botnet-survives-takedown-attempt

TAU Threat Discovery: Conti Ransomware
https://www.carbonblack.com/blog/tau-threat-discovery-conti-ransomware/

Informe de amenazas globales de CrowdStrike 2020 .https://www.crowdstrike.com/resources/reports/2020-crowdstrike-global-threat-report/

Microsoft Teams Phishing Attack Targets Office 365 Users https://www.crowdstrike.com/resources/reports/2020-crowdstrike-global-threat-report/

Autor: malwargsecurity

malwargsecurity un proyecto personal, sin fines de lucro y destinado la comunidad.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s