{"id":5873,"date":"2024-04-23T10:03:28","date_gmt":"2024-04-23T16:03:28","guid":{"rendered":"https:\/\/beaconlab.mx\/?p=5873"},"modified":"2024-10-17T17:48:26","modified_gmt":"2024-10-17T22:48:26","slug":"red-ransomware-group-un-nuevo-actor-de-amenaza","status":"publish","type":"post","link":"https:\/\/beaconlab.us\/es\/red-ransomware-group-un-nuevo-actor-de-amenaza\/","title":{"rendered":"Red Ransomware Group, un nuevo actor de amenaza"},"content":{"rendered":"

Recientemente Beacon Lab ha realizado una investigaci\u00f3n de un incidente, en el que se ha descubierto un grupo de ransomware nuevo, denominado Red Ransomware Group de acuerdo a su blog p\u00fablico, o tambi\u00e9n Red CryptoApp (por la extensi\u00f3n de cifrado). Al igual que la mayor\u00eda de los grupos de ransomware actuales, utilizan una estrategia de doble extorsi\u00f3n: cifrado de archivos y exfiltraci\u00f3n de datos y su respectiva publicaci\u00f3n en un blog p\u00fablico (\u201cHall of Shame\u201d). En este art\u00edculo expondremos las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) de este nuevo grupo, as\u00ed como algunas caracter\u00edsticas de su operaci\u00f3n.<\/p>\n

\"\"<\/p>\n

Operaci\u00f3n de Red Ransomware Group:<\/strong><\/h3>\n

Al momento de iniciar la investigaci\u00f3n, en el blog p\u00fablico del grupo (\u201cHall of Shame\u201d) se encontraban solamente alrededor de una decena de v\u00edctimas listadas. Aparentemente, las primeras v\u00edctimas fueron publicadas en el portal el 05 de marzo del 2024, empezando los ataques de este grupo, como m\u00ednimo, a mediados de febrero 2024.<\/p>\n

Al igual que la mayor\u00eda de los grupos de ransomware, este grupo deja una nota de rescate en formato txt, con el nombre HOW_TO_RESTORE_FILES.REDCryptoApp.txt en todas las carpetas cifradas. La nota contiene una referencia al portal de negociaci\u00f3n privado, y un ID \u00fanico por cada cliente.<\/p>\n

\"\"<\/p>\n

El portal de negociaci\u00f3n consiste en un chat con el equipo de soporte del grupo, adem\u00e1s de los detalles del pago (direcci\u00f3n de billetera y monto exigido, as\u00ed como algunos detalles del ataque). El dato del tama\u00f1o de datos exfiltrados es, muy probablemente, falso. De acuerdo con otras notas analizadas, la direcci\u00f3n de la billetera, aparentemente, es la misma para varias v\u00edctimas. Hasta el momento no se observa que haya habido pagos en la billetera.<\/p>\n

\"\"<\/p>\n

\"\"
\nUn an\u00e1lisis del blog p\u00fablico de este grupo permite inferir que se trata de un grupo nuevo, que empez\u00f3 sus operaciones recientemente. Al momento del an\u00e1lisis del blog, se listaban 12 v\u00edctimas, todas con la misma fecha. En los \u00faltimos d\u00edas se ha a\u00f1adido apenas una nueva v\u00edctima. Si bien, actualmente los links de descarga de los archivos publicados apuntan a una direcci\u00f3n diferente al blog p\u00fablico y se encuentran rotos, al momento de analizarlo, los enlaces eran funcionales, y se pudo comprobar que los mismos permit\u00edan descargar efectivamente archivos leg\u00edtimos exfiltrados de las v\u00edctimas.<\/p>\n

\"\"<\/p>\n

Es llamativo que, en algunos casos, la descripci\u00f3n de algunas v\u00edctimas no corresponde realmente a la empresa v\u00edctima, sino a una descripci\u00f3n de otra empresa de nombre similar, demostrando un cierto descuido a la hora de listar la empresa; adem\u00e1s, demuestra un proceso semi-manual de b\u00fasqueda en Google, propenso al error.<\/p>\n

Cadena de infecci\u00f3n y t\u00e9cnicas:<\/strong><\/h4>\n
\n

\"\"<\/p>\n

Vector de ataque inicial:<\/strong><\/h4>\n

En el incidente investigado, se comprob\u00f3 que Red Ransomware Group aprovecha la vulnerabilidad CVE-2023-47246<\/strong> del software SysAid<\/strong> que hab\u00eda sido reportada p\u00fablicamente a inicios de noviembre de 2023. Se trata de una vulnerabilidad de Path Traversal que deriva en la ejecuci\u00f3n de c\u00f3digo que afecta a SysAid, en sus versiones on-premise anteriores a 23.3.36. Mediante dicha vulnerabilidad, el actor ha podido subir webshells al directorio ra\u00edz de SysAid<\/strong> y tomar el control del servidor.<\/p>\n

Las webshell se encontraron en la ruta \u201cmanagerap\u201d, dentro del directorio ra\u00edz del servidor Tomcat de SysAid<\/strong>, buscando camuflarse con la carpeta manager que forma parte de la estructura real del aplicativo.<\/p>\n

Se encontraron varias webshells, entre ellas, Jsp File Browser, la cual, entre otras cosas, permite explorar el sistema de archivos, leer, crear y modificar archivos, ejecutar comandos, subir artefactos, etc. Esta webshell es utilizada por el grupo para subir, ejecutar e instalar otros software de control remoto (RMM) en el servidor.<\/p>\n

\"\"<\/p>\n

No se puede descartar que el grupo utilice accesos previamente adquiridos a otros grupos criminales que previamente hayan comprometido y ganado acceso a servidores, y que por lo general lo ofrecen en mercados underground (\u201cAccess brokers\u201d), ya que en el caso particular investigado, ya exist\u00edan algunas webshells previamente inyectadas, todo como consecuencia de la explotaci\u00f3n de la vulnerabilidad SysAid<\/strong> mencionada.<\/p>\n

Comando y control:<\/h4>\n

Se ha observado que el grupo utiliza la herramienta JWrapper, para desplegar SimpleHelp Remote Access<\/strong>, un software de control remoto pensado para brindar Soporte remoto, en modelo cliente-servidor, self-hosted. El cliente SimpleHelp se conecta a un servidor bajo el control del atacante. En el caso analizado, el servidor del atacante se encontraba en https:\/\/64.31.63.240\/access<\/a>, alojado en LimeStone Neworks (Francia).<\/p>\n

\"\"<\/p>\n

Tambi\u00e9n hemos detectado otras herramientas de control remoto, que hab\u00edan sido instalado mediante la herramienta NSSM<\/strong> (Non-sucking Service Manager<\/strong>), una herramienta leg\u00edtima para la gesti\u00f3n de servicios en sistemas operativos Windows. El ejecutable de dicho programa se encontraba en C:windowssystem32, <\/strong>enmascarado bajo el nombre HealthReport.exe<\/strong>. Con NSSM se instal\u00f3 y ejecut\u00f3 AnyDesk<\/strong>, otro programa muy popular de control remoto y un DLL malicioso c:windowssystem32users.dll <\/strong>(Hash SHA256: e37b95bb9bee64cc0313eaad8a0269493745f89413bd78b58bb3b479b36084ae).<\/p>\n

Este DLL queda a la espera de comandos, que le son enviados desde https:\/\/cl1p.net\/101012<\/a>. Cl1p.net es una herramienta online gratuita que act\u00faa como portapapeles online en la que el atacante escribe un comando que luego es le\u00eddo desde el servidor comprometido, pudiendo as\u00ed enviar comandos al servidor, evadiendo las herramientas de seguridad, que no son capaces de inspeccionar el comando que es enviado. Tambi\u00e9n hemos encontrado que se utiliz\u00f3 ScreenConnect, con un ID de conexi\u00f3n b5be755f21077092<\/p>\n

No queda del todo claro si todas estas herramientas son instaladas por Red Ransomware Group, o si por el contrario alguna de ellas fue facilitada por un Access Broker que previamente ya hab\u00eda ganado control sobre el servidor SysAid<\/strong> comprometido. S\u00ed se pudo comprobar el uso de AnyDesk y ScreenConnect como mecanismo de C&C secundario por parte de este grupo.<\/p>\n

Todas las herramientas de comando y control hab\u00edan sido instaladas como servicios de sistema y configuradas en el arranque, de manera a poder tener mayor persistencia.<\/p>\n

Escaneo interno:<\/h4>\n

El grupo utiliza SoftPerfect Network Scanner (netscan.exe) para escanear otros equipos de la red. Se trata de un scanner portable que permite descubrir hosts, escanear puertos, descubrir carpetas compartidas, y extraer detalles del equipo mediante WMI, SNMP, HTTP, SSH y PowerShell.<\/p>\n

\"\"<\/p>\n

Tambi\u00e9n comprobamos el uso de Nmap y Advaced IP Scanner, sin embargo es muy probable que las mismas fueron instaladas y puestas a disposici\u00f3n por parte de otros Access Brokers.<\/p>\n

Movimiento lateral:<\/h4>\n

Para moverse lateralmente a otros equipos de la red, el Red Ransomware Group utiliza mayormanete Pass the Hash. Para el volcado de hashes el grupo utiliza la herramienta Procdump<\/strong>, una herramienta de l\u00ednea de comandos desarrollada por Microsoft, parte de SysInternals, que se utiliza para crear volcados de memoria (dumps) de procesos en sistemas Windows. En este caso, el actor obtiene los hashes a partir del volcado del proceso lsass.exe.<\/p>\n

C:Programdatap64.exe -accepteula -ma lsass.exe C:Programdatao.dmp<\/pre>\n
El volcado le permite obtener los hashes de administrador de dominio, los cuales luego ser\u00e1n utilizados para conectarse a diversos equipos a desplegar artefactos, incluido el encrypter.<\/p>\n
Mediante la herramienta SMBExec el atacante habilita Restricted Admin Mode<\/strong>, lo cual le permite realizar movimientos laterales de Pass-the-Hash mediante RDP:<\/p>\n
Comando ofuscado:<\/p>\n
%COMSPEC% \/Q \/c echo powershell -exec bypass -enc TgBlAHcALQBJAHQAZQBtAFAAcgBvAHAAZQByAHQAeQAgAC0AUABhAHQAaAAgACIASABLAEwATQA6AFwAUwB5AHMAdABlAG0AXABDAHUAcgByAGUAbgB0AEMAbwBuAHQAcgBvAGwAUwBlAHQAXABDAG8AbgB0AHIAbwBsAFwATABzAGEAIgAgAC0ATgBhAG0AZQAgACIARABpAHMAYQBiAGwAZQBSAGUAcwB0AHIAaQBjAHQAZQBkAEEAZABtAGkAbgAiACAALQBWAGEAbAB1AGUAIAAiADAAIgAgAC0AUAByAG8AcABlAHIAdAB5AFQAeQBwAGUAIABEAFcATwBSAEQAIAAtAEYAbwByAGMAZQA= ^> \\127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% \/Q \/c %TEMP%execute.bat & del %TEMP%execute.bat<\/pre>\n
Comando desofuscado:<\/p>\n
%COMSPEC% \/Q \/c echo powershell -exec bypass -enc New-ItemProperty -Path \"HKLM:SystemCurrentControlSetControlLsa\" -Name \"DisableRestrictedAdmin\" -Value \"0\" -PropertyType DWORD -Force > \\127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% \/Q \/c %TEMP%execute.bat & del %TEMP%execute.bat\r\n<\/pre>\n
\"\"<\/p>\n
Exfiltraci\u00f3n:<\/h4>\n
Red Ransomware Group utiliza la conocida herramienta Rclone<\/strong>, una herramienta en l\u00ednea de comando para sincronizar archivos y directorios desde una computadora con los proveedores m\u00e1s populares de alojamiento de contenidos en la nube. El actor env\u00eda los datos exfiltrados a Put.io, un servicio de alojamiento en la nube muy conocido y que en el pasado ya ha sido utilizado por otros grupos. En el caso investigado, la exfiltraci\u00f3n se realiz\u00f3 solamente en uno de los servidores afectados.<\/p>\n
\u00a0<\/strong><\/p>\n
Persistencia:<\/h4>\n
Para asegurar una persistencia, el actor crea varios usuarios, tanto locales como de workgroup, los cuales fueron a\u00f1adidos a los grupos de administrador local de los equipos afectados, mediante comandos nativos de Windows (quser y net):<\/p>\n
\"\"
\n\"\"<\/p>\n
Evasi\u00f3n:<\/h4>\n
Hemos observado que el grupo utiliza las conocidas herramientas antirootkit GMER<\/strong> y AVAST aswArPot,<\/strong> enmascarados bajo el nombre un63td1n.exe y aswQP_Avar.sys respectivamente. Para interrumpir los procesos correspondientes al Antivirus \/ EDR, evadiendo as\u00ed cualquier protecci\u00f3n o bloqueo que \u00e9stos puedan causar.<\/p>\n
\"\"<\/p>\n
Impacto:<\/h4>\n
Para el despliegue del ransomware, el atacante utiliza PDQ Deploy<\/strong>, una herramienta que se utiliza para el despliegue masivo de scripts en m\u00faltiples dispositivos.<\/p>\n
\"\"<\/p>\n
Con esa herramienta el atacante construye un XML que se despliega y ejecuta diversas acciones en todos los servidores en los que ha ganado acceso previamente, entre ellas:<\/p>\n
    \n
  1. Eliminar los registros de los EDR m\u00e1s conocidos, evitando su inicio<\/li>\n
  2. Asegurar el autoarranque de AnyDesk y Screenconnect<\/li>\n
  3. Creaci\u00f3n de un servicio ekrnEpfwFF <\/strong>que asegure el inicio de AAA.ps1, previamente creado, con el reinicio del sistema operativo:\n
      \n
    1. El script AAA.ps1, el cual se encuentra ofuscado, copia el binario correspondiente al encrypter en la ruta C:programdata, con el nombre exe<\/strong>, crea y ejecuta unos scripts de powershell (S01.ps1 y S02.ps2) encargados de la ejecuci\u00f3n del encrypter y luego elimina algunos rastros, incluido estos scripts.<\/li>\n<\/ol>\n<\/li>\n
    2. Creaci\u00f3n de usuario Administrador2 (<\/strong>contrase\u00f1a P@ssw0rd1234!), en modo Autologon<\/li>\n
    3. Conexi\u00f3n SMB a servidor de destino a ser cifrado, con usuario test<\/strong> del Workgroup (P@ssw0rd123)<\/li>\n
    4. Copia del script AAA.ps1 en C:programdata de cada equipo a ser cifrado<\/li>\n<\/ol>\n
      El encrypter es copiado con el nombre AAQQ.exe. El ejecutable est\u00e1 empaquetado con UPX y est\u00e1 escrito en Go. Su hash (SHA-256) es: ba84c820016298ad5e15a5f3eb9ab608491963ff333ae0e1267ac48ac909606e<\/p>\n
      Otros hechos interesantes:<\/strong><\/p>\n
      Para ejecutar alguna de las acciones de post-explotaci\u00f3n, luego de conectarse mediante SimpleHelp, el grupo utiliza Win-PTY (winpty-agent.exe, https:\/\/github.com\/rprichard\/winpty<\/a>) , una herramienta que provee una interfaz similar a la pseudo-terminal de Unix para comunicarse con programas de consola de Windows y enviar comandos CMD de manera m\u00e1s pr\u00e1ctica.<\/p>\n
      Ofuscaci\u00f3n de Scripts de Powershell:<\/p>\n
      Todos los scripts de Powershell de este atacante, est\u00e1n ofuscados con un algoritmo simple de reemplazo de caracteres.<\/p>\n
      \"\"<\/p>\n
       <\/p>\n
      Script S01.ps1:<\/p>\n
      Si bien, el atacante elimina dicho archivo, fue posible obtenerlo a partir del script AAA.ps1 que lo genera. Es el script encargado de la eliminaci\u00f3n de copias de seguridad y de la eliminaci\u00f3n de rastros, principalmente. Consta de 7 secciones, que ejecutan una serie de acciones, tales como:<\/p>\n