Ransomware Abyss Locker

Abyss Locker es un nuevo grupo Ransomware que fue descubierta en marzo de 2023. Como muchos otros grupos, el modus operandi de este grupo es vulnerar las redes corporativas para robar información y de esta manera, utilizar la técnica de doble extorsión y encriptar los dispositivos dentro de la red comprometida.
Los atacantes usan la información como garantía si la transacción no es completada. Si las víctimas no siguen las instrucciones, la información robada es filtrada en Tor en un sitio web llamado “Abyss-data”, en dicho sitio se puede visualizar la información filtrada de todas sus víctimas.



Ataque contra VMware ESXi servers
Se realizo una investigación y se encontró un encriptador Linux ELF, dentro del análisis se encontró cadenas que claramente nos indican que se esta apuntando a VMware ESXi Servers.
El cifrador utiliza herramientas de administración en el CLI de VMware ESXi, para enumerar las maquinas virtuales disponibles y terminarlas.
 

esxcli vm process list
esxcli vm process kill -t=soft -w=%d
esxcli vm process kill -t=hard -w=%d
esxcli vm process kill -t=force -w=%d

El ejecutable apaga todas las maquinas virtuales para asociar los discos virtuales, snapshots y la metadata a las extensiones .vmdk (virtual disks), .vmsd (metadata), .vmsn (snapshots) después de haber sido cifradas.
Ademas, el ransomware encripta todos los archivos con la extension .crypt en los dispositivos comprometidos.

Para cada archivo, el cifrador crea un archivo de texto llamado “README_TO_RESTORE” que contiene instrucciones para ponerte en contacto con los atacantes y negociar el rescate.

Indicadores de compromiso
SHA-256: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Recomendaciones
El Centro de Ciberinteligencia de Entel CyberSecure otorga las siguientes recomendaciones:
-       Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
-       No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como, por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
-       Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporteclientes.doc.scr).
-       Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
-       Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
-       Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico
-       Proteger el protocolo RDP: Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
-      Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
-      Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Actualizar los equipos con Windows a las últimas versiones.
-       Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura.
-       Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información”

Referencias
Fuente BleepingComputer: https://www.bleepingcomputer.com/news/security/ linux-version-of-abyss-locker-ransomware-targets-vmware-esxi-servers/
Fuente Entel CyberSecure: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/ 1671/

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios