Abyss Ransomware Update

El ransomware del grupo Abyss, también conocido como Abyss Locker, fue visto por primera vez en julio de 2023, teniendo sus orígenes desde el código fuente del ransomware HelloKitty. Utiliza técnicas para evitar ser detectado antes y después de desplegar el ransomware, y tiene capacidad para atacar a sistemas de Linux y Windows, realizando diferentes acciones dependiendo del sistema operativo en el que se encuentre. Suele atacar a organizaciones de todo tipo de regiones, tales como Europa, Norteamérica, Sudamérica y Asia. Se ha observado que utiliza ataques de fuerza bruta por SSH para obtener acceso inicial a los servidores expuestos de las víctimas.

La versión de Windows busca primero detener 110 servicios y 158 procesos, los cuales se presentan en una tabla abajo en este mismo boletín. Después, el ransomware utiliza los siguientes comandos para eliminar los volúmenes de shadow copies, para evitar ser detectado:

• vssadmin.exe delete shadows /all /quiet
• wmic SHADOWCOPY DELETE

Utiliza los siguientes commandos para establecer políticas del estado de arranque:

• bcdedit  / set{ default } recoveryenabled No
• bcdedit  / set{ default } bootstatuspolicy IgnoreAllFailures

Una vez que se ejecuta el ransomware y encripta los archivos, les añade a estos la extensión “.abyss” o “.abyss.”, y deja la nota de rescate, a la cual le llama “WhatHappened.txt”, donde detalla las instrucciones para ponerse en contacto con el grupo, y poder iniciar negociaciones para obtener un desencriptador.



Además, cambia el fondo de pantalla de los equipos afectados, incluyendo un texto idéntico al que viene en la nota de rescate:


Encripta todos los archivos que encuentre, omitiendo aquellos que tengan extensiones importantes para su funcionamiento, tales como:
 

.Abyss	.386	.cmd	.ani	.adv	.msi
.msp	.com	.nls	.ocx	.mpa	.cpl
.mod	.hta	.prf	.rtp	.rpd	.bin
.hlp	.shs	.drv	.wpx	.bat	.rom
.msc	.spl	.msu	.ics	.key	.exe
.dllv	.lnk	.icov	.sys	.cur	.idx
.ini	.reg	.mp3	.mp4	.apk	.ttf
.otf	.fon	.fnt	.dmp	.tmp	.pif
.wav	.wma	.dmg	.iso	.app	.ipa
.xex	.wad	.icns	.lock	.theme	.diagcfg
.blf	.diagcab	.diagpkg	.msstyles	.gadget	.woff
.part	.sfcache	.winmd

Por otro lado, la versión de Linux de este ransomware sigue prácticamente los mismos pasos que el de Windows, poniendo a los archivos encriptados la extensión “.crypt”, y utilizando los siguientes comandos:

• esxcli vm process list
• esxcli vm process kill -t=soft -w=[ID of VM]
• esxcli vm process kill -t=hard -w=[ID of VM]
• esxcli vm process kill -t=force -w=[ID of VM]

Taxonomía de ataque de MITRE ATT&CK

Táctica	Técnica	ID
Execution	Command and Scripting Interpreter	T1059
Privilege Escalation	Process Injection	T1055
Defense Evasion	Obfuscated Files or Information	T1027
Defense Evasion	Impair Defenses	T1562
Defense Evasion	Process Injection	T1055
Defense Evasion	Masquerading	T1036
Defense Evasion	Indicator Removal	T1070
Defense Evasion	Indicator Removal: File Deletion	T1070.004
Discovery	Process Discovery	T1057
Discovery	System Information Discovery	T1082
Discovery	File and Directory Discovery	T1083
Exfiltration	Exfiltration Over C2 Channel	T1041
Impact	Data Encrypted for Impact	T1486
Impact	Inhibit System Recovery	T1490

Recomendaciones

• Mantener todos los sistemas y software actualizados para evitar vulnerabilidades.
• Tener filtros de correo electrónico y spam.
• Auditar herramientas de acceso remoto.
• Revisar logs para de ejecución de software de acceso remoto.
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad.
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR bien configurada.
• Habilitar la autenticación multifactor.

Indicadores de compromiso

Tipo	Indicador de compromiso
SHA256	72310e31280b7e90ebc9a32cb33674060a3587663c0334daef76c2ae2cc2a462
SHA256	3fd080ef4cc5fbf8bf0e8736af00af973d5e41c105b4cd69522a0a3c34c96b6d
SHA256	9243bdcbe30fbd430a841a623e9e1bcc894e4fdc136d46e702a94dad4b10dfdc
SHA256	0763e887924f6c7afad58e7675ecfe34ab615f4bd8f569759b1c33f0b6d08c64
SHA256	dee2af08e1f5bb89e7bad79fae5c39c71ff089083d65da1c03c7a4c051fabae0
SHA256	e6537d30d66727c5a306dc291f02ceb9d2b48bffe89dd5eff7aa2d22e28b6d7c
SHA256	1d04d9a8eeed0e1371afed06dcc7300c7b8ca341fe2d4d777191a26dabac3596
SHA256	1a31b8e23ccc7933c442d88523210c89cebd2c199d9ebb88b3d16eacbefe4120
SHA256	25ce2fec4cd164a93dee5d00ab547ebe47a4b713cced567ab9aca4a7080afcb7
SHA256	b524773160f3cb3bfb96e7704ef31a986a179395d40a578edce8257862cafe5f
SHA256	362a16c5e86f13700bdf2d58f6c0ab26e289b6a5c10ad2769f3412ec0b2da711
SHA256	e5417c7a24aa6f952170e9dfcfdf044c2a7259a03a7683c3ddb72512ad0cd5c7
SHA256	056220ff4204783d8cc8e596b3fc463a2e6b130db08ec923f17c9a78aa2032da
SHA256	877c8a1c391e21727b2cdb2f87c7b0b37fb7be1d8dd2d941f5c20b30eb65ee97
SHA256	2e42b9ded573e97c095e45dad0bdd2a2d6a0a99e4f7242695054217e2bba6829
FileHash-MD5	b72e2d7ec70b33c8ab33f0d722d28d83
domain	jwqpucwiolhmivnqt7qwroezymksxfjsbj6pmg2lnnglqpoe26cwnryd.onion
URL	http://jwqpucwiolhmivnqt7qwroezymksxfjsbj6pmg2lnnglqpoe26cwnryd.onion/Dn1mGprdkhzS5UU88Y2dGvss7oNA54
FileHash-SHA1	40ceb71d12954a5e986737831b70ac669e8b439e
FileHash-MD5	89d397164f57d3d0731c7c577b8e5be4

Información Extra
Servicios que el ransomware de Abyss suele detener en Windows:

MSSQLServerADHelper100	MSSQL$ISARS	MSSQL$MSFW	SQLAgent$ISARS
SQLAgent$MSFW	SQLBrowser	ReportServer$ISARS	SQLWriter
WinDefend	mr2kserv	MSExchangeADTopology	MSExchangeFBA
MSExchangeIS	MSExchangeSA	ShadowProtectSvc	SPAdminV4
SPTimerV4	SPTraceV4	SPUserCodeV4	SPWriterV4
SPSearch4	IISADMIN	firebirdguardiandefaultinstance	ibmiasrw
QBCFMonitorService	QBVSS	QBPOSDBServiceV12	IBM Domino Server (CProgramFilesIBMDominodata)
IBM Domino Diagnostics (CProgramFilesIBMDomino)	Simply Accounting Database Connection Manager	QuickBooksDB1	QuickBooksDB2
QuickBooksDB3	QuickBooksDB4	QuickBooksDB5wrapper	DefWatch
ccEvtMgr	ccSetMgr	SavRoam	Sqlservr
sqlagent	sqladhlp	Culserver	RTVscan
sqlbrowser	SQLADHLP	QBIDPService	Intuit.QuickBooks.FCS
msmdsrv	tomcat6	zhudongfangyu	vmware - usbarbitator64
vmware - converter	dbsrv12	dbeng8	MSSQL$MICROSOFT##WID
MSSQL$VEEAMSQL2012	SQLAgent$VEEAMSQL2012	FishbowlMySQ	MySQL57
MSSQL$KAV_CS_ADMIN_KIT	SQLAgent$KAV_CS_ADMIN_KIT	msftesql - Exchange	MSSQL$MICROSOFT##SSEE
MSSQL$SBSMONITORING	MSSQL$SHAREPOINT	MSSQLFDLauncher$SBSMONITORING	MSSQLFDLauncher$SHAREPOINT
SQLAgent$SBSMONITORING	SQLAgent$SHAREPOINT	QBFCService	YooBackup
YooIT	svc$	MSSQL	MSSQL$
memtas	mepocs	sophos	veeam
backup	bedbg	PDVFSService	BackupExecVSSProvider
BackupExecAgentAccelerator	BackupExecAgentBrowser	BackupExecDiveciMediaService	BackupExecJobEngine
BackupExecManagementService	BackupExecRPCService	MVArmor	MVarmor64
stc_raw_agent	VSNAPVSS	VeeamTransportSvc	VeeamDeploymentService
VeeamNFSSvc	AcronisAgent	ARSM	AcrSch2Svc
CASAD2DWebSvc	CAARCUpdateSvc	WSBExchange	MSExchange
MSExchange$	GxVss	GxBlr	GxFWD
GxCVD	GxCIMgr

Procesos que el ransomware de Abyss suele detener en Windows:

360doctor.exe	360se.exe	ADExplorer.exe	ADExplorer64.exe
ADExplorer64a.exe	Adobe CEF.exe	Adobe Desktop Service.exe	AdobeCollabSync.exe
AdobeIPCBroker.exe	AutodeskDesktopApp.exe	Autoruns.exe	Autoruns64.exe
Autoruns64a.exe	Autorunsc.exe	Autorunsc64.exe	Autorunsc64a.exe
AvastUI.exe	BrCcUxSys.exe	BrCtrlCntr.exe	CNTAoSMgr.exe
CagService.exe	CoreSync.exe	Creative Cloud.exe	Culture.exe
Defwatch.exe	DellSystemDetect.exe	EnterpriseClient.exe	GDscan.exe
GWCtlSrv.exe	GlassWire.exe	Helper.exe	InputPersonalization.exe
MsDtSrvr.exe	MsDtsSrvr.exe	MsMpEng.exe	ONENOTEM.exe
PccNTMon.exe	ProcessHacker.exe	Procexp.exe	Procexp64.exe
QBDBMgr.exe	QBDBMgrN.exe	QBIDPService.exe	QBW32.exe
RAgui.exe	RTVscan.exe	Raccine.exe	RaccineElevatedCfg.exe
RaccineSettings.exe	Raccine_x86.exe	RdrCEF.exe	ReportingServicesService.exe
SQLAGENT.EXE	Simply.SystemTrayIcon.exe	SimplyConnectionManager.exe	Sqlservr.exe, Ssms.exe
Sysmon.exe	Sysmon64.exe	SystemExplorer.exe	SystemExplorerService.exe
SystemExplorerService64.exe	TMBMSRV.exe	TeamViewer.exe	TeamViewer_Service.exe
TitanV, Ssms.exe	TmCCSF.exe	TmListen.exe	TmPfw.exe
TmProxy.exe	Totalcmd.exe	Totalcmd64.exe	VeeamDeploymentSvc.exe
WRSA.exe	WireShark.exe	ZhuDongFangYu.exe	acwebbrowser.exe
agntsvc.exe	avp.exe	avz.exe	axlbridge.exe
bedbh.exe	benetns.exe	bengien.exe	beserver.exe
dbeng50.exe	dbsnmp.exe	dumpcap.exe	egui.exe
encsvc.exe	excel.exe	fbguard.exe	fbserver.exe
fdhost.exe	fdlauncher.exe	firefox.exe	httpd.exe
infopath.exe	isqlplussvc.exe	j0gnjko1.exe	java.exe
msaccess.exe	msftesql.exe	msmdsrv.exe	mspub.exe
mydesktopqos.exe	mydesktopservice.exe	mysqld.exe	node.exe
notepad++.exe	notepad.exe	ntrtscan.exe	ocautoupds.exe
ocomm.exe	ocssd.exe	onenote.exe	oracle.exe
outlook.exe	pg_ctl.exe	postgres.exe	powerpnt.exe
procexp64a.exe	mon.exe	proc, procmon64.exe	procmon64a.exe
pvlsvr.exe	qbupdate.exe	raw_agent_svc.exe	sam.exe
sqbcoreservice.exe	sql.exe	sqlbrowser.exe	sqlceip.exe
sqlmangr.exe	sqlservr.exe	sqlwriter.exe	steam.exe
supervise.exe	synctime.exe	tbirdconfig.exe	tcpview.exe
tcpview64.exe	tcpview64a.exe	tdsskiller.exe	thebat.exe
thunderbird.exe	tomcat6.exe	tv_w32.exe	tv_x64.exe
visio.exe	vsnapvss.exe	vxmon.exe	wdswfsafe.exe
winword.exe	wordpad.exe	wsa_service.exe	wxServer.exe
wxServerView.exe	xfssvccon.exe

Referencias

• https://csirt.axtel.com.mx/blog/post/56
• https://www.fortinet.com/blog/threat-research/ransomware-roundup-abyss-locker
• https://www.hivepro.com/threat-advisory/abyss-lockers-substantial-threat-explored/#
• https://www.sentinelone.com/anthology/abyss-locker/

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios