Ransomware INC. Ransom
El grupo de ransomware INC. Ransom fue detectado por primera vez en julio de 2023, y rápidamente ha
levantado las alarmas de los investigadores de ciberseguridad ganando notoriedad debido a sus
ataques sofisticados y a sus técnicas para evitar ser detectado [4]. Desde que empezó el año 2024, el grupo
INC. Ransom ha publicado más de 30 víctimas en su página de la Dark Web, teniendo un promedio de 8
víctimas por mes, lo que lo convierte en uno de los actores de amenazas más activos de la actualidad. El
grupo no discrimina empresas en su elección de objetivos, pues sus víctimas abarcan diversas
industrias esenciales, como las de salud, educación, y entidades gubernamentales; aun así, sus industrias
preferidas son las de servicios profesionales, manufactura y construcción [2]. Este grupo de
ransomware solo afecta a los sistemas de Windows.
Para obtener acceso inicial, se ha observado que este grupo de ransomware utiliza técnicas de
spear-phishing y de explotación de vulnerabilidades. Se ha detectado la activa explotación de la
vulnerabilidad CVE-2023-3519 de Citrix Netscaler, el cual tiene una puntuación CVSSv3 de 9.8,
y podría resultar en la ejecución remota de código no autenticado [3] [4]. Por otro lado, también
utiliza herramientas legítimas para el reconocimiento y el movimiento lateral dentro de una red,
pudiendo identificar objetivos valiosos para el cifrado. Algunas de estas herramientas son [1]:
- AnyDesk.exe (gestión y escritorio remoto).
- NETSCAN.exe (escáner y generador de perfiles de red multiprotocolo).
- MEGAsyncSetup64.exe (servicio de almacenamiento en la nube).
- ESENTUTL.exe (administración y recuperación de bases de datos).
- 7-Zip (compresor de archivos).
Como se puede deducir, INC. Ransom frecuentemente explota el Protocolo de Escritorio Remoto
(RDP) utilizando credenciales comprometidas para acceder a los sistemas de las víctimas.
Durante estas actividades el grupo realiza la investigación pasiva, realizando actividades de
enumeración, búsqueda de administradores de dominio y la prueba de conexiones de red, pero
con el principal objetivo de encontrar vulnerabilidades dentro de la red. Una vez detectados los
archivos que puedan tener valor para la víctima, realiza la exfiltración de datos usualmente
utilizando herramientas legítimas y nativas de Windows, tales como 7-Zip MEGASync, Wordpad,
Notepad y MSPaint, para inspeccionar el contenido de documentos e imágenes [2].
La etapa final consiste en ejecutar el ransomware, cifrando todos los archivos importantes y que
puedan afectar la disponibilidad de los procesos de la empresa víctima. El grupo utiliza una
combinación de wmic.exe y PSExec, para iniciar el cifrado en varios puntos de conexión. Aquí
es donde se destaca la alta capacidad de INC. Ransom para cifrar todos los archivos de manera
eficiente, pues encripta mediante el uso de lotes o scripts para automatizar el proceso. A los
archivos cifrados se les agrega la extensión ‘.INC’, y se deja la nota de rescate tanto en formato
.TXT como .HTML, llamada ‘INC-README.TXT’ o ‘INC-README.HTML’, los cuales contienen
instrucciones para que la víctima se ponga en contacto con el grupo a través del sitio de la Dark
Web, para lo cual es necesario utilizar el navegador Tor. Un aspecto único de este grupo de
ransomware es que si en la red detecta alguna impresora o máquina de fax, intentará imprimir la
nota de rescate en una hoja física, añadiendo esta manifestación física y asegurándose de que
la víctima sea muy consciente de la demanda de rescate.
Taxonomía de ataques de MITRE ATT&CK
|
Táctica |
Técnica |
|
TA0001: Initial Access |
T1091: Replication Through Removable Media |
|
T1190: Exploit Public-Facing Application |
|
|
TA0002: Execution |
T1059: Command and Scripting Interpreter |
|
T1129: Shared Modules |
|
|
T1569.002: System Services: Service Execution |
|
|
TA0003: Persistence |
T1574.002: Hijack Execution Flow: DLL Side-Loading |
|
TA0004: Privilege Escalation |
T1574.002: Hijack Execution Flow: DLL Side-Loading |
|
TA0005: Defense Evasion |
T1027: Obfuscated Files or Information |
|
T1036: Masquerading |
|
|
T1140: Deobfuscate/Decode Files or Information |
|
|
T1222: File and Directory Permissions Modification |
|
|
T1574.002: Hijack Execution Flow: DLL Side-Loading |
|
|
TA0006: Credential Access |
T1056: Input Capture |
|
TA0007: Discovery |
T1082: System Information Discovery |
|
T1083: File and Directory Discovery |
|
|
T1120: Peripheral Device Discovery |
|
|
TA0008: Lateral Movement |
T1091: Replication Through Removable Media |
|
TA0009: Collection |
T1056: Input Capture |
|
TA0011: Command and Control |
T1090: Proxy |
|
TA0040: Impact |
T1486: Data Encrypted for Impact |
Indicadores de compromiso:
|
Tipo |
Indicador de compromiso |
|
FileHash-MD5 |
1fb412212359a970be06b9a4578c1e68 |
|
FileHash-SHA1 |
efa771d6f699c7240c80260d50925ed8baae3cdc |
|
FileHash-SHA256 |
fcefe50ed02c8d315272a94f860451bfd3d86fa6ffac215e69dfa26a7a5deced |
Recomendaciones
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo a documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- [1] Montini, H. (2024, febrero 9). INC. Ransom: Complete Guide on the new Cyber Threat. SalvageData. Recuperado el 3 de abril de 2024 en: https://www.salvagedata.com/inc-ransom-malware-threat/
- [2] SOCRadar (2024, enero 24). Dark Web Profile: INC Ransom. SOCRadar. Recuperado el 3 de abril de 2024 en: https://socradar.io/dark-web-profile-inc-ransom/
- [3] Axtel CSIRT. (2023, agosto 17). CITRIX ADC AND CITRIX GATEWAY CVE-2023-3519. Axtel CSIRT. Recuperado el 3 de abril de 2024 en: https://csirt.axtel.com.mx/bulletin/post/62
- [4] CYFIRMA. (2023, octubre 27). Weekly Intelligence Report – 27 Oct 2023. CYFIRMA. Recuperado el 3 de abril de 2024 en: https://www.cyfirma.com/news/weekly-intelligence-report-27-oct-2023/
- [5] NIST CFS. (2024, febrero 26). NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST. Recuperado el 3 de abril de 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
