Team Underground Ransomware
El ransomware Team Underground fue identificado por primera vez en julio de 2023, pero en las últimas semanas ha llamado la atención de los investigadores de ciberseguridad debido a su constante actividad, anunciando 11 víctimas en su sitio de filtraciones de la Dark Web. El tamaño de la información filtrada de las víctimas varía entre 35 GB y 1.6 TB de datos. Utiliza el método de doble extorsión, amenazando a las víctimas no solo a mantener sus archivos encriptados para siempre, sino también a publicar toda la información confidencial de manera gratuita en su sitio de la Dark Web. Este grupo no parece tener objetivos claros en cuanto a los países que ataca, pues entre sus víctimas se encuentran Estados Unidos, Taiwán, Corea del Sur, Singapur y Emiratos Árabes Unidos, sin embargo, entre las industrias que ha atacado, se encuentra la industria de manufactura, tecnologías de información, servicios de negocio, etc.
Hay reportes que indican que el ransomware Underground es una variante del ya extinto IndustrialSpy, que fue visto por primera vez en mayo 2022, y evitaba atacar organizaciones en el continente europeo y norte de Asia.
Figura 1. Sitio de la Dark Web de Team Underground Ransomware
La forma en la que este grupo obtiene acceso inicial a los sistemas de las víctimas es mediante phishing, lo cual incluye campañas de spam con archivos adjuntos maliciosos, o la explotación de vulnerabilidades sin parches. El ransomware utilizado es un ejecutable creado con Microsoft Visual C/C++ personalizado para sistemas de 64 bits.
Las vulnerabilidades específicas que explota Team Underground aún no se han revelado públicamente, pero se presume que se dirigen a vulnerabilidades de software sin parches o debilidades en la seguridad de la red para obtener acceso a los sistemas. El grupo mantiene un sitio web en la dark web donde publican los datos robados de las víctimas que no pagan. El Team Underground, después de encriptar los archivos, deja una nota de rescate llamada “!!readme!!!.txt”, la cual contiene información precisa para que las víctimas se pongan en contacto con el grupo y poder llegar a un acuerdo de desencriptación a cambio de un pago de rescate que puede llegar a los 3 millones de dólares.
Figura 2. Nota de rescate de Team Underground Ransomware
El ransomware Underground también se asegura de borrar todos los event logs de la ejecución del malware, para evitar detecciones posteriores, ejecutando múltiples comandos como los siguientes:
- C:\Windows\system32\cmd.exe /c wevtutil clear-log System
- C:\Windows\system32\cmd.exe /c wevtutil clear-log Application
- C:\Windows\system32\cmd.exe /c wevtutil clear-log Security
- C:\Windows\system32\cmd.exe /c wevtutil clear-log Setup
Después, detiene el servicio MSSQLSERVER con el comando net stop MSSQLSERVER /f /m. Y evita encriptar los archivos con las siguientes extensiones:
| .sys | .inf1 | .mst | .shs |
| .exe | .ins | .paf | .u3p |
| .dll | .inx | .pif | .vb |
| .bat | .isu | .ps1 | .vbe |
| .bin | .job | .reg | .vbs |
| .cmd | .jse | .rgs | .vbscript |
| .com | .lnk | .scr | .ws |
| .cpl | .msc | .sct | .wsh |
| .gadget | .msi | .shb | .wsf |
Taxonomía de ataque de MITRE ATT&CK
| Táctica | Técnica | ID |
| Execution | User Execution | T1204 |
| Defence Evasion | Delete Shadow drive data | T1070 |
| Discovery | Browser Information Discovery | T1217 |
| Discovery | System Information Discovery | T1082 |
| Discovery | File and Directory Discovery | T1083 |
| Impact | Data Encrypted for Impact | T1486 |
| Impact | Inhibit System Recovery | T1490 |
Recomendaciones
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Indicadores de compromiso
| Tipo | Indicador de compromiso |
| Dominio | hxxp://47glxkuxyayqrvugfumgsblrdagvrah7gttfscgzn56eyss5wg3uvmqd.onion |
| Dominio | hxxp://undgrddapc4reaunnrdrmnagvdelqfvmgycuvilgwb5uxm25sxawaoqd.onion |
| FileHash-MD5 | 059175be5681a633190cd9631e2975f6 |
| FileHash-SHA1 | fb4ad5d21f0d8c6755eb4addba0ac288bd2574b6 |
| FileHash-SHA256 | 0a08d9b027457da99725968eb4566eb836a7d503219ad5690f851caecabce93d |
| FileHash-SHA256 | d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666 |
| URL | hxxp://ehehqyhw3iev2vfso4vqs7kcrzltfebe5vbimq62p2ja7pslczs3q6qd.onion/auth/login |
Referencias
- CYFIRMA Weekly Intelligence Report. (2024, mayo 9). Weekly Intelligence Report – 10 May 2024. CYFIRMA. Recuperado el 13 de mayo de 2024 en: https://www.cyfirma.com/news/weekly-intelligence-report-10-may-2024/
- Red Piranha. (2024, mayo 6). Threat Intelligence Report April 30 – May y. Red Piranha. Recuperado el 13 de mayo de 2024 en: https://redpiranha.net/news/threat-intelligence-report-april-30-may-6-2024
- Daundkar, S. (2023, julio 18). TAU-TIN-UnderGround-Ransomware. Broadcom Community. Recuperado el 13 de mayo de 2024 en: https://community.broadcom.com/symantecenterprise/blogs/sagar-daundkar/2024/04/14/tau-tin-underground-ransomware
- NIST CFS. (2024, febrero 26). NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST. Recuperado el 13 de mayo de 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
.jpg)
