Ransomware Donut

Publicado hace 1 mes 22-07-2024

Un grupo de ransomware llamado D0nut se ha puesto en el radar nuevamente puesto que recientemente han proclamado que lograron vulnerar la nueva versión del software Premium Home Security Edition de la empresa de ciberseguridad ESET. [4] 

El grupo criticó las vulnerabilidades del software y también mencionaron que se quedaron cortos ante las expectativas que tenían para llevar a cabo este ataque. [4] 


Imagen del mensaje donde Donut confirma el ataque [4] 


Imagen de la vulneración de Premium Home Security edition [4] 

 

La empresa ESET, menciona que no cuenta con evidencia que confirme lo que el grupo de ransomware Donut dice, pero sí han dicho que están investigando acerca este evento. [4] 

Dicho grupo de ransomware ya lleva tiempo actuando, se detectó por primera vez en los primeros días de agosto del 2022, debido a que en esa fecha las compañías de Greek Natural Gas Company DESFA, la firma de arquitectura Sheppard Robson y la compañía de construcción multinacional Sando sufrieron ataques, no se dieron muchos detalles de quiénes estuvieron involucrados y se mantuvieron con un perfil bajo, sin embargo, para finales de agosto empezaron a surgir los detalles debido a que los autores de los ataques empezaron a desvelar información. Ragnar Locker filtró información de DESFA, Sheppard Robson dio a conocer que sufrieron un intento de extorsión y un ataque de ransomware, por último, Hive ransomware se pronunció responsable respecto al ataque a Sando.[1] 

De forma inusual la información filtrada de las victimas apareció en un sitio que antes era desconocido. Este sitio era de un grupo de extorsión que se identificó como Donut Leaks. La información que se encontraba en este sitio era mucho más extensa que en los sitios de los grupos de ransomware participantes. El sitio se trata de un blog haciendo burla a la víctima, también permitía al visitante buscar y descargar todos los datos filtrados.[1] 

Donut Leaks data leak site
Imagen del sitio de filtraciones de Donut [1] 

Para la fecha en que se hizo el descubrimiento del sitio, en el blog solo había mensajes para 5 víctimas mientras que en el servidor que almacenaba los datos había información sobre 10 víctimas más. [1] 

Donut Leaks data storage server
Imagen del servidor de almacenamiento de datos filtrados. [1] 
 

En dicho servidor de almacenamiento había aproximadamente 2.8 Terabytes de datos robados, estos pertenecían a las 10 víctimas. [1] 

En noviembre del 2022, se descubrió que Donut había empezado a desplegar su propio ransomware, este descubrimiento fue hecho por el investigador de Unit 42, Doel Santos. [2] 

Además, se encontró una muestra de un encriptador para la operación de Donut, demostrando que el grupo está usando su propio ransomware customizado para realizar ataques de doble-extorsión. Se han encontrado diversas muestras sobre los archivos encriptados, así como las diversas notas de rescate del ransomware. [2] 

 

Files encrypted by the Donut Ransomware
Archivos encriptados por Donut [2] 

Las notas de rescate son muy dinámicas y usan gráficos, imágenes de humor. Usan diferente arte creado en ASCII como una dona giratoria. [2] 

A screenshot of a computerDescription automatically generated
Dona Giratoria de la nota de rescate. [2] 
 

A screenshot of a computerDescription automatically generated
Un código de error de PowerShell simulado que se transforma en la nota de rescate.[2] 

Estas notas de rescate se enfocan en evadir la detección, logran esto codificando todos los strings y se decodifican la nota en el navegador. Estas notas incluyen formas de contactar a los atacantes, vía TOX y un sitio de negociación usando TOR. [2]

Donut ransom negotiation site
Sitio de negociación de Donut. [2] 
 

Indicadores de Compromiso:

Tipo 

Identificador 

MD5 

4ff9e3a7fefa0107155dab5859956244 

MD5 

aba06f883b7a0a3310efd6de09f741c3 

MD5 

7a20064bfd8e01d093d4125dd0b4f64c 

MD5 

f7e10411949d72d7b7dbb50617d181c4 

MD5 

bdeec8565a769ce3823342ab3d0e6f34 

SHA-256 

9455b7fcf93f0a5a6f9c099fbe938f5a9169f8d3dcc83833aa2c0f903518cfa3 

SHA-256 

2549d312f88df1e9cd84ab30b71b0fc111b9d9c8cdc8254cf71a5c638be17966 

SHA-256 

706035085af9d5bee60d2c03d283f727a22475b62cb58eee7107c41802bc9920 

SHA-256 

c35837b68200e536e52cf0e5e5c9c56f13bb20fcbdb1d83ed25fde60b55aa400 

SHA-256 

9dd8041f7a09e56e02405607467611b51e78d7c082edfd5e4ddc7370c073dfbd 

SHA-256 

575c56a11d2702f05dcb6488afd2f46a80418cd1c5e1a0afed44e0e6a435f9f7 

Dominio 

fp2e7a.wpc.2be4.phicdn.net 

Dominio 

fp2e7a.wpc.phicdn.net 

Recomendaciones

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 
  • Limitar estrictamente el uso de los protocolos SMB y RDP. 
  • Realizar auditorías de seguridad. (NIST CSF, 2024) 
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  
  • Tener filtros de correo electrónico y spam. 
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 
  • Realizar copias de seguridad, respaldos o back-ups constantemente. 
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 
  • Revisar continuamente los privilegios de los usuarios. 
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 
  • Habilitar la autenticación multifactor.

Referencias

  1. Abrams, L. (2022, Agosto 23) New 'Donut Leaks' extortion gang linked to recent ransomware attacks. Recuperado el 22 de julio del 2024 en: https://www.bleepingcomputer.com/news/security/new-donut-leaks-extortion-gang-linked-to-recent-ransomware-attacks/ 
  2. Abrams, L. (2022, Noviembre 22) Donut extortion group also targets victims with ransomware. Recuperado el 22 de julio del 2024 en: https://www.bleepingcomputer.com/news/security/donut-extortion-group-also-targets-victims-with-ransomware/ 
  3. VirusTotal. (2023). Información sobre el archivo 9455b7fcf93f0a5a6f9c099fbe938f5a9169f8d3dcc83833aa2c0f903518cfa3. Recuperado el 22 de julio del 2024 en: https://www.virustotal.com/gui/file/9455b7fcf93f0a5a6f9c099fbe938f5a9169f8d3dcc83833aa2c0f903518cfa3/details 
  4. DailyDarkWeb. (2024, julio 22). Group Claims to Bypass ESET Protectión. Recuperado el 22 de julio del 2024 en: https://x.com/DailyDarkWeb/status/1814948239969333308?t=a5XyJtGeY_Hl8Cubvmomag&s=19 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 1 hora 19-09-2024

Broadcom ha publicado el pasado 17 de septiembre un aviso de seguridad en el que se mencionan 2 vulnerabilidades que afectan a su software de virtualización VMware. Específicamente, las vulnerabilidades son:  CVE-2024-38812, con un puntaje CVSS de 9.8, se cl......

Incidente de Seguridad Fortinet
Publicado hace 6 días 12-09-2024

Fortinet, uno de los principales actores en el sector de la ciberseguridad, ha confirmado una violación de datos tras la afirmación de un atacante de haber sustraído archivos del servidor Microsoft SharePoint de la compañía. Como una de las emp......

Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024

Microsoft, al igual que otros fabricantes, calendariza sus noticias sobre seguridad cada segundo martes de cada mes, lo cual llaman "Patch Tuesday". En este mes de septiembre de 2024, publicó en su página de Security Update Guide su aviso sobre ciberseguri......

BOLETINES RECIENTES

...
Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 1 hora 19-09-2024
Leer más
...
Incidente de Seguridad Fortinet
Publicado hace 6 días 12-09-2024
Leer más
...
Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024
Leer más