Ransomware Donut

Publicado hace 5 meses 22-07-2024

Un grupo de ransomware llamado D0nut se ha puesto en el radar nuevamente puesto que recientemente han proclamado que lograron vulnerar la nueva versión del software Premium Home Security Edition de la empresa de ciberseguridad ESET. [4] 

El grupo criticó las vulnerabilidades del software y también mencionaron que se quedaron cortos ante las expectativas que tenían para llevar a cabo este ataque. [4] 


Imagen del mensaje donde Donut confirma el ataque [4] 


Imagen de la vulneración de Premium Home Security edition [4] 

 

La empresa ESET, menciona que no cuenta con evidencia que confirme lo que el grupo de ransomware Donut dice, pero sí han dicho que están investigando acerca este evento. [4] 

Dicho grupo de ransomware ya lleva tiempo actuando, se detectó por primera vez en los primeros días de agosto del 2022, debido a que en esa fecha las compañías de Greek Natural Gas Company DESFA, la firma de arquitectura Sheppard Robson y la compañía de construcción multinacional Sando sufrieron ataques, no se dieron muchos detalles de quiénes estuvieron involucrados y se mantuvieron con un perfil bajo, sin embargo, para finales de agosto empezaron a surgir los detalles debido a que los autores de los ataques empezaron a desvelar información. Ragnar Locker filtró información de DESFA, Sheppard Robson dio a conocer que sufrieron un intento de extorsión y un ataque de ransomware, por último, Hive ransomware se pronunció responsable respecto al ataque a Sando.[1] 

De forma inusual la información filtrada de las victimas apareció en un sitio que antes era desconocido. Este sitio era de un grupo de extorsión que se identificó como Donut Leaks. La información que se encontraba en este sitio era mucho más extensa que en los sitios de los grupos de ransomware participantes. El sitio se trata de un blog haciendo burla a la víctima, también permitía al visitante buscar y descargar todos los datos filtrados.[1] 

Donut Leaks data leak site
Imagen del sitio de filtraciones de Donut [1] 

Para la fecha en que se hizo el descubrimiento del sitio, en el blog solo había mensajes para 5 víctimas mientras que en el servidor que almacenaba los datos había información sobre 10 víctimas más. [1] 

Donut Leaks data storage server
Imagen del servidor de almacenamiento de datos filtrados. [1] 
 

En dicho servidor de almacenamiento había aproximadamente 2.8 Terabytes de datos robados, estos pertenecían a las 10 víctimas. [1] 

En noviembre del 2022, se descubrió que Donut había empezado a desplegar su propio ransomware, este descubrimiento fue hecho por el investigador de Unit 42, Doel Santos. [2] 

Además, se encontró una muestra de un encriptador para la operación de Donut, demostrando que el grupo está usando su propio ransomware customizado para realizar ataques de doble-extorsión. Se han encontrado diversas muestras sobre los archivos encriptados, así como las diversas notas de rescate del ransomware. [2] 

 

Files encrypted by the Donut Ransomware
Archivos encriptados por Donut [2] 

Las notas de rescate son muy dinámicas y usan gráficos, imágenes de humor. Usan diferente arte creado en ASCII como una dona giratoria. [2] 

A screenshot of a computerDescription automatically generated
Dona Giratoria de la nota de rescate. [2] 
 

A screenshot of a computerDescription automatically generated
Un código de error de PowerShell simulado que se transforma en la nota de rescate.[2] 

Estas notas de rescate se enfocan en evadir la detección, logran esto codificando todos los strings y se decodifican la nota en el navegador. Estas notas incluyen formas de contactar a los atacantes, vía TOX y un sitio de negociación usando TOR. [2]

Donut ransom negotiation site
Sitio de negociación de Donut. [2] 
 

Indicadores de Compromiso:

Tipo 

Identificador 

MD5 

4ff9e3a7fefa0107155dab5859956244 

MD5 

aba06f883b7a0a3310efd6de09f741c3 

MD5 

7a20064bfd8e01d093d4125dd0b4f64c 

MD5 

f7e10411949d72d7b7dbb50617d181c4 

MD5 

bdeec8565a769ce3823342ab3d0e6f34 

SHA-256 

9455b7fcf93f0a5a6f9c099fbe938f5a9169f8d3dcc83833aa2c0f903518cfa3 

SHA-256 

2549d312f88df1e9cd84ab30b71b0fc111b9d9c8cdc8254cf71a5c638be17966 

SHA-256 

706035085af9d5bee60d2c03d283f727a22475b62cb58eee7107c41802bc9920 

SHA-256 

c35837b68200e536e52cf0e5e5c9c56f13bb20fcbdb1d83ed25fde60b55aa400 

SHA-256 

9dd8041f7a09e56e02405607467611b51e78d7c082edfd5e4ddc7370c073dfbd 

SHA-256 

575c56a11d2702f05dcb6488afd2f46a80418cd1c5e1a0afed44e0e6a435f9f7 

Dominio 

fp2e7a.wpc.2be4.phicdn.net 

Dominio 

fp2e7a.wpc.phicdn.net 

Recomendaciones

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 
  • Limitar estrictamente el uso de los protocolos SMB y RDP. 
  • Realizar auditorías de seguridad. (NIST CSF, 2024) 
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  
  • Tener filtros de correo electrónico y spam. 
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 
  • Realizar copias de seguridad, respaldos o back-ups constantemente. 
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 
  • Revisar continuamente los privilegios de los usuarios. 
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 
  • Habilitar la autenticación multifactor.

Referencias

  1. Abrams, L. (2022, Agosto 23) New 'Donut Leaks' extortion gang linked to recent ransomware attacks. Recuperado el 22 de julio del 2024 en: https://www.bleepingcomputer.com/news/security/new-donut-leaks-extortion-gang-linked-to-recent-ransomware-attacks/ 
  2. Abrams, L. (2022, Noviembre 22) Donut extortion group also targets victims with ransomware. Recuperado el 22 de julio del 2024 en: https://www.bleepingcomputer.com/news/security/donut-extortion-group-also-targets-victims-with-ransomware/ 
  3. VirusTotal. (2023). Información sobre el archivo 9455b7fcf93f0a5a6f9c099fbe938f5a9169f8d3dcc83833aa2c0f903518cfa3. Recuperado el 22 de julio del 2024 en: https://www.virustotal.com/gui/file/9455b7fcf93f0a5a6f9c099fbe938f5a9169f8d3dcc83833aa2c0f903518cfa3/details 
  4. DailyDarkWeb. (2024, julio 22). Group Claims to Bypass ESET Protectión. Recuperado el 22 de julio del 2024 en: https://x.com/DailyDarkWeb/status/1814948239969333308?t=a5XyJtGeY_Hl8Cubvmomag&s=19 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de......

Ransomware Funksec
Publicado hace 2 semanas 26-12-2024

Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.  El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año,......

Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.......

BOLETINES RECIENTES

...
Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025
Leer más
...
Ransomware Funksec
Publicado hace 2 semanas 26-12-2024
Leer más
...
Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024
Leer más