Meow Ransomware

El ransomware Meow (también conocido como MeowCorp o MeowLeaks) fue detectado por primera vez en agosto de 2022, y se descubrió rápidamente que es una variante del ya extinto ransomware Conti. Debido a su nombre, que hace referencia al sonido de un gato, este grupo de ransomware se hizo muy conocido entre 2022 y 2023, atacando a organizaciones de todas las industrias países. Se estima que, a inicios de 2023, se generó un descifrador gratuito para Meow, lo que ocasionó la temporal desaparición de la amenaza. Sin embargo, en los últimos meses la actividad maliciosa del grupo ha ido en crecimiento, atacando a organizaciones de todos los tamaños, encriptando sus datos y vendiendo su información a través de su sitio de la Dark Web. Solo en julio, el grupo reclamó los ataques de 8 empresas, demostrando que están en su apogeo, y que la cantidad de ataques van en aumento. [1]

No hay evidencia de que Meow utilice el modelo Ransomware-as-a-Service (RaaS), lo que hace pensar a los expertos en ciberseguridad que este grupo realiza sus actividades por ellos mismos, y que su motivación es individual, sin tratar con terceros. Por otro lado, la información de las víctimas publicadas en su sitio de la Dark Web está a la venta, es decir, no hay un contador que indique que la información será publicada de forma gratuita en el sitio, sino que están esperando a que un comprador interesado realice una oferta. Estas características indican una clara diferencia con el grupo de ransomware tradicional, pues por lo regular los grupos de ransomware utilizan el modelo de Ransomware-as-a-Service, y utilizan el método de doble extorsión, amenazando no solo con dejar los archivos encriptados, sino también con publicar toda la información de forma gratuita en el sitio de la Dark Web en caso de que la víctima no pague la cantidad que el grupo está demandando. [1] [2] 

Figura 1. Medio para comunicarse con el grupo Meow 
 

El grupo de ransomware Meow utiliza dos métodos para obtener acceso inicial a los sistemas de las víctimas. El primero son los ataques de Phishing, enviando correos comprometidos a empleados de la organización objetivo, provocando que estos hagan click en links o que descarguen archivos infectados. El segundo es la explotación de vulnerabilidades, buscando aquellos softwares o sistemas operativos que no estén parcheados con las últimas actualizaciones. [2] 

Una vez dentro de los sistemas de la víctima, Meow utiliza la técnica Living-off-the-Land (LOTL), pues utilizan herramientas de administración de sistema legítimos, para así pasar desapercibidos utilizándolas para propósitos maliciosos. Meow se encarga de buscar aquellos archivos importantes y/o sensibles, como datos financieros, información personal, o de propiedad intelectual, para así exfiltrar esa información y poder extorsionar a las víctimas. Una vez hecho todo el proceso de reconocimiento y exfiltración de datos, el grupo procede con encriptar todos los archivos del sistema. [2] 

A los archivos encriptados se les agrega la extensión “.MEOW”, y son encriptados con el algoritmo ChaCha20, al igual que lo hacía el extinto ransomware Conti V2. Se deja una nota de rescate llamada “readme.txt”, la cual tiene instrucciones para que la víctima se ponga en contacto con el grupo para empezar las negociaciones para poder desencriptar los archivos. [1] 


Figura 2. Nota de rescate de Meow Ransomware. 

Se ha detectado una tendencia del grupo de ransomware Meow, pues en los últimos meses están atacando solamente a pequeñas y medianas empresas, probablemente debido a las medidas de seguridad menos robustas que las PYMes suelen tener, además de no tener implicaciones con atacar organizaciones en industrias críticas, tales como los de salud o energía. [2] 

Taxonomía MITRE ATT&CK 

Táctica	Técnica	ID
Initial Access	Exploit Public-Facing Application	T1190
Initial Access	External Remote Services	T1133
Initial Access	Phishing	T1566
Execution	Shared Modules	T1129
Defense Evasion	Obfuscated Files or Information	T1027
Defense Evasion	Indicator Removal from Tools	T1027.005
Defense Evasion	Masquerading	T1036
Defense Evasion	Virtualization/Sandbox Evasion	T1497
Credential Access	Input Capture	T1056
Discovery	Process Discovery	T1057
Discovery	System Information Discovery	T1082
Discovery	File and Directory Discovery	T1083
Discovery	Virtualization/Sandbox Evasion	T1497
Discovery	Security Software Discovery	T1518.001
Lateral Movement	Taint Shared Content	T1080
Collection	Input Capture	T1056
Command and Control	Application Layer Protocol	T1071
Command and Control	Encrypted Channel	T1573
Impact	Data Encrypted for Impact	T1486

Indicadores de compromiso:

Tipo	Indicador de compromiso
MD5	8f154ca4a8ee50dc448181afbc95cfd7
MD5	4dd2b61e0ccf633e008359ad989de2ed
MD5	3eff7826b6eea73b0206f11d08073a68
MD5	1d70020ddf6f29638b22887947dd5b9c
MD5	033acf3b0f699a39becdc71d3e2dddcc
MD5	0bbb9b0d573a9c6027ca7e0b1f5478bf
Dominio	meowransomware[.]com
Dominio	meowransomware[.]net
Dominio	meowransomware[.]org
IP	185.141.25[.]241
IP	185.141.25[.]242
IP	185.141.25[.]243
IP	185.141.25[.]244

Recomendaciones

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. SOCRadar. (2024, marzo 12). Dark Web Profile: Meow Ransomware. SOCRadar. Recuperado el 23 de julio de 2024 en: https://socradar.io/dark-web-profile-meow-ransomware/ Red Piranha. (2024, julio 22). Threat Intelligence Report July 16 – July 22.
2. Red Piranha. Recuperado el 23 de julio de 2024 en: https://redpiranha.net/news/threat-intelligence-report-july-16-july-22-2024 
3. NIST CFS. (2024, febrero 26). NIST Releases Version 2.0 of Landmark Cybersecurity Framework. NIST. Recuperado el 30 de mayo de 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios