CLOAK Ransomware

Publicado hace 5 meses 05-08-2024

Un grupo de ransomware llamado Cloak, también conocido como “GoodDay” fue detectado desde agosto del 2023, este nuevo grupo se ha concentrado principalmente en atacar sistemas que utilizan Microsoft Windows. [1] [2] 

Cloak utiliza técnicas de doble extorsión y revela parcialmente los nombres de sus víctimas recientes, por otro lado, las victimas que fueron afectadas hace tiempo y no pagaron son revelados completamente para poder ver toda su información. [1] 

A screenshot of a computer with Ice hockey rink in the background Description automatically generated 

Imagen de la información de las victimas publicadas o parcialmente publicadas [1] 

Este ransomware emplea un sistema de ransom doble, los casos son los siguientes: [1] 

  • Caso uno: Cuando una víctima fue vulnerada recientemente al intentar ingresar al botón de “Ver más” pedirá un usuario y contraseña por lo que esta información estará “privada”. 

  • Segundo caso: La víctima fue vulnerada hace tiempo y el pago por parte de esta no se realizó, por lo que es posible utilizar el botón de “ver más” y se desplegara la información de la víctima dando acceso total a sus datos. 

  • Tercer caso: los datos aparecen como “vendidos” por lo que no pueden ser visualizados por los demás, no se sabe cómo se vendieron estos datos, pero se cree que es por algún medio de foros de cibercriminales o es otra manera de marcar que la víctima pagó el rescate. 

 

A screenshot of a phone Description automatically generated 

Imagen de información de una víctima marcada como vendida [1] 

Como es de esperarse, cuando cloak encripta los datos de un sistema deja una nota de rescate la cual contiene información de contacto, así como el hecho de que si no paga sus datos serán vendidos y serán publicados. Así mismo, contiene advertencias de lo malo que esto puede llegar a ser para la empresa y las consecuencias que sufrirían por el hecho de que su información fuera publicada, algunos puntos son: [1] 
 

  • La información personal de empleados o clientes será usada para obtener préstamos o hacer compras en comercios online. 

  • Puede ser demandado por clientes de su compañía por filtrar su información. 

  • Usted perderá su reputación. 

  • Sera candidato a recibir graves multas por parte del gobierno debido a la regulación general de protección de datos. 

 

Estas advertencias es una técnica para incentivar a la víctima a pagar el rescate y meter miedo a las víctimas. [1] [2] 

 

A screenshot of a computer error message Description automatically generated 

Imagen de la nota de rescate [1] 

Si se prosigue con las negociaciones, cloak utiliza un panel de chat único para cada víctima, una técnica que está ganando fuerza por los grupos de ransomware para negociar con sus víctimas. [1] 

El chat consiste en un textbox y un botón parta enviar el mensaje, así como un mensaje en grande que dice “Good day!” del cual se deriva su otro nombre. [1] 

A screenshot of a message Description automatically generated 

Imagen del chat de negociación [1] 

También se puede comunicar con el grupo vía email en caso de que el chat falle, la dirección “MikLYmAklY555[@]cock[.]li” también se ha visto utilizada por otras campañas como lo son Astralocker y Babuk como punto de contacto por lo que se piensa que esta dirección es una dirección centralizada para operadores de ransomware. [1] 

Se cree que Cloak es un sucesor de ARCRYPTER pues comparte multimples similitudes con este como lo son: [1] 

  • Strings en el código que aparecen en ambos ransomwares, estos strings son utilizados para traer librerías cryptograficas en C++ 

  • Los archivos encriptados comparten nomenclatura de la forma “crYptA”, ”crYptB”, “crYptC” hasta “crYptF” 

  • Comparten más similitudes en el código, usan el mismo comando para mantener volúmenes remotos si se apaga el servidor. 

  • Ambas notas de rescate utilizan las mismas advertencias. 

    TAXONOMÍA MITRE ATT&CK

    Tactica 

    Tecnica 

    ID 

    Initial access 

    Replicatión through removable media 

    T1091 

    Execution 

    Command and Scripting interpreter 

    T1059 

    Execution 

    Shared Modules 

    T1129 

    Execution 

    System services: Service execution 

    T1569.002 

    Execution 

    Windows Management Instrumentatión 

    T1047 

    Persistance 

    Boot or Logon Auto Start Execution 

    T1547.001 

    Persistance 

    Create or Modify System Process Windows Service 

    T1543.003 

    Defense evasion 

    Access Token Manipulatión 

    T1134 

    Defense evasion 

    File and Directory Permissions Modificatión 

    T1222 

    Defense evasion 

    File Deletion 

    T1070.004 

    Defense evasion 

    Masquerading 

    T1036 

    Defense evasion 

    Modify Registry 

    T1112 

    Defense evasion 

    Obfuscated Files or Information 

    T1027 

    Defense evasion 

    Indicator Removal from Tools 

    T1027.005 

    Defense evasion 

    Process Injectión 

    T1055 

    Discovery 

    File and directory discovery  

    T1083 

    Discovery 

    Network Share Discovery 

    T1135 

    Discovery 

    Peripheral Device Discovery 

    T1120 

    Discovery 

    Process Discovery 

    T1057 

    Discovery 

    Query Registtry 

    T1012 

    Discovery 

    Software Discovery 

    T1518 

    Discovery 

    Security Software Discovery 

    T1518.001 

    Discovery 

    System informatión Discovery 

    T1082 

    Discovery 

    System Locatión Discovery 

    T1614 

    Discovery 

    System Service Discovery 

    T1007 

    Lateral Movement 

    Replicatión Trough Removable Media 

    T1091 

    Lateral Movement 

    Taint shared Content 

    T1080 

    Collection 

    Archive Collected Data 

    T1560 

    Impact 

    Data encrypted for Impact 

    T1486 

    Impact 

    Inhibit System Recovery 

    T1490 

    Impact 

    Service Stop 

    T1489 

Recomendaciones

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Own Security. (n.d.). Click clock: Analyse des TTPs du ransomware Cloak. Own Security. Recuperado el 31 de Julio de 2024 en: https://www.own.security/en/ressources/blog/click-clock-analyse-des-ttps-du-ransomware-cloak#attandck-matrix 
  2. Montini, H. (2023, Noviembre 3.). Cloak ransomware. SALVAGEDATA. Recuperado el 31 de Julio de 2024 en: https://www.salvagedata.com/cloak-ransomware/ 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de......

Ransomware Funksec
Publicado hace 2 semanas 26-12-2024

Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.  El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año,......

Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.......

BOLETINES RECIENTES

...
Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025
Leer más
...
Ransomware Funksec
Publicado hace 2 semanas 26-12-2024
Leer más
...
Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024
Leer más