RansomEXX ransomware

Publicado hace 3 meses 20-09-2024

Un ransomware llamado RansomEXX lleva tiempo en el mercado; se detectó por primera vez en mayo de 2020. Desde entonces, ha realizado un total de 77 ataques a nivel mundial hasta la fecha de septiembre de 2024. [1][2]

Dicho ransomware no es nuevo, sino más bien una variante de otro llamado Defray777, el cual debutó en 2018 y atacaba principalmente servidores VMware ESXi. RansomEXX se ha hecho un nombre por sí mismo debido a los ataques que ha llevado a cabo. Ha realizado con éxito ataques y filtrado información de empresas de alto nivel, así como de organizaciones del sector de la salud, agencias gubernamentales y del sector manufacturero, entre otros. [1][2]

Su método de propagación es principalmente por medio de phishing y spear-phishing, seguido de vulnerabilidades de software, así como de redes y puertos expuestos, como el puerto RDP (3389). Este ransomware recibió su nombre actual debido a la extensión de los archivos que encripta: “ransom.exx”. Es obra de un grupo llamado Gold Dupont, que ha estado activo desde 2018, y que también es responsable de Defray777. [1][2]

RansomEXX encripta los archivos de las víctimas utilizando un cifrado AES en modo ECB. Luego, la clave generada durante dicha encriptación es encriptada con un cifrado RSA-4096. Además, despliega diferentes herramientas maliciosas como PyXie RAT, Trickbot y Vatet Loader. Tiene versiones tanto para Windows como para Linux. [1][2]

Este ransomware tiene su propio sitio de filtraciones, desde donde hacen pública la información de sus víctimas, y también funciona como un ransomware como servicio (RaaS). [1][2]

Imagen del sitio de filtraciones de RansomEXX [5]

Una peculiaridad de este ransomware es que puede modificar la extensión de los archivos encriptados en función del nombre de su víctima, además de modificar su nota de rescate de la misma forma. Esto indica una preparación metódica y efectiva antes de llevar a cabo sus ataques. Un ejemplo del cambio de extensión fue en el ataque al Departamento de Transporte de Texas, en el cual los archivos encriptados se veían de la siguiente manera: “1.jpg.txd0t”, siendo la extensión “txd0t” un acrónimo del nombre del departamento afectado. [4]


Nota de rescate de RansomEXX ajustada para el departamento de transporte de Texas

Recientemente, este ransomware añadió a su sitio de filtraciones a una empresa mexicana llamada Retemex, que ofrece internet móvil en la República Mexicana. Dicho ataque fue llevado a cabo el pasado 14 de septiembre de 2024, filtrando información de 24,883 clientes, así como sus contraseñas en formato de texto plano. [3]
 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Referencias

  1. TREND MICRO. (2022, mayo 17) RansomEXX. Recuperado el 20 de Septiembre del 2024 en: https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-ransomexx
  2. Sentinel One (S.F) RansomEXX Ransomware: In-Depth Analysis, Detection, and Mitigation. Recuperado el 20 de septiembre del 2024 en: https://www.sentinelone.com/anthology/ransomexx/
  3. Ransomware.Live (2024, Septiembre 20) Ransomware Group:  Ransomexx. Recuperado el 20 de septiembre del 2024 en: https://www.ransomware.live/group/ransomexx
  4. Meskauskas, T. (2022, marzo 9) ¿Cómo desinstalar el ransomware RansomExx? Recuperado el 20 de septiembre del 2024 en: https://www.pcrisk.es/guias-de-desinfeccion/10315-ransomexx-ransomware
  5. Ransomlook.io (S.F.) Ransomexx. Recuperado el 20 de septiembre del 2024 en: https://www.ransomlook.io/group/ransomexx

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de......

Ransomware Funksec
Publicado hace 2 semanas 26-12-2024

Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.  El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año,......

Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.......

BOLETINES RECIENTES

...
Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025
Leer más
...
Ransomware Funksec
Publicado hace 2 semanas 26-12-2024
Leer más
...
Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024
Leer más