Nitrogen Ransomware
Nuevos grupos de ransomware surgen día con día y en el mes de septiembre no fue la excepción, varios grupos emergieron desde el submundo criminal, entre dichos grupos se encuentra uno llamado Nitrogen Ransomware.
Desde su identificación el 30 de septiembre del 2024 al 4 de octubre se han identificado empresas comprometidas mayormente en Estados Unidos, pero también se encuentran empresas de Canadá, India y Egipto. [1]
El hecho de que este nuevo grupo de ransomware haya registrado tantos ataques en muy poco tiempo, da prueba de su peligrosidad y la capacidad que tiene de propagarse. Como es tendencia con los ransomwares actuales, utiliza tácticas de doble extorsión, usando su página de filtraciones para llevar a cabo la extorsión de filtrar la información de la víctima en caso de no pagar el rescate que se pide.
Imagen del sitio de filtraciones [1]
Al parecer tienen distintas clasificaciones para las víctimas listadas en su página Web, como se puede observar en la imagen anterior, uno de los estados es la venta de la información, otro es el de “Announcement”, en el cual hace referencia a víctimas que estén a tiempo de pagar el rescate que es demandado. [1]
Anteriormente, existía un malware con el mismo nombre, que se utilizaba para desplegar spywares, otros malwares como cobalt strike, silver y, por último, BlackCat ransomware, lo cual hace sospechar que sea una variante de BlackCat, dado que ya había tenido vínculos con este grupo.[2]
Se cuenta con algunos indicadores de compromiso y sus tácticas y técnicas que emplea para llevar a cabo su operación. Así mismo, recientemente una importante empresa de videojuegos llamada “Red Barrels” cayó víctima de este ransomware, por lo que es predecible que se ponga atención a esta amenaza y salga más información a la luz. [3]
Indicadores de Compromiso:
|
IoC |
Tipo |
|
14b06796f288bc6599e458fb23a944ab0c843e9868058f02a91d4606533505ed |
SHA-256 |
|
24385d352b83222dc5ab92fa57b6649854ecd74de378e279d8ac20a0b3b16009 |
SHA-256 |
|
26d5748ffe6bd95e3fee6ce184d388a1a681006dc23a0f08d53c083c593c193b |
SHA-256 |
|
4ef1009923fc12c2a3127c929e0aa4515c9f4d068737389afb3464c28ccf5925 |
SHA-256 |
|
5dc8b08c7e1b11abf2b6b311cd7e411db16a7c3827879c6f93bd0dac7a71d321 |
SHA-256 |
|
81918ea5fa5529f04a00bafc7e3fb54978a0b7790cfc7a5dad9fa9640666560a |
SHA-256 |
|
9514035fea8000a664799e369ae6d3af6abfe8e5cda23cdafbede83051692e63 |
SHA-256 |
|
c4844b05e3a936b130adedb854d3c04d49ee54edb43e9d36f8c4ae94ccb78400 |
SHA-256 |
TAXONOMÍA MITRE ATT&CK :
|
ID |
Tacticas |
Descripción |
|
T1113 |
Collection |
Screen Capture |
|
T1027.013 |
Defense Evasion |
Obfuscated Files or Information: Encrypted/Encoded file |
|
T1055 |
Defense evasion |
Process Injection |
|
T1055.001 |
Defense evasion |
Process Injection: Dynamic link Library Injection |
|
T1055.004 |
Defense evasion |
Process Injection: Asynchronus Procedure Call |
|
T1106 |
Defense Evasion |
Direct volume access |
|
T1134 |
Defense evasion |
Access token manipulation |
|
T1140 |
Defense Evasion |
Deobfuscate/decode files or information |
|
T1497.001 |
Defense Evasion |
Virtualization/Sandbox Evasion |
|
T1497.003 |
Defense Evasion |
Virtualization/Sandbox Evasion: Time based evasion |
|
T1564.001 |
Defense evasion |
Hide Artifacts: Hidden Files and Directories |
|
T1574.002 |
Defense evasion |
Hide Artifacts: Hidden Users, Sub-technique |
|
T1620 |
Defense evasion |
Reflective Code Loading |
|
T1622 |
Defense evasion |
Debugger evasion |
|
T1012 |
Discovery |
Query registry |
|
T1033 |
Discovery |
System Owner/User discovery |
|
T1049 |
Discovery |
System network Connections |
|
T1057 |
Discovery |
Process Discovery |
|
T1082 |
Discovery |
System Information Discovery |
|
T1083 |
Discovery |
File and Directory Discovery |
|
T1120 |
Discovery |
Peripheral discovery |
|
T1614 |
Discovery |
System Location Discovery |
|
T1124 |
Discovery |
System Time Discovery |
|
T1059.006 |
Execution |
Command and Scripting interpreter: Python |
|
T1489 |
Impact |
Service Stop |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- RANSOMLOOK (S.F.) Nitrogen. Recuperado el 9 de octubre del 2024 en: https://www.ransomlook.io/group/nitrogen
- Toulas, B. (2023, Julio 26) New Nitrogen malware pushed via Google Ads for ransomware attacks. Recuperado el 9 de octubre del 2024 en: https://www.bleepingcomputer.com/news/security/new-nitrogen-malware-pushed-via-google-ads-for-ransomware-attacks/#:~:text=A%20new%20%27Nitrogen%27%20initial%20access%20malware%20campaign%20uses,unsuspecting%20users%20with%20Cobalt%20Strike%20and%20ransomware%20payloads.
- CYBERMATERIAL (2024, Octubre 3) Nitrogen Ransomware Breaches Red Barrels. Recuperado el 9 de octubre del 2024 en: https://cybermaterial.com/nitrogen-ransomware-breaches-red-barrels/
