(Actualización) Ransomware Termite
Se ha detectado un nuevo ransomware el cual ya ha afectado 5 victimas en el mes de noviembre.
Termite es un nuevo ransomware que se ha detectado recientemente en noviembre del 2024, En tan solo 2 días se adjudicó 5 víctimas de distintos giros empresariales. Aunque no son muchas víctimas comparado con otras familias de ransomware es un aspecto para tener en cuenta. [1]
Este ransomware opera de manera similar a otros de los que ya se tiene registro, emplean tácticas de doble extorsión exfiltrando la información de la víctima para luego encriptarla, una vez ya encriptada se genera una nota de rescate para que se pague el descifrado de su información y en caso de no pagar se filtraría la información encriptada en su sitio de filtraciones. [1]
Imagen del sitio de filtraciones de Termite [3]
Aunque no se sabe mucho de este grupo de ransomware por el momento debido a su reciente descubrimiento, se sabe que sus actores detrás son de habla inglesa debido a que su sitio de filtraciones usa este lenguaje de manera clara a diferencia de otros ransomwares en el que el inglés no es su lengua materna. También su código parece ser una versión modificada del ransomware Babuk, un ransomware que se presenció por primera vez a finales del 2020 e inicios del 2021. [2]
Las motivaciones del grupo son meramente financieras y al contrario de pensar que están haciendo un mal, tal parece que tienen la filosofía de estar haciendo un pentesting legítimo, ya que en su página de contacto hacen burla ofreciendo su “ayuda” [1]
Imagen de la página de comunicación de termite. [1]
Indicadores de Compromiso:
| IOC | Tipo |
| http://termiteuslbumdge2zmfmfcsrvmvsfe4gvyudc5j6cdnisnhtftvokid[.]onion | URL |
| .CHORTLocker | Extension |
| AcWinRT.ps1 | Filename |
| acwinrt.exe | Filename |
| APP01.ps1 | Filename |
| 764C43128170E2762E2B5B8D5FB89800 | MD5 |
| 31E232F33AC925B25B26989E0D41667503ED8E65 | SHA1 |
| 2EC59B8763ADC00F41E18D05C25B425BD212AE788CC00EDA99E9C0CEC5FC2D1E | SHA256 |
| b7d0e50407ffb1258c1083ea9992052b708297d6114abfe1f79f96c05dad68b6 | file |
| 5af2c87e76f65b40933df5c1576591f60f891cf85ef83288204fc6669b08725b | file |
| 5980e64ece4d934e81649261931ac6ab5da4618a6fa1173997faca1966be54c8 | file |
| b8d8ce11e875c658fb346aca72649f391a789bf79dd7c658c46f5ebOdOc8f9d2 | file |
| 167.172.153.196 | IP address |
| 5.9.129.238 | IP address |
| 5.9.129.235 | IP address |
| 198.211.106.22 | IP address |
Recomendaciones
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- Faithfull, R. (2024. Noviembre 19) The Devil and the Termite: data-leak sites emerge for Chort and Termite extortion groups. Recuperado el 26 de noviembre del 2024 en: https://www.cyjax.com/resources/blog/the-devil-and-the-termite-data-leak-sites-emerge-for-chort-and-termite-extortion-groups/
- BROADCOM. (2024, Noviembre 24) Termite Ransomware. Recuperado el 26 de noviembre del 2024 en: https://www.broadcom.com/support/security-center/protection-bulletin/termite-ransomware
- RANSOMLOOK. (S.F.) Termite. Recuperado el 26 de noviembre del 2024 en: https://www.ransomlook.io/group/termite
