Ransomware Brain Cipher
Un nuevo grupo de ransomware, que se denomina a sí mismo como Brain cipher, fue detectado a principios de junio de 2024. Desde su aparición, lanzo ataques contra organizaciones a nivel mundial, pero no ganó notoriedad hasta mediados del mismo mes. El 20 de junio del mismo año, atacaron al gobierno de indonesia, encriptando sus servidores e interrumpiendo a más de 200 agencias gubernamentales.[3]
El 4 de diciembre de 2024, Brain Cipher publica como una de sus víctimas a la empresa Deloitte, indicando que tienen 1TB de información sensible.
Este grupo se caracteriza por afectar empresas de diferentes sectores como gobierno, retail, financiero, transporte, tecnología, etc.
Brain cipher utiliza la versión de LockBit 3.0 (Black) builder para llevar a cabo su cifrado, se menciona que el 79% de su código pertenece a LockBit y el porcentaje restante a DarkSide y BlackMetter. Esta no ha sufrido muchas modificaciones con respecto a la versión original y emplea el mismo tipo de encriptación, que consiste en usar el cifrado Salsa20 para los archivos y el método RSA-1024 para encriptar la llave de Salsa20. Adicionalmente, sigue utilizando la misma extensión para los archivos cifrados que Lockbit 3.0, siguiendo la nomenclatura de cambiar los nombres a siete caracteres alfanuméricos, seguida de una extensión de archivo de nueve caracteres alfanuméricos.[2]
Imagen de los archivos encriptados con Brian Cipher.[3]
El ransomware también crea notas de rescate, como es común en todas las operaciones de este tipo. Estas notas siguen un formato de caracteres alfanuméricos únicamente para el nombre, de la siguiente manera: <9 Caracteres alfanuméricos>.README.txt.[3]
Imagen de la nota de rescate [3]
Como es habitual, existen variaciones en la nota de rescate, como la siguiente, que no sigue la nomenclatura de los nueve caracteres alfanuméricos. En su lugar se llama ´How to restore your files.txt´.[3]
Variante de la nota de rescate [3]
Para solicitar el rescate, se otorga un ID de cifrado único a cada víctima, el cual debe ingresarse en el sitio TOR proporcionado en la nota de rescate. La página de comunicación es simple y consiste en un chat donde la víctima y el grupo de ransomware se comunican negociar.[3]
Imagen de sitio de negociación [3]
Tiempo después, se registró un nuevo sitio de filtración de datos para emplear tácticas de doble extorsión, exigiendo un rescate a cambio de no filtrar la información de la empresa afectada. [3]
Imagen del sitio de filtraciones [1]
El rescate que exige Brain cipher oscila entre los 20.000 dólares hasta los 8 millones de dólares. Actualmente, no existe un desencriptador gratuito para recuperar los archivos en caso de ser atacado por este grupo de ransomware.[3]
Indicadores de compromiso [1]
| Tipo | IOC |
| SHA-256 | d2553c2bb7f3f4ab426faf15e1117d03120650382f7f68133a06e26af4678446 |
| SHA-256 | 910be5f0c4f5b002e5673422a6576a00768a626145207a3497237f01e0a32a9f |
| SHA-256 | eb82946fa0de261e92f8f60aa878c9fef9ebb34fdababa66995403b110118b12 |
| SHA-256 | 0ed5729655b3f09c29878e1cc10de55e0cbfae7ac344f574d471827c256cf086 |
| SHA-256 | 6e07da23603fbe5b26755df5b8fec19cadf1f7001b1558ea4f12e20271263417 |
| SHA-1 | 637ad80036d35ce1511a971141289febd4da4b59 |
| MD5 | 1baa019d5241f7cc2b087634db8b276f |
| MD5 | 29fec48669e6253cbd659797de414c89 |
| MD5 | 34dabc34c4680334facf6d115f32e436 |
| MD5 | 53769f09f92826435c3a22b5c9931378 |
| MD5 | 68ffeaf9a2b5a739e60d0119addf7b5b |
| MD5 | 6ab773a5be4d7933c2ad05923770f6ab |
| MD5 | 8286ab5ba481d985c5cb6596b3f95d7c |
| MD5 | 8f26451d4812f5f5b2d331430f75cb33 |
| MD5 | 9b9273713ac93d3220d3fdc52b7e9e9c |
| MD5 | bb50651fcb6ea1a57ae2f21f31bfc9be |
| MD5 | c21114e07083e1ab4426c1d7e0d197e0 |
| MD5 | d4045b5d1638ba20b609b208621f20c9 |
| MD5 | d4c6d52c7d5a042c3aae20f3828224fe |
| MD5 | ef68df64435008091633c10001efa3f7 |
| MD5 | f5eee8823916da87c24c85e7ecae34cd |
| MD5 | f93a207755ac1d4f09ebb21349f088c4 |
| URL | http://mybmtbgd7aprdnw2ekxht5qap5daam2wch25coqerrq2zdioanob34ad[.]onion/ |
| URL | http://vkvsgl7lhipjirmz6j5ubp3w3bwvxgcdbpi3fsbqngfynetqtw4w5hyd[.]onion/ |
| [email protected] | |
| Tox | BEBA1CBBD4C1D6DFCB788024174FDE6AE6137C7835FBF997CB178DB5697AE574FB6055381095 |
| BTC | bc1qqjzd8jrcvz5tl895uvgy6ph83g7sh06uzu6vn8 |
Recomendaciones
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- SOCRADAR IO (2024, Julio 4) Dark Web Profile: Brain Cipher. Recuperado el 23 de Julio del 2024 en: https://socradar.io/dark-web-profile-brain-cipher/
- WATCH GUARD (2024, Junio) Ransomware - Brain Cipher. Recuperado el 23 de Julio del 2024 en: https://www.watchguard.com/wgrd-security-hub/ransomware-tracker/brain-cipher
- Abrams, L. (2024, Junio 29) Meet Brain Cipher — The new ransomware behind Indonesia's data center attack. Recuperado el 23 de Julio del 2024 en: https://www.bleepingcomputer.com/news/security/meet-brain-cipher-the-new-ransomware-behind-indonesia-data-center-attack/
