Nueva variante de KillDisk ataca nuevamente a las organizaciones financieras en Latinoamérica

En enero, vimos una variante del malware disk-wiping KillDisk que borraba discos y que atacó a varias instituciones financieras en América Latina. Uno de estos ataques estaba relacionado con un robo frustrado en el sistema de la organización conectado a la red de la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT).

En mayo pasado, descubrimos en la misma región, un malware que borra el master boot record (MBR). Una de las organizaciones afectadas fue un banco cuyos sistemas quedaron inoperativos durante varios días, lo que interrumpió las operaciones durante casi una semana y limitó los servicios a los clientes. Nuestro análisis indica que el ataque se usó solo como una distracción: el objetivo final era acceder a los sistemas conectados a la red SWIFT local del banco.

El signo revelador era un problema relacionado con el sector de arranque de la máquina afectada. Basado en el mensaje de error que apareció después de nuestras pruebas, pudimos asegurarnos de que esta era otra variante, posiblemente nueva, de KillDisk. Este tipo de notificación es común en los sistemas afectados por las amenazas MBR-wiping y no en otros tipos de malware como el ransomware, de quien se creía en un inicio que era el culpable. Los productos de Trend Micro detectan esta amenaza como TROJ_KILLMBR.EE y TROJ_KILLDISK.IUE.

La naturaleza de este payload hace que sea difícil determinar si el ataque fue motivado por una campaña oportunista de ciberdelincuencia o como parte de un ataque coordinado como los ataques anteriores observados en enero pasado.

[image url=”/wp-content/uploads/2018/06/blog.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”973″ height=”533″]

Figura 1. Pantalla de error después de sobrescribir el sector de arranque

Análisis inicial

Pudimos obtener una muestra que puede ser el malware involucrado en los ataques de mayo de 2018. Lo ejecutamos, y afectó el sector de arranque como se esperaba (ver Figura 1). Un análisis inicial del archivo reveló que se creó utilizando Nullsoft Scriptable Install System (NSIS), una aplicación de código abierto utilizada para crear programas de instalación. El actor detrás de esta amenaza usó la aplicación y la llamó intencionalmente “MBR Killer”. Aunque la muestra estaba protegida por VMProtect (un protector utilizado para evadir análñisis de sandbox y contra la ingeniería reversa), aún así pudimos verificar que tiene una rutina que borra el primer sector del disco físico de la máquina, como se muestra en la Figura 2.

No hemos encontrado ninguna otra rutina nueva o notable en la muestra que tenemos. No hay una comunicación o infraestructura evidente de comando y control (C&C), o rutinas tipo ransomware codificadas en la muestra. No hay indicios de comportamiento relacionado con la red en este malware.

[image url=”/wp-content/uploads/2018/06/blog-1.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”1742″ height=”166″]

Figura 2. El malware llamado “MBR Killer” (resaltado, arriba) y un fragmento de código que muestra su rutina de borrado del primer sector del disco (abajo)

[image url=”/wp-content/uploads/2018/06/blog-2-2.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”1390″ height=”351″]

Figura 3. Rutina del malware MBR-wiping

Cómo el malware borra el disco de la máquina afectada

El malware fue diseñado para borrar todos los discos duros físicos que pueda encontrar en el sistema infectado. Aquí hay un resumen de cómo realiza su rutina de borrado de MBR:

  1. Utiliza la interfaz de programación de aplicaciones (API) CreateFileA to \\.\PHYSICALDRIVE0 para recuperar el control del disco duro.
  2. Sobrescribe el primer sector del disco (512 bytes) con “0x00”. El primer sector es el MBR del disco.
  3. Intentará realizar las rutinas anteriores (pasos 1-2) en \\.\PHYSICALDRIVE1, \\.\PHYSICALDRIVE2, \\.\PHYSICALDRIVE3, y así sucesivamente, siempre que haya un disco duro disponible.
  4. A continuación, obligará a la máquina a apagarse a través de la API ExitWindows.

Al llamar a las API, el ejecutable principal liberará el archivo del componente %User Temp%/ns{5 random characters}.tmp/System.dll. El archivo ejecutable principal cargará el archivo de la biblioteca de enlace dinámico (DLL), que tiene la función de exportar “Call” utilizada para llamar a las API.

Mitigación y mejores prácticas

Las capacidades destructivas de este malware, que pueden inutilizar la máquina afectada, resalta la importancia de una protección robusta: teniendo la seguridad adecuada para cubrir cada capa de la infraestructura de TI de la organización, desde gateways y endpoints hasta redes y servidores. Estas son algunas de las mejores prácticas que las organizaciones pueden adoptar para defenderse contra este tipo de amenaza:

  • Controle proactivamente las instalaciones en línea. Implemente mecanismos de seguridad adicionales para dificultar aún más a los atacantes. Los firewalls y los sistemas de detección y prevención de intrusos ayudan a evitar los ataques basados ​​en la red, mientras que el control de aplicaciones y el control del comportamiento evitan la ejecución de archivos sospechosos o no deseados o rutinas maliciosas. La categorización de URL también ayuda a evitar el acceso a sitios de alojamiento de malware.
  • Fomentar una cultura de ciberseguridad. Muchas amenazas se basan en la ingeniería social para tener éxito. La conciencia de los signos reveladores de los correos electrónicos de spam y phishing, por ejemplo, ayuda significativamente a frustrar las amenazas basadas en el correo electrónico.
  • Crear una estrategia de respuesta a incidentes proactiva. Complemente las medidas defensivas con estrategias de respuesta a incidentes que brinden inteligencia y conocimientos sobre amenazas procesables para ayudar a los equipos de seguridad de la información y la TI a buscar, detectar, analizar, correlacionar y responder a las amenazas activamente.

Soluciones Trend Micro

La seguridad de Trend Micro™ XGen™ brinda una combinación intergeneracional de técnicas de defensa frente a una amplia gama de amenazas para centros de datos, entornos de nube, redes y endpoints. Cuenta con aprendizaje automático de alta fidelidad para proteger los datos y las aplicaciones de gateway y endpoints, y protege las cargas de trabajo físicas, virtuales y en la nube. Con capacidades como filtrado web / URL, análisis de comportamiento y sandboxing personalizado, XGen protege contra las amenazas de hoy en día, diseñadas para evitar los controles tradicionales y explotar vulnerabilidades conocidas, desconocidas o no divulgadas. Inteligente, optimizado y conectado, XGen potencia el conjunto de soluciones de seguridad de Trend Micro: Hybrid Cloud Security, User Protection y Network Defense.

Indicadores de Compromiso (IoC):

Hashes relacionados (SHA-256):

a3f2c60aa5af9d903a31ec3c1d02eeeb895c02fcf3094a049a3bdf3aa3d714c8 –

TROJ_KILLMBR.EE

1a09b182c63207aa6988b064ec0ee811c173724c33cf6dfe36437427a5c23446 –

TROJ_KILLDISK.IUE

Con sugerencias adicionales y análisis de Byron Galera y Martin Co


Posted

in

,

by

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.