Red Ransomware Group, un nuevo actor de amenaza
Recientemente Beacon Lab ha realizado una investigación de un incidente, en el que se ha descubierto un grupo de ransomware nuevo, denominado Red Ransomware Group de acuerdo a su blog público, o también Red CryptoApp (por la extensión de cifrado). Al igual que la mayoría de los grupos de ransomware actuales, utilizan una estrategia de doble extorsión: cifrado de archivos y exfiltración de datos y su respectiva publicación en un blog público (“Hall of Shame”). En este artículo expondremos las tácticas, técnicas y procedimientos (TTP) de este nuevo grupo, así como algunas características de su operación.
Operación de Red Ransomware Group:
Al momento de iniciar la investigación, en el blog público del grupo (“Hall of Shame”) se encontraban solamente alrededor de una decena de víctimas listadas. Aparentemente, las primeras víctimas fueron publicadas en el portal el 05 de marzo del 2024, empezando los ataques de este grupo, como mínimo, a mediados de febrero 2024.
Al igual que la mayoría de los grupos de ransomware, este grupo deja una nota de rescate en formato txt, con el nombre HOW_TO_RESTORE_FILES.REDCryptoApp.txt en todas las carpetas cifradas. La nota contiene una referencia al portal de negociación privado, y un ID único por cada cliente.
El portal de negociación consiste en un chat con el equipo de soporte del grupo, además de los detalles del pago (dirección de billetera y monto exigido, así como algunos detalles del ataque). El dato del tamaño de datos exfiltrados es, muy probablemente, falso. De acuerdo con otras notas analizadas, la dirección de la billetera, aparentemente, es la misma para varias víctimas. Hasta el momento no se observa que haya habido pagos en la billetera.
Un análisis del blog público de este grupo permite inferir que se trata de un grupo nuevo, que empezó sus operaciones recientemente. Al momento del análisis del blog, se listaban 12 víctimas, todas con la misma fecha. En los últimos días se ha añadido apenas una nueva víctima. Si bien, actualmente los links de descarga de los archivos publicados apuntan a una dirección diferente al blog público y se encuentran rotos, al momento de analizarlo, los enlaces eran funcionales, y se pudo comprobar que los mismos permitían descargar efectivamente archivos legítimos exfiltrados de las víctimas.
Es llamativo que, en algunos casos, la descripción de algunas víctimas no corresponde realmente a la empresa víctima, sino a una descripción de otra empresa de nombre similar, demostrando un cierto descuido a la hora de listar la empresa; además, demuestra un proceso semi-manual de búsqueda en Google, propenso al error.
Cadena de infección y técnicas:
Vector de ataque inicial:
En el incidente investigado, se comprobó que Red Ransomware Group aprovecha la vulnerabilidad CVE-2023-47246 del software SysAid que había sido reportada públicamente a inicios de noviembre de 2023. Se trata de una vulnerabilidad de Path Traversal que deriva en la ejecución de código que afecta a SysAid, en sus versiones on-premise anteriores a 23.3.36. Mediante dicha vulnerabilidad, el actor ha podido subir webshells al directorio raíz de SysAid y tomar el control del servidor.
Las webshell se encontraron en la ruta “managerap”, dentro del directorio raíz del servidor Tomcat de SysAid, buscando camuflarse con la carpeta manager que forma parte de la estructura real del aplicativo.
Se encontraron varias webshells, entre ellas, Jsp File Browser, la cual, entre otras cosas, permite explorar el sistema de archivos, leer, crear y modificar archivos, ejecutar comandos, subir artefactos, etc. Esta webshell es utilizada por el grupo para subir, ejecutar e instalar otros software de control remoto (RMM) en el servidor.
No se puede descartar que el grupo utilice accesos previamente adquiridos a otros grupos criminales que previamente hayan comprometido y ganado acceso a servidores, y que por lo general lo ofrecen en mercados underground (“Access brokers”), ya que en el caso particular investigado, ya existían algunas webshells previamente inyectadas, todo como consecuencia de la explotación de la vulnerabilidad SysAid mencionada.
Comando y control:
Se ha observado que el grupo utiliza la herramienta JWrapper, para desplegar SimpleHelp Remote Access, un software de control remoto pensado para brindar Soporte remoto, en modelo cliente-servidor, self-hosted. El cliente SimpleHelp se conecta a un servidor bajo el control del atacante. En el caso analizado, el servidor del atacante se encontraba en http://64.31.63.240/access, alojado en LimeStone Neworks (Francia).
También hemos detectado otras herramientas de control remoto, que habían sido instalado mediante la herramienta NSSM (Non-sucking Service Manager), una herramienta legítima para la gestión de servicios en sistemas operativos Windows. El ejecutable de dicho programa se encontraba en C:windowssystem32, enmascarado bajo el nombre HealthReport.exe. Con NSSM se instaló y ejecutó AnyDesk, otro programa muy popular de control remoto y un DLL malicioso c:windowssystem32users.dll (Hash SHA256: e37b95bb9bee64cc0313eaad8a0269493745f89413bd78b58bb3b479b36084ae).
Este DLL queda a la espera de comandos, que le son enviados desde https://cl1p.net/101012. Cl1p.net es una herramienta online gratuita que actúa como portapapeles online en la que el atacante escribe un comando que luego es leído desde el servidor comprometido, pudiendo así enviar comandos al servidor, evadiendo las herramientas de seguridad, que no son capaces de inspeccionar el comando que es enviado. También hemos encontrado que se utilizó ScreenConnect, con un ID de conexión b5be755f21077092
No queda del todo claro si todas estas herramientas son instaladas por Red Ransomware Group, o si por el contrario alguna de ellas fue facilitada por un Access Broker que previamente ya había ganado control sobre el servidor SysAid comprometido. Sí se pudo comprobar el uso de AnyDesk y ScreenConnect como mecanismo de C&C secundario por parte de este grupo.
Todas las herramientas de comando y control habían sido instaladas como servicios de sistema y configuradas en el arranque, de manera a poder tener mayor persistencia.
Escaneo interno:
El grupo utiliza SoftPerfect Network Scanner (netscan.exe) para escanear otros equipos de la red. Se trata de un scanner portable que permite descubrir hosts, escanear puertos, descubrir carpetas compartidas, y extraer detalles del equipo mediante WMI, SNMP, HTTP, SSH y PowerShell.
También comprobamos el uso de Nmap y Advaced IP Scanner, sin embargo es muy probable que las mismas fueron instaladas y puestas a disposición por parte de otros Access Brokers.
Movimiento lateral:
Para moverse lateralmente a otros equipos de la red, el Red Ransomware Group utiliza mayormanete Pass the Hash. Para el volcado de hashes el grupo utiliza la herramienta Procdump, una herramienta de línea de comandos desarrollada por Microsoft, parte de SysInternals, que se utiliza para crear volcados de memoria (dumps) de procesos en sistemas Windows. En este caso, el actor obtiene los hashes a partir del volcado del proceso lsass.exe.
C:Programdatap64.exe -accepteula -ma lsass.exe C:Programdatao.dmp
El volcado le permite obtener los hashes de administrador de dominio, los cuales luego serán utilizados para conectarse a diversos equipos a desplegar artefactos, incluido el encrypter.
Mediante la herramienta SMBExec el atacante habilita Restricted Admin Mode, lo cual le permite realizar movimientos laterales de Pass-the-Hash mediante RDP:
Comando ofuscado:
%COMSPEC% /Q /c echo powershell -exec bypass -enc TgBlAHcALQBJAHQAZQBtAFAAcgBvAHAAZQByAHQAeQAgAC0AUABhAHQAaAAgACIASABLAEwATQA6AFwAUwB5AHMAdABlAG0AXABDAHUAcgByAGUAbgB0AEMAbwBuAHQAcgBvAGwAUwBlAHQAXABDAG8AbgB0AHIAbwBsAFwATABzAGEAIgAgAC0ATgBhAG0AZQAgACIARABpAHMAYQBiAGwAZQBSAGUAcwB0AHIAaQBjAHQAZQBkAEEAZABtAGkAbgAiACAALQBWAGEAbAB1AGUAIAAiADAAIgAgAC0AUAByAG8AcABlAHIAdAB5AFQAeQBwAGUAIABEAFcATwBSAEQAIAAtAEYAbwByAGMAZQA= ^> 7.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
Comando desofuscado:
%COMSPEC% /Q /c echo powershell -exec bypass -enc New-ItemProperty -Path "HKLM:SystemCurrentControlSetControlLsa" -Name "DisableRestrictedAdmin" -Value "0" -PropertyType DWORD -Force > 7.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
Exfiltración:
Red Ransomware Group utiliza la conocida herramienta Rclone, una herramienta en línea de comando para sincronizar archivos y directorios desde una computadora con los proveedores más populares de alojamiento de contenidos en la nube. El actor envía los datos exfiltrados a Put.io, un servicio de alojamiento en la nube muy conocido y que en el pasado ya ha sido utilizado por otros grupos. En el caso investigado, la exfiltración se realizó solamente en uno de los servidores afectados.
Persistencia:
Para asegurar una persistencia, el actor crea varios usuarios, tanto locales como de workgroup, los cuales fueron añadidos a los grupos de administrador local de los equipos afectados, mediante comandos nativos de Windows (quser y net):
Evasión:
Hemos observado que el grupo utiliza las conocidas herramientas antirootkit GMER y AVAST aswArPot, enmascarados bajo el nombre un63td1n.exe y aswQP_Avar.sys respectivamente. Para interrumpir los procesos correspondientes al Antivirus / EDR, evadiendo así cualquier protección o bloqueo que éstos puedan causar.
Impacto:
Para el despliegue del ransomware, el atacante utiliza PDQ Deploy, una herramienta que se utiliza para el despliegue masivo de scripts en múltiples dispositivos.
Con esa herramienta el atacante construye un XML que se despliega y ejecuta diversas acciones en todos los servidores en los que ha ganado acceso previamente, entre ellas:
- Eliminar los registros de los EDR más conocidos, evitando su inicio
- Asegurar el autoarranque de AnyDesk y Screenconnect
- Creación de un servicio ekrnEpfwFF que asegure el inicio de AAA.ps1, previamente creado, con el reinicio del sistema operativo:
- El script AAA.ps1, el cual se encuentra ofuscado, copia el binario correspondiente al encrypter en la ruta C:programdata, con el nombre exe, crea y ejecuta unos scripts de powershell (S01.ps1 y S02.ps2) encargados de la ejecución del encrypter y luego elimina algunos rastros, incluido estos scripts.
- Creación de usuario Administrador2 (contraseña P@ssw0rd1234!), en modo Autologon
- Conexión SMB a servidor de destino a ser cifrado, con usuario test del Workgroup (P@ssw0rd123)
- Copia del script AAA.ps1 en C:programdata de cada equipo a ser cifrado
El encrypter es copiado con el nombre AAQQ.exe. El ejecutable está empaquetado con UPX y está escrito en Go. Su hash (SHA-256) es: ba84c820016298ad5e15a5f3eb9ab608491963ff333ae0e1267ac48ac909606e
Otros hechos interesantes:
Para ejecutar alguna de las acciones de post-explotación, luego de conectarse mediante SimpleHelp, el grupo utiliza Win-PTY (winpty-agent.exe, https://github.com/rprichard/winpty) , una herramienta que provee una interfaz similar a la pseudo-terminal de Unix para comunicarse con programas de consola de Windows y enviar comandos CMD de manera más práctica.
Ofuscación de Scripts de Powershell:
Todos los scripts de Powershell de este atacante, están ofuscados con un algoritmo simple de reemplazo de caracteres.
Script S01.ps1:
Si bien, el atacante elimina dicho archivo, fue posible obtenerlo a partir del script AAA.ps1 que lo genera. Es el script encargado de la eliminación de copias de seguridad y de la eliminación de rastros, principalmente. Consta de 7 secciones, que ejecutan una serie de acciones, tales como:
- Desactiva Windows Defender y todos sus módulos (envío automático de muestras, protección en tiempo real, prevención de intrusión, etc)
- Establece permisos de control total (Everyone:F) en varias ubicaciones, incluyendo unidades de disco, carpetas en la raíz de C: (excluyendo aquellas relativas al sistema), carpetas de escritorio, descargas y documentos de cada usuario.
- Detiene y deshabilita una serie de servicios y procesos enumerados, que coincidan con una lista de palabras (Veeam, Barracuda, Trend, Cylance, sql, etc).
- Mediante vssadmin.exe elimina todas las instantáneas de sombra (shadow copies) en el sistema. (a excepción de la partición C:), y para ajustar el tamaño máximo de almacenamiento de sombra en todas las unidades disponibles (lo reduce a 401MB). Luego vuelve a asegurar que los mismos hayan sido eliminados, mediante los comandos wmic y Get-WmiObject
- Con bcdedit desactiva la recuperación del sistema y establecer la política de estado de arranque para ignorar todos los fallos.
- Con los comandos Get-EventLog y Clear-EventLog borra los registros de eventos del sistema.
Script S02.ps1:
Es el script encargado del ejecutar el encrypter propiamente. Para ello, define una clave que parece ser un hash MD5. No pudimos determinar si se trata de una clave única para cada víctima o si se trata de una clave universal.
Luego se ejecuta el encryptor en un loop para cada unidad de disco de la siguiente manera:
C:ProgramdataAAQQ.exe <clave> <unidad_disco>
Se puede ver que, en el disco C:, el atacante evita cifrar cualquier carpeta que contenga “Windows”, “Program”, “users”, “driver”, “boot”, probablemente para evitar interferir o corromper el sistema operativo.
Conclusiones:
Este nuevo grupo, si bien, todavía cuenta con un número limitado de víctimas, muy probablemente seguirá aumentando sus operaciones y vícitmas. Considerando que, de acuerdo a Shodan, actualmente hay más de 500 servidores SYSAid expuestos a internet, y que, además, el grupo podría ir expandiendo su arsenal de exploits de acceso inicial, es posible que las actividades de este grupo empiecen a cobrarse un mayor número de víctimas.
Al igual que otros grupos actuales, este actor aprovecha muchas herramientas legítimas de administración de IT (Living-off-the-Land, LotL) para reducir las probabilidades de ser detectado, buscando pasar desapercibido. Además, demuestra un alto grado de automatización de sus acciones y tareas, reduciendo el tiempo de reacción de la víctima, entre el compromiso inicial y el cifrado de todos los sistemas.
Para minimizar las probabilidades de ser vícitma de este tipo de grupos, desde Beaconlab recomendamos:
- Mantener siempre el software actualizado, con los últimos parches de seguridad, especialmente los aplicativos y servicios expuestos a Internet
- Utilice soluciones de EDR/XDR que permita detectar, de manera temprana, indicios de compromiso. Recuerde que las soluciones de protección de endpoint, aun teniendo una capacidad de bloquear amenazas, debe ser monitoreada permanentemente por analistas especializados; igualmente, recuerde revisar la configuración de manera frecuente para asegurar que los niveles de protección sean los adecuados.
- Implemente una estrategia de visibilidad y trazabilidad centralizada, que permita detectar, de manera temprana, cualquier tipo de intrusión, en diferentes capas. Tenga en cuenta que los atacantes frecuentemente buscan interrumpir los procesos de EDR/XDR, siendo fundamental la defensa y visibilidad en profundidad par hacer frente a ese riesgo.
- Realizar hardening conforme a alguna línea base, por ejemplo CIS Benchmarks, para cada sistema y de acuerdo a cada uso o aplicación de dicho sistema.
- Realizar una revisión exhaustiva de usuarios con privilegio de administrador y eliminar los que no sean estrictamente necesarios, limitándolo al personal mínimo necesario.
- Implementar una estrategia de protección ante técnicas de movimiento lateral (Pass-the-Hash, Pass-the-Ticket o similar), teniendo en cuenta que éstas aprovechan debilidades de diseño de la propia arquitectura de AD. Microsoft ha publicado una guía oficial para abordarlo:
Presentación FIRST Regional Symposium LATAM 2024: FIRST_RedRansomwareGroup
Indicadores de compromiso (IoC):
Para descargar los IoC puedes redirigirse al siguiente enlance aquí