Phirautee: un PoC de un ransomware para poner a prueba tu organización

En los últimos años, el mundo del ransomware se ha vuelto un poco loco y las organizaciones de todo el mundo están siendo atacadas, lo que provoca daños e interrupciones. Como todos sabemos, el panorama de las amenazas está cambiando rápidamente y escuchamos frecuentemente el alboroto sobre la infección de ransomware en las oficinas o leemos sobre ello en las noticias. ¿Alguna vez te has preguntado cómo los threat actors desarrollan ransomwares? ¿Qué nivel de sofisticación y comprensión se requiere para atacar a una organización?

Viral Maniar presentó en la conferencia DEF CON 28 Safe Mode Phirautee, un ransomware a modo de prueba de concepto que nos ayudará a difundir y mejorar la conciencia de nuestros usuarios sobre los ataques y las implicaciones del ransomware. Esta herramienta roba la información y mantiene los datos de una organización retenidos para pagos o los cifra/borra permanentemente.

Características

  • Phirautee está escrito exclusivamente con PowerShell y no requiere librerías de terceros.
  • La herramienta utiliza comandos Living off the Land (LotL) y criptografía de clave pública para cifrar los datos en el disco y filtrar archivos grandes a través de Google Drive.
  • Antes de cifrar, extrae los archivos de la red de la víctima y, una vez que los archivos están cifrados y exfiltrados, los archivos originales se eliminan permanentemente del host para finalmente exigir un rescate.
  • El ransom solicita un pago de 0.10 BTC (~ 1k USD).

Detección

  • La extensión de archivo de los archivos cifrados se cambia a ".phirautee"
  • El fondo de escritorio del host comprometido se cambia con el fondo Phirautee
  • El escritorio tendrá el archivo Phirautee.txt

Estrategias de mitigación

  • Segmentación de la red y detección de movimiento lateral. Seguir el principio de acceso con privilegios mínimos o restringir el acceso a servidores confidenciales. Utilizar MFA en todos los portales importantes.
  • Deshabilitar PowerShell para usuarios de dominio estándar y realizar listas blancas de aplicaciones.
  • Copias de seguridad frecuentes en toda la red (si es posible sin conexión).
  • Aplicar parches y tener un programa de gestión de vulnerabilidades.
  • Tener un equipo de respuesta a incidentes dedicado y desarrollar un plan para eventos de ransomware.
  • Invertir en un buen producto IDS/IPS/EDR/AV/CASB.
  • Validar la efectividad de sus herramientas y tecnologías de defensa a través de ejercicios ofensivos preaprobados.
  • Organizar sesiones de formación sobre phishing y educación de usuarios para sus empleados.
  • Tener un seguro ciber para ayudar a cubrir los costes en caso de que deba pagar el rescate. Además, revisar las pólizas de seguro para asegurarse de que no haya agujeros.
  • Obtener ayuda de los feds locales para las claves de descifrado.

IOCs

Rutas:
C:\temp\cert.cer
c:\temp\sys.txt
c:\temp\backup.zip
c:\temp\sys1.txt
c:\temp\steal.zip
C:\users\$env:USERNAME\PhirauteeBackground-3.jpg

MD5s:
77EA9D33D144072F7B35C10691124D16
4E123FF3A7833F0C8AC6F749D337444D

Dominios usados para exfiltrar:
https://smtp.pokemail.net
https://www.googleapis.com
https://accounts.google.com
https://raw.githubusercontent.com

Registro:
HKCU:\Control Panel\Desktop


Proyecto: https://github.com/Viralmaniar/Phirautee
Presentación DEFCON: https://speakerdeck.com/viralmaniar/phirautee-defcon28-writing-ransomware-using-living-off-the-land-lotl-tactics

Comentarios

  1. "El ransom solicita un pago de 0.10 BTC (~ 1k USD)." Ahora son mas de 5000 dolares jajajaja

    ResponderEliminar

Publicar un comentario