28 sept 2020

Netwalker: cómo fue el ataque a Migraciones de Argentina

El presente documento ha sido desarrollado por Ing. PEDRO ALBIOL como parte de una investigación para la MAESTRÍA EN CIBERDEFENSA Y CIBERSEGURIDAD en la UBA.

DISCLAMER: Pedro Albiol deja expresamente asentado que el presente trabajo de investigación se realizó en base a fuentes públicas, no pretende ser un análisis forense exhaustivo y no debe tomarse como parte de ninguna investigación oficial en curso o futura.
Cristian Borghello y Segu-Info no representan ni aprueban la exactitud o fiabilidad de los datos, información u otro material proporcionado por el presente trabajo de investigación, por lo que se descarga explícitamente cualquier responsabilidad por el contenido de dichos datos, información y materiales proporcionados o divulgados a través de la presente.
Cristian Borghello y Segu-Info no serán responsables, por el plazo de duración de la divulgación, por los errores u omisiones en la Información y por el uso y los resultados del uso de esta Información.

Introducción

Netwalker es un fileless ransomware as a service (RaaS) que ha afectado ya varias compañías y gobiernos desde su descubrimiento en 2019. Es Fileless porque se ejecuta en memoria sin necesidad de un archivo físico en el disco: utiliza la técnica llamada Reflective Dynamic-link Library Injection para levantar en memoria una DLL, evitando así, las herramientas de detección/monitoreo.

Es un Ransomware porque cifra los archivos y solicita dinero a cambio de la llave necesaria para recuperar la información (ciber-secuestro). En caso de no pagar el rescate, a modo de presión y de garantizar una mayor probabilidad de cobro, la información secuestrada es publicada.

"As a service" significa que los desarrolladores no participan directamente. Solo brindan el soporte y plataforma para que otras personas (partners/afiliates) hagan utilización del mismo a cambio de un porcentaje (%) de las ganancias obtenidas. Los partners son los que realizan la infección como insiders, explotando una vulnerabilidad web o a través de técnicas de ingeniería social, spear phishing adjuntando un código malicioso (VBS o Powershell), etc.

Se estima que en tan solo 4 meses (entre marzo y julio) recaudaron aproximadamente 25 millones de dólares, transformándolo en el malware de mayor beneficio de la historia (Mcafee, 2020).

El malware cuenta con estricto "código de conducta" que prohíbe su utilización contra Rusia o la Commonwealth of Independent States (CIS). Según la firma de seguridad

Crowdstrike, se atribuye su creación a un grupo hacker de habla rusa (Circus Spider Moniker). Varias empresas de antivirus realizaron análisis del malware, su vinculación con otros ransomware y el seguimiento de las criptomonedas (ver figura 1).

  • Introducción
  • Reclutamiento de partners en foro underground
  • Análisis de la fuga de datos (data leak)
  • Pruebas de compresión
  • Pedido de rescate
  • Breve análisis del malware
  • Pruebas del malware en nuestro laboratorio
  • Resultados preliminares de las pruebas realizadas
  • Informe de Crowdstrike
  • Mecanismo de cifrado según informe Crowdstrike
  • Nuestra interpretación del mecanismo de cifrado
  • Conclusiones
  • Futuras investigaciones
  • Referencias bibliográficas

Análisis de la fuga de datos (data leak)

Puntualmente en el caso de Argentina, no podemos realizar un seguimiento o pericia ya que no contamos con acceso a la infraestructura, el log de eventos en el SIEM o la billetera digital para el pago del rescate.

A modo de ejemplo, se muestra el siguiente gráfico de la forma de operación del grupo delictivo detrá de NetWalker. 

La investigación comienza con el acceso al Onion del malware en la Deep Web donde se puede apreciar los diferentes leak de datos y a partir de allí se intenta determinar al autor del ataque, la metodología utilizada en el ataque, el método de compresión en la exfiltración de los datos y el cifrado utizado internamente por Netwalker.


Descargar el documento: Netwalker: Afectación a migraciones argentinas



Suscríbete a nuestro Boletín

3 comentarios:

  1. Alguno sabe cual es la propiedad que mencionan en la Figura 38? como se llama o algún link de la demostración? Gracias

    ResponderBorrar
    Respuestas
    1. Google dice: https://es.wikipedia.org/wiki/Diffie-Hellman

      Borrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!