• 2 min de lectura
El ransomware Spirals afectó a una red en menos de 24 horas
Symantec dice que el nuevo ransomware Spirals pasó del acceso inicial al cifrado en menos de 24 horas tras vulnerar un servidor IIS.

Imagen: BleepingComputer
Un actor de ransomware recién identificado llamado Spirals pasó del acceso inicial al robo de datos y al cifrado completo de una red corporativa en menos de 24 horas, según el Threat Hunter Team de Symantec.
El ataque tuvo lugar en junio y afectó a una empresa de servicios TI en el sur de Asia después de que los atacantes comprometieran un servidor Internet Information Services (IIS) expuesto a Internet. Symantec dice que el intruso subió rápidamente un web shell de ASP.NET, luego eludió el Control de cuentas de usuario (UAC), habilitó el Escritorio remoto y creó una cuenta local para mantener el acceso.
A partir de ahí, el operador volcó la colmena del registro SAM y la memoria del proceso LSASS para intentar obtener credenciales. Los investigadores también dicen que el atacante intentó eliminar software de seguridad, usó WMI para moverse lateralmente por más de una docena de sistemas y estableció múltiples rutas de acceso de respaldo mediante revsocks, Chisel y túneles de Cloudflare.
Una carga útil de PowerShell deshabilitó Microsoft Defender, eliminó sus definiciones de amenazas y detuvo servicios relacionados con 23 productos de copia de seguridad, bases de datos y virtualización, incluidos Veeam, VMware, Hyper-V, SQL Server, Oracle y PostgreSQL. Symantec afirma que la carga útil del ransomware, llamada bitsadmin.exe, se desplegó en menos de un día desde la intrusión inicial.
«El operador comenzó a desplegar la carga del ransomware por la red de la víctima usando PsExec ejecutándose como SYSTEM. La carga se llamó bitsadmin.exe, probablemente para hacerse pasar por la utilidad legítima de Windows asociada al Background Intelligent Transfer Service, cifrando archivos en las máquinas afectadas.»
Spirals es una familia de ransomware escrita en Rust que utiliza claves AES-128 protegidas por una clave pública ECDH P-256 controlada por el atacante. Para archivos mayores de 5 MB emplea cifrado intermitente para acelerar el proceso. Deja una nota de rescate llamada RECOVERY_SECTION.log en la unidad C:\\ y advierte a las víctimas que los datos robados se harán públicos en un plazo de seis días si no se realiza el pago.

Recomendado
CISA da a las agencias federales hasta el sábado para parchear una falla de Oracle EBS
Symantec dice que ha observado a Spirals en un único caso hasta ahora, por lo que queda abierto si esto es el inicio de una operación más amplia o una carga útil creada a medida para esta intrusión específica. La empresa ha publicado indicadores de red y hashes de archivos vinculados al ataque para ayudar a los defensores a bloquear al grupo.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía BleepingComputer


