Las similitudes en el código y en la infraestructura indican una relación próxima al grupo que fue vinculado a los ataques que sufrieron Sony Pictures y el Banco de Bangladesh.
Las herramientas e infraestructura utilizadas en los ataques de ransomware WannaCry tienen fuerte relación a Lazarus, el grupo responsable de los ataques destructivos a Sony Pictures y del robo de US$ 81 millones al Banco Central de Bangladesh.
?Previo al golpe global del 12 de mayo, una versión anterior de WannaCry (Ransom.Wannacry) fue utilizada en un pequeño número de ataques dirigidos en febrero, marzo y abril. El análisis, de esos ataques iniciales de WannaCry, realizado por el Equipo de Investigación de Ataques de Symantec reveló semejanzas sustanciales entre las herramientas, técnicas e infraestructura usadas por el grupo de ataque y aquellas vistas en embestidas anteriores de Lazarus, indicando una gran probabilidad de que Lazarus fue responsable de la propagación de WannaCry. A pesar de las relaciones, los ataques WannaCry no tienen las características de una campaña liderada por una nación, sin embargo, son características frecuentes en campañas de cibercrimen. Esas versiones anteriores de WannaCry usaban credenciales robadas para propagarse por las redes infectadas, en vez de utilizar el exploit Eternal Blue, responsable de la rápida proliferación de WannaCry por el mundo a partir del 12 de mayo.
Resumen de las relaciones
- Tras el primer ataque de WannaCry en febrero, se descubrieron tres instancias de malware relacionadas a Lazarus en la red de la víctima: Trojan.Volgmer y dos variantes de Backdoor.Destover, la herramienta que borra el contenido de discos usada en los ataques de Sony Pictures.
- Trojan.Alphanc, usado para distribuir WannaCry en los ataques de marzo y abril, es una versión modificada de Backdoor.Duuzer, que ya fue relacionado a Lazarus.
- Trojan.Bravonc usó, para el comando y control, las mismas direcciones de IP de Backdoor.Duuzer y Backdoor.Destover, que fueron relacionadas a Lazarus.
- Backdoor.Bravonc tiene ofuscación de código similar a WannaCry e Infostealer.Fakepude (que fue relacionado a Lazarus).
- Existe código compartido entre WannaCry y Backdoor.Contopee, que posee relación anterior a Lazarus.
Ataque de febrero
La primera evidencia que Symantec vio del uso de WannaCry fue el 10 de febrero de 2017, cuando fue afectada apenas una organización. Tras dos minutos de la infección inicial, más de 100 computadoras de la organización fueron infectadas.
El grupo de ataque dejó varias herramientas en la red de la víctima que proporcionaron pruebas importantes sobre la distribución de WannaCry. Dos archivos, mks.exe y hptasks.exe (consulte el Adjunto C: Indicadores de Compromiso), fueron encontrados en una computadora infectada. El archivo mks.exe es una variante de Mimikatz (Hacktool.Mimikatz), una herramienta de dumping de contraseña ampliamente utilizada en los ataques dirigidos. El segundo archivo, hptasks.exe, fue usado, entonces, para copiar y ejecutar WannaCry en otras computadoras de la red usando las contraseñas robadas por mks.exe.
La propagación de WannaCry por hptasks.exe fue un proceso en dos etapas. En la primera etapa, cuando se ejecuta, hptasks puede recibir una lista de víctimas con sus direcciones IP como un argumento. Al recibir este comando, hptasks lee las credenciales robadas anteriormente de un archivo llamado cg.wry y las usa para conectarse a cada computadora en el intervalo de direcciones IP. Todos los intentos de conexión son registrados en el archivo log.dat. Si se produce una conexión exitosa en una computadora remota y no existe archivo con extensión .res en los directorios Admin $ o C$\\Windows, hptasks.exe copiará una serie de archivos para la computadora remota.
Luego de que hptasks.exe ejecute WannaCry en la computadora remota, empieza la segunda etapa. Hptasks puede pasar varios argumentos para la instalación de WannaCry en la computadora remota, incluso un nuevo conjunto de direcciones IP. Si WannaCry se ejecuta con esas direcciones IP como argumentos, no cifra los archivos en la computadora local. En lugar de ello, se conecta a las direcciones IP informadas, accede al directorio Admin$ y C$ en esas computadoras usando las credenciales incluidas en la sección de recursos en un archivo llamado c.wry y, a seguir, cifra remotamente esos archivos.
Además de hptasks.exe y mks.exe, se descubrieron otras cinco instancias de malware en una segunda computadora en la red de la víctima. Tres de esas herramientas están relacionadas a Lazarus. Dos eran variantes de Destover (Backdoor.Destover), una herramienta usada en los ataques de Sony Pictures. La tercera era Trojan.Volgmer, un malware que ya fue usado por el Grupo Lazarus en ataques contra víctimas en Corea del Sur.
Trojan.Bravonc
Menos detalles están disponibles acerca de la operación de Trojan.Bravonc, pero el mismo fue usado para introducir WannaCry en las computadoras de al menos otras dos víctimas, y presenta algunas relaciones bien evidentes con el grupo Lazarus.
Se conecta a un servidor de comando y control (C&C) en la dirección IP 87.101.243.252, que es la misma dirección IP usada por una muestra de Destover, una herramienta conocida del Grupo Lazarus. Esta dirección de IP también fue mencionada en el informe de Blue Coat “De Seúl hasta Sony”.
Duuzer también fue observado usando esta dirección IP como un servidor C&C. Bravonc y una variante de Destover también comparten códigos de cifrado relacionados (Consulte el Adjunto B: Código Compartido). Asimismo, el método de distribución de Bravonc (sobre SMB usando credenciales codificadas), era la misma técnica usada por Joanap, otra herramienta relacionada a Lazarus.
Ataques de mayo: WannaCry en escala global
El 12 de mayo, se lanzó una nueva versión de WannaCry, que incorporó el exploit “EternalBlue”, que usaba dos vulnerabilidades conocidas en Windows (CVE-2017-0144 y CVE-2017-0145) para distribuir ransomware en computadoras sin parches de corrección en la red de la víctima y también en otras computadoras vulnerables ??conectadas a Internet.
La incorporación de EternalBlue transformó WannaCry de una amenaza peligrosa que solamente podría usarse para un número limitado de ataques dirigidos en una de las instancias más malignas de malware vistas en los últimos años. Esto causó una interrupción generalizada, tanto para las compañías infectadas como para las organizaciones que se vieron forzadas a remover sus computadoras y dejarlas offline para actualizar el software. El descubrimiento y accionamiento de un kill switch por el blog de seguridad MalwareTech detuvo su propagación y limitó los perjuicios.
Las versiones anteriores de WannaCry y la usada en los ataques del 12 de mayo son básicamente las mismas, con algunas pequeñas modificaciones, principalmente la incorporación del exploit EternalBlue. Las contraseñas usadas para cifrar los archivos compactados, incorporadas en el instalador de WannaCry son similares en ambas versiones (“wcry@123”, “wcry@2016”, and “WNcry@2ol7”), indicando que el autor de las dos versiones posiblemente sea el mismo grupo.
El pequeño número de monederos Bitcoin usados por la primera versión de WannaCry y su propagación limitada, indica que esta no era una herramienta compartida entre grupos de cibercrimen. Eso ofrece aún más evidencias que ambas versiones de WannaCry fueron operadas por un único grupo.
Relaciones de WannaCry a Lazarus
Además de las semejanzas en las herramientas usadas para propagar WannaCry, existe también un número de relaciones entre el propio WannaCry y el Grupo Lazarus. Ransomware comparte parte del código con Backdoor.Contopee, malware que posee relación anterior a Lazarus. Una variante de Contopee usa una implementación SSL personalizada, con un conjunto de cifrado idéntico, también usado por WannaCry. El conjunto de cifrado en ambas muestras tienen el mismo conjunto de 75 cifrados diferentes para elección (al contrario de OpenSSL, donde existe más de 300).
Además, WannaCry usa ofuscación de código similar a Infostealer.Fakepude, malware que ya fue vinculado a Lazarus; y Trojan.Alphanc, malware que fue usado para distribuir WannaCry en los ataques de marzo y abril y que posee relación anterior a Lazarus (ver arriba).
Filtración accidental transformó WannaCry en una amenaza global
El descubrimiento de un pequeño número de ataques anteriores de WannaCry proporcionó evidencias convincentes de su relación con el grupo Lazarus. Estos ataques anteriores involucraron el uso significativo de herramientas, código e infraestructuras anteriormente asociadas al grupo Lazarus, mientras que los medios de propagación a través de backdoors y credenciales robadas son consistentes con ataques anteriores de Lazarus. La filtración del exploit EternalBlue fue lo que permitió al grupo de ataque transformar WannaCry en una amenaza mucho más potente de lo que sería si dependiesen de sus propias herramientas, ya que les permitió pasar por muchas etapas que tenían que ejecutar anteriormente, eliminando tanto la necesidad de robar credenciales como copiar el ransomware de computadora a computadora.
Más información en: https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group
