La pandilla detrás del ransomware Ryuk ha agregado una nueva herramienta a su arsenal, lo que les permitió disminuir significativamente el tiempo necesario para encriptar completamente el sistema objetivo. De hecho, según los investigadores del Proyecto DFIR, observaron un ataque de ransomware Ryuk que tardó solo cinco horas en completarse desde el mensaje de phishing inicial hasta el cifrado completo en la red de la víctima.
Esta velocidad del rayo se logra gracias al error de escalada de privilegios ZeroLogon ( CVE-2020-1472 ), que el grupo ahora está incorporando en sus ataques.
La vulnerabilidad ZeroLogon permite que un atacante no autenticado con acceso de red a un controlador de dominio comprometa por completo todos los servicios de Active Directory. Aunque la falla se corrigió en agosto, muchas organizaciones siguen siendo vulnerables a esta amenaza.
En el ataque observado, los piratas informáticos aumentaron los privilegios utilizando ZeroLogon menos de 2 horas después del phishing inicial. Luego utilizaron herramientas como Cobalt Strike, AdFind, WMI y PowerShell para lograr su objetivo.
La etapa inicial del ataque involucró un correo electrónico de phishing que contenía una versión del cargador de Bazar. Después del compromiso inicial, los piratas informáticos realizaron un mapeo básico del dominio, utilizando utilidades integradas de Windows como Nltest. Luego explotaron la vulnerabilidad ZeroLogon para restablecer la contraseña de la máquina del controlador de dominio principal.
A continuación, los atacantes se movieron lateralmente a través de transferencias de archivos SMB y ejecuciones WMI de Cobalt Strike Beacons al controlador de dominio secundario, llevando a cabo más descubrimiento de dominio a través de Net y el módulo PowerShell Active Directory.
“A partir de ahí, los actores de amenazas parecieron usar el módulo de escalada de privilegios de canalización con nombre predeterminado en el servidor”, dijeron los investigadores. "En este punto, los actores de la amenaza usaron RDP para conectarse desde el controlador de dominio secundario al primer controlador de dominio, usando la cuenta de administrador integrada".
Una vez en el controlador de dominio principal, se soltó y ejecutó otra Cobalt Strike. Luego, se realizó más reconocimiento de dominio utilizando la herramienta AdFind.
“Cuatro horas y 10 minutos después, los actores de amenazas utilizaron el pivote del controlador de dominio principal a RDP en el servidor de respaldo. Los servidores de respaldo nuevamente fueron el objetivo primero para la implementación del ejecutable de ransomware, seguidos por los servidores y luego las estaciones de trabajo. Los actores de la amenaza terminaron su objetivo al ejecutar el ransomware en el controlador de dominio principal, y en la marca de las 5 horas, el ataque se completó ”, dijeron los investigadores.
