
[25/10/2024] Los investigadores de ESET han descubierto nuevas herramientas que conducen a la implementación del ransomwareEmbargo. Embargo es un grupo relativamente nuevo en la escena del ransomware, observado por primera vez por ESET en junio del 2024. El nuevo kit de herramientas consta de un cargador y un killer de detección y respuesta de endpoints (EDR), que ESET ha denominado MDeployer y MS4Killer, respectivamente. Según lo señalado en el comunicado de prensa, MS4Killer es particularmente notable, ya que se compila de forma personalizada para el entorno de cada víctima, apuntando solo a soluciones de seguridad seleccionadas.
"El malware abusa del modo seguro y de un controlador vulnerable para deshabilitar los productos de seguridad que se ejecutan en la máquina de la víctima. Ambas herramientas están escritas en Rust, el idioma elegido por el grupo Embargo para desarrollar su ransomware”, comentó dice el investigador de ESET Jan Holman, quien analizó la amenaza junto con su colega investigador Tomáš Zvara.
Sobre la base de su modus operandi, los investigadores comentaron que Embargo parece ser un grupo bien dotado de recursos. "Establece su propia infraestructura para comunicarse con las víctimas. Además, el grupo presiona a las víctimas para que paguen mediante el uso de una doble extorsión: los operadores exfiltran los datos confidenciales de las víctimas y amenazan con publicarlos en un sitio de filtraciones, además de cifrarlos. En una entrevista con un presunto miembro del grupo, un representante de Embargo mencionó un esquema de pago básico para los afiliados, lo que sugiere que el grupo está proporcionando RaaS (ransomware como servicio). Dada la sofisticación del grupo, la existencia de un sitio de filtración típico y las afirmaciones del grupo, asumimos que Embargo opera como un proveedor de RaaS".
Las diferencias en las versiones implementadas, los errores y los artefactos sobrantes sugieren que estas herramientas están en desarrollo activo, añadió Holman. Embargo todavía está en el proceso de construir su marca y establecerse como un destacado operador de ransomware.
"El desarrollo de cargadores personalizados y herramientas de eliminación de EDR es una táctica común utilizada por múltiples grupos de ransomware. Además del hecho de que MDeployer y MS4Killer siempre se observaron desplegados juntos, hay más conexiones entre ellos. Los fuertes lazos entre las herramientas sugieren que ambas son desarrolladas por el mismo actor de amenazas, y el desarrollo activo del kit de herramientas sugiere que el actor de amenazas es competente en Rust”, explicó el investigador.
Con MDeployer, agregó Holman, el actor de amenazas Embargo abusa del Modo Seguro para desactivar las soluciones de seguridad. "MS4Killer es una herramienta típica de evasión de defensa que finaliza los procesos de productos de seguridad mediante la técnica conocida como Bring Your Own Vulnerable Driver (BYOVD). En esta técnica, el actor de amenazas abusa de los controladores de kernel firmados y vulnerables para obtener la ejecución de código a nivel de kernel. Los afiliados de ransomware a menudo incorporan herramientas BYOVD en su cadena de compromiso para manipular las soluciones de seguridad que protegen la infraestructura que se está atacando. Después de deshabilitar el software de seguridad, los afiliados pueden ejecutar la carga útil del ransomware sin preocuparse de si su carga útil es detectada”.
El investigador continuó explicando que el objetivo principal del kit de herramientas Embargo es asegurar el despliegue exitoso de la carga útil del ransomware desactivando la solución de seguridad en la infraestructura de la víctima. "Embargo pone mucho esfuerzo en eso, replicando la misma funcionalidad en diferentes etapas del ataque. "También hemos observado la capacidad de los atacantes para ajustar sus herramientas sobre la marcha, durante una intrusión activa, para una solución de seguridad en particular".
Franca Cavassa, CTOPerú