Summarize this content to 600 words
La parte difícil de la respuesta inicial a un ataque de ransomware operado por humanos es identificar el vector de ataque. Es posible que ya sepa, por las tendencias recientes en incidentes de seguridad, que es probable que se exploten las vulnerabilidades de los dispositivos VPN, pero a menudo lleva mucho tiempo investigar porque a menudo se consideran múltiples rutas de penetración cuando ocurre un incidente. Por lo tanto, para garantizar una respuesta inicial fluida, es importante investigar la ruta de penetración después de estimar primero el grupo de ataque en función de las extensiones de archivos cifrados y las notas de rescate dejadas en el dispositivo afectado, y luego identificar los puntos de entrada que el grupo de ataque. ha utilizado en el pasado. Sin embargo, según la experiencia de JPCERT/CC hasta la fecha, ha habido múltiples casos en los que no fue posible identificar el grupo de ataque basándose únicamente en la extensión del archivo cifrado o la nota de rescate. En este artículo, compartiremos los resultados de una investigación sobre la posibilidad de utilizar la información del registro de eventos de Windows para respaldar la identificación de dichos grupos de ataque. La investigación de JPCERT/CC confirmó que algunos ransomware dejan rastros en el registro de eventos de Windows y que a veces es posible identificar el ransomware basándose en estas características. En esta investigación se utilizaron los siguientes cuatro registros de eventos de Windows.
Registro de aplicaciones
Registro de seguridad
Registro del sistema
Registro de configuración
Las siguientes secciones presentan los registros registrados en el Registro de eventos de Windows cuando se ejecuta ransomware.
conti
Conti es un ransomware identificado por primera vez en 2020. En 2022, se filtró el código fuente relacionado con Conti y después aparecieron muchas variantes. Conti explota el Administrador de reinicio de Windows al cifrar archivos. Es una función que cierra automáticamente las aplicaciones en ejecución cuando se reinicia o apaga el sistema operativo Windows. Aunque también se pueden registrar registros en el registro de eventos durante el funcionamiento normal, cuando se ejecuta Conti, se registra una gran cantidad de registros relevantes (ID de eventos: 10000, 10001) en un corto período de tiempo.
Figura 1: Registros de eventos confirmados durante la ejecución de Conti
También hemos confirmado que el siguiente ransomware también registra registros de eventos similares. Se sospecha que algunos de ellos están relacionados con Conti.
Akira (se sospecha que está relacionado con Conti según el estado de las transacciones de criptomonedas, etc.)
Lockbit3.0 (utiliza un sistema de cifrado basado en Conti)
holagatita
Abysslocker
avadón
bablock
Fobos
Phobos es un ransomware identificado en 2019. Se dice que apareció después de que se descubrió que el código fuente era similar al del ransomware Dharma y después de que estuvo disponible una herramienta de descifrado para Dharma, se identificaron muchas variantes. Phobos puede eliminar las instantáneas de volumen y los catálogos de copias de seguridad del sistema de los dispositivos infectados, y deja rastros cuando se ejecuta. Tenga en cuenta que el contenido mencionado anteriormente también puede ocurrir durante el funcionamiento normal cuando el administrador del sistema administra el espacio en disco u organiza datos innecesarios.
Figura 2: Registros de eventos confirmados durante la ejecución de Phobos
ID de evento 612: una copia de seguridad programada para realizarse automáticamente se canceló de alguna manera
ID de evento 524: se eliminó el catálogo del sistema
ID de evento 753: el sistema de respaldo se inició correctamente y está listo para funcionar
Además, se han registrado rastros de características similares del siguiente ransomware, que se sospecha que está relacionado con el grupo Phobos.
Midas
Midas es un ransomware identificado por primera vez en 2021. Midas se caracteriza por dejar rastros en los registros de eventos relacionados con cambios en la configuración de la red, que se consideran destinados a propagar la infección, en el momento de la ejecución.
Figura 3: Registro de eventos confirmado cuando se ejecuta Midas
El ID de evento 7040 se registra cuando hay un cambio en la configuración del servicio. La configuración del servicio modificada se registra como EventData y, cuando se ejecuta Midas, los cambios en los servicios se registran como se muestra en la Tabla 1.
Tabla 1: Lista de servicios a cambiar
Servicio
Descripción
Publicación de recursos de descubrimiento de funciones
Se utiliza para publicar recursos en una computadora en otros dispositivos en una red.
Descubrimiento de SSDP
Se utiliza para descubrir dispositivos en una red.
Servicio de protocolo de túnel de socket seguro
Se utiliza para establecer una conexión VPN a través de Internet.
Host de dispositivo UPnP
Se utiliza para establecer comunicación entre dispositivos y computadoras compatibles con Universal Plug and Play (UPnP), lo que permite la configuración automática y la prestación de servicios en la red.
También se han registrado características similares en el ransomware Axxes, que se sospecha que es una variante de Midas.
Conejo malo
BadRabbit es un ransomware confirmado por primera vez en 2017. Se caracteriza porque cuando se ejecuta se registran rastros (ID de evento: 7045) de la instalación del componente cscc.dat utilizado para el cifrado.
Figura 4: Registro de eventos confirmado cuando se ejecuta BadRabbit
Buen día
Bisamware es un ransomware identificado por primera vez en 2022. Es un ransomware dirigido a usuarios de Windows y se sabe que se distribuye explotando vulnerabilidades en las herramientas proporcionadas por Microsoft. Cuando se ejecuta Bisamware, se registran los rastros del inicio (ID de evento: 1040) y del final (ID de evento: 1042) de la transacción de Windows Installer.
Figura 5: Registros de eventos confirmados durante la ejecución de Bisamware
Otros registros de eventos comunes registrados por ransomware
Aunque no hubo una conexión aparente a partir de la información disponible públicamente, existen algunos tipos de ransomware con características comunes en los rastros de los registros de eventos.
sombra
CangrejoGand
I
avoslocker
BLACKBASTA
VICE SOCIEDAD
Los rastros (ID de evento: 13, 10016) de estos tipos de ransomware muestran que no funcionaron correctamente porque carecían de permiso para acceder a las aplicaciones del servidor COM relacionadas con el Servicio de instantáneas de volumen en el momento de la ejecución.
Figura 6: Registros de eventos confirmados durante la ejecución
En cierre
Aunque no pudimos encontrar ningún registro de eventos que condujera a la identificación de WannaCry, Petya, Ryuk y otros tipos de ransomware más antiguos, identificamos varios registros de eventos que condujeron a la identificación de los tipos de ransomware relativamente nuevos presentados en este artículo. Los registros de eventos solo pueden respaldar la investigación y la atribución de daños, pero en situaciones en las que se elimina o cifra una gran cantidad de información, investigar todo lo que podría ser útil puede proporcionar algunas ideas valiosas. Considere investigar los registros de eventos cuando investigue daños causados por ataques de ransomware operados por humanos.
Kyosuke Nakamura
Traducido por Takumi Nakano.