Trellix informa sobre la banda emergente de ciberdelincuentes "Read The Manual" Locker
Trellix, una empresa de ciberseguridad, ha proporcionado información detallada sobre el modus operandi de una nueva banda de ciberdelincuentes llamada "Read The Manual" Locker. El grupo ofrece ransomware como servicio (RaaS) a una red de afiliados que deben cumplir estrictas normas impuestas por la banda. En el informe se explican sus tácticas, técnicas y procedimientos.
El objetivo de la banda es no llamar la atención y no aparecer en los titulares, sino ganar dinero en el anonimato. Publican sus notificaciones tanto en inglés como en ruso, siendo estas últimas de mayor calidad. La región de la Comunidad de Estados Independientes de Europa Oriental y Asia (CEI) está fuera de su alcance para evitar crear víctimas en esa zona.
El informe reveló que el panel del grupo ofrece una visión de sus normas, objetivos y modus operandi. A partir de la información disponible, los investigadores pudieron hacer algunas conjeturas sobre la ubicación geográfica de algunos de sus miembros.
Al panel de la banda se accede mediante una combinación de nombre de usuario y contraseña y un código captcha para evitar intentos de acceso por fuerza bruta por parte de otros actores e investigadores. Los afiliados pueden añadir víctimas rescatadas, alineando los métodos del grupo con el comportamiento estándar actual de las bandas de ransomware.
La nota de rescate informa a las víctimas de que su red ha sido infectada por el ransomware RTM Locker y que sus archivos, incluidos documentos personales, fotos, datos de clientes y empleados, y bases de datos, han sido cifrados y son inaccesibles. La nota advierte de que si las víctimas no se ponen en contacto con el equipo de asistencia en un plazo de 48 horas, sus datos se publicarán en el dominio público, y los datos comprometidos se enviarán a sus competidores y a las autoridades reguladoras. La nota aconseja a las víctimas que no intenten recuperar los archivos por sí mismas ni modificar los archivos cifrados, ya que de hacerlo podrían perder los datos de forma permanente.
El ransomware no utiliza un exploit para obtener capacidades de administrador; en su lugar, simplemente se inicia a sí mismo con los permisos necesarios, lo que da lugar a un cuadro de diálogo de Control de cuentas de usuario. Si la víctima acepta la ejecución, se establece una nueva instancia de proceso con los permisos de administrador necesarios y se cierra la instancia existente del casillero. Si la víctima rechaza la petición, el casillero continuará solicitándola hasta que se concedan los permisos.
Para inutilizar de forma más eficaz el sistema objetivo, el RTM Locker cifra tantos datos como sea posible y comprueba si tiene permisos de administrador en el dominio del sistema incorporado para garantizar que se obtienen los permisos adecuados, concediendo un acceso incontrolado al dispositivo.
El RTM Locker carece de símbolos, pero las funciones y variables renombradas dentro del análisis se proporcionan a lo largo del análisis. La función principal del casillero examina las entradas de la línea de comandos y establece la salida de la consola en "-debug", permitiendo que el casillero imprima información de depuración. La siguiente captura de pantalla muestra la comprobación de los parámetros de la línea de comandos y la llamada a la función que establece la salida de la consola.
El siguiente paso del bloqueador es garantizar que tiene el mayor impacto posible terminando programas que pueden bloquear un archivo o que se emplean para el análisis de archivos maliciosos. Entre ellos se incluyen sql.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefox.exe, tbirdconfig.exe, mydesktopqos.exe, ocomm.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe y notepad.exe.
A continuación, detiene todos los servicios presentes en una lista incrustada. Los servicios afectados son responsables de la protección antivirus y las copias de seguridad, e incluyen vss, sql, svc$, memtas, mepocs, sophos, veeam, backup, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, RTVscan, QBFCService, QBIDPService, Intuit.QuickBooks.FCS, QBCFMonitorService, YooBackup, YooIT, zhudongfangyu, stc_raw_agent, VSNAPVSS, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, PDVFSService, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, ArcSch2Svc, AcronisAgent, CASAD2DWebSvc y CAARCUpdateSvc.
Actualmente, el ransomware no está ofuscado, lo que facilita su identificación y mitigación. Sin embargo, su capacidad para terminar procesos y servicios seleccionados puede causar daños significativos en el sistema atacado.
Las fuentes de este artículo incluyen un artículo en SecurityAffairs.