NUEVAS CAMPAÑAS DE RANSOMWARE AXLOCKER, OCTOCRYPT Y ALICEA

21/11/2022

BOLETÍN NRO 2022-689

Recientemente investigadores de seguridad identificaron, nuevos grupos de ransomware que están evolucionando, identificados como AXLocker, Octocrypt y Alice Ransomware.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   CRÍTICA

A continuación se expresará las características de los grupos de ransomware mencionados:

Comenzaremos con AXLocker Ransomware, que puede cifrar varios tipos de archivos y dejarlos completamente inutilizables. Además, el ransomware roba tokens de Discord del dispositivo de la víctima y los envía al servidor. Más tarde, se muestra una nota de rescate en el dispositivo de la víctima.

Los investigadores de seguridad identificaron, un ejecutable binario .NET basado en GUI de 32 bits dirigido a sistemas operativos Windows. Tras la ejecución, el ransomware se oculta modificando los atributos del archivo y llama a la función startencryption() para cifrar los archivos.

La función startencryption() contiene código para buscar archivos enumerando los directorios disponibles en la unidad C:\. Busca extensiones de archivo específicas para cifrar y excluye una lista de directorios del proceso de cifrado.
Después de eso, el ransomware llama a la función ProcessFile, que además ejecuta una función EncryptFile con el nombre del archivo como argumento para cifrar los archivos del sistema de la víctima.

Este ransomware se caracteriza por utilizar el algoritmo de cifrado AES para cifrar archivos. Después de cifrar los archivos de la víctima, el ransomware recopila y envía información confidencial, como el nombre del dispositivo, el nombre de usuario, la dirección IP de la máquina, el UUID del sistema y los tokens de Discord.

Para robar tokens de Discord, el malware se dirige a los siguientes directorios:

-Discord\Local Storage\leveldb

-discordcanary\Local Storage\leveldb

-discordptb\leveldb

-Opera Software\Opera Stable\Local Storage\leveldb

-Google\Chrome\User Data\\Default\Local Storage\leveldb

-BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb

-Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

Emplea expresiones regulares para encontrar los tokens de Discord en los archivos de almacenamiento local y los guarda en la lista, luego los envía al servidor de Discord junto con otra información.
Finalmente, el ransomware AXLocker muestra una ventana emergente que contiene una nota de rescate que brinda instrucciones a las víctimas sobre cómo contactar a los ciberdelincuentes para restaurar sus archivos cifrados.

El segundo ransomware denominado Octocrypt es una nueva cepa de ransomware que se dirige a todas las versiones de Windows. El generador, el cifrado y el descifrado de ransomware están escritos en Golang. Los ciberdelincuentes detrás de Octocrypt operan bajo el modelo comercial Ransomware-as-a-Service (RaaS) y aparecieron en foros de ciberdelincuentes alrededor de octubre de 2022.

El ransomware Octocrypt tiene una interfaz web simple para construir el encryptor y decryptor, el panel web también muestra los detalles de la víctima infectada. Los ciberdelincuentes pueden descargar el archivo de payload generado haciendo clic en la URL proporcionada en el panel web en los detalles de la carga útil. 

Tras la ejecución, el ransomware asegura inicialmente la conexión a Internet del sistema y luego verifica la conexión TCP para acceder a la URL de la API. Luego, el ransomware inicia el proceso de encriptación enumerando los directorios y encripta los archivos de la víctima usando el algoritmo AES-256-CTR, agregando la extensión como "'.octo".

Posteriormente, el ransomware suelta la nota de rescate en varias carpetas con el nombre de archivo "INSTRUCCIONES.html". Finalmente, el ransomware cambia el fondo de pantalla de la víctima que muestra un mensaje de amenaza, se muestra una cantidad de rescate a una dirección de billetera Monero.

Como ultimo ransomware nos encontramos con "Alice" apareció en los foros de ciberdelincuentes bajo el proyecto TAs de "Alice in the Land of Malware". El ransomware Alice también funciona bajo el modelo de negocio Ransomware-as-a-Service (RaaS). 

El generador de ransomware Alice permite a los ciberdelincuentes generar archivos binarios de ransomware con una nota de rescate personalizada. Después de ingresar el mensaje de rescate y hacer clic en el botón "Nueva compilación" en el generador, generará dos archivos ejecutables llamados "Encryptor.exe" y "Decryptor.exe".

La ejecución exitosa del ransomware Alice encripta los archivos de la víctima y agrega la extensión como ".alice ". Además, el ransomware muestra notas de rescate llamadas "Cómo restaurar sus archivos.txt" en varias carpetas.

Indicadores de Compromiso

HASH

MD5: 346e7a626d27f9119b795c889881ed3d

SHA256: 9a557b61005dded36d92a2f4dafdfe9da66506ed8e2af1c851db57d8914c4344

MD5: 5a39a2c4f00c44e727c3a66e3d5948c2

SHA256: 65ad38f05ec60cabdbac516d8b0e6447951a65ca698ca2046c50758c3fd0608b

MD5: 2afdbca6a8627803b377adc19ef1467d

SHA256: e65e3dd30f250fb1d67edaa36bde0fda7ba3f2d36f4628f77dc9c4e766ee8b32

MD5: ad1c2d9a87ebc01fa187f2f44d9a977c

SHA256: d9793c24290599662adc4c9cba98a192207d9c5a18360f3a642bd9c07ef70d57

MD5: 9be47a6394a32e371869298cdf4bdd56

SHA256: 9e95fcf79fac246ebb5ded254449126b7dd9ab7c26bc3238814eafb1b61ffd7a

MD5: a18ac3bfb1be7773182e1367c53ec854

SHA256: c8e3c547e22ae37f9eeb37a1efd28de2bae0bfae67ce3798da9592f8579d433c

MD5: 07563c3b4988c221314fdab4b0500d2f

SHA256: 0225a30270e5361e410453d4fb0501eb759612f6048ad43591b559d835720224

MD5: ab2c19f4c79bc7a2527ab4df85c69559

SHA256: d51297c4525a9ce3127500059de3596417d031916eb9a52b737a62fb159f61e0

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Considerar deshabilitar PowerShell o monitorear su ejecución, evitando que pueda ser aprovechado por softwares maliciosos.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: AXLocker, Octocrypt, and Alice: Leading a new wave of Ransomware Campaigns
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​