{"id":23573,"date":"2020-07-30T16:00:18","date_gmt":"2020-07-30T14:00:18","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=23573"},"modified":"2020-07-30T16:00:18","modified_gmt":"2020-07-30T14:00:18","slug":"lazarus-vhd-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/lazarus-vhd-ransomware\/23573\/","title":{"rendered":"Lazarus experimenta con un nuevo ransomware"},"content":{"rendered":"<p>El grupo Lazarus siempre ha destacado por usar m\u00e9todos propios de los ataques de APT, pero centr\u00e1ndose en la ciberdelincuencia financiera. Recientemente, nuestros expertos detectaron el nuevo e in\u00e9dito <em>malware<\/em> VHD, con el que Lazarus parece estar experimentando.<\/p>\n<p>En t\u00e9rminos funcionales, VHD es una herramienta de <em>ransomware<\/em> bastante est\u00e1ndar. Penetra sigilosamente a trav\u00e9s de las unidades conectadas al ordenador de la v\u00edctima, cifra los archivos y suprime todas las carpetas de Informaci\u00f3n de volumen del sistema (saboteando as\u00ed los intentos de restauraci\u00f3n del sistema en Windows). Adem\u00e1s, puede suspender los procesos que pueden proteger los archivos importantes de una posible modificaci\u00f3n (como Microsoft Exchange o el servidor SQL).<\/p>\n<p>Pero lo realmente interesante es c\u00f3mo se infiltra VHD en los ordenadores que fija como objetivo, ya que sus mecanismos de distribuci\u00f3n tienen m\u00e1s en com\u00fan con los ataques de APT. Nuestros expertos investigaron recientemente un par de casos de VHD y analizaron las acciones de los atacantes en cada uno de ellos<\/p>\n<h2>Movimiento lateral a trav\u00e9s de la red de la v\u00edctima<\/h2>\n<p>En el primer incidente, nuestros expertos centraron su atenci\u00f3n en el c\u00f3digo malicioso responsable de diseminar VHD en la red objetivo. Result\u00f3 que el <em>ransomware<\/em> ten\u00eda a su disposici\u00f3n las listas con las direcciones IP de los ordenadores de las v\u00edctimas, as\u00ed como las credenciales de acceso a las cuentas con privilegios de administrador. Utiliz\u00f3 estos datos para realizar ataques de fuerza bruta contra el servicio de SMB. Si el <em>malware<\/em> lograba conectarse con la carpeta de red de otro ordenador mediante el protocolo de SMB, entonces se copiaba y ejecutaba a s\u00ed mismo, con lo que acababa cifrando ese equipo tambi\u00e9n.<\/p>\n<p>Dicho comportamiento no es muy propio del <em>ransomware<\/em> en masa. Sugiere al menos una labor de reconocimiento preliminar de la infraestructura de la v\u00edctima, lo que es m\u00e1s caracter\u00edstico de campa\u00f1as de APT.<\/p>\n<h2>Cadena de infecci\u00f3n<\/h2>\n<p>La \u00faltima vez que nuestro Equipo Global de Respuesta a Emergencias se encontr\u00f3 con este <em>ransomware<\/em> durante una investigaci\u00f3n, los analistas lograron rastrear la totalidad de la cadena de infecci\u00f3n. Seg\u00fan informaron, los ciberdelincuentes:<\/p>\n<ol>\n<li>Ganaron acceso a los sistemas de la v\u00edctima al explotar una puerta de enlace VPN vulnerable.<\/li>\n<li>Obtuvieron los privilegios de administrador en los equipos comprometidos.<\/li>\n<li>Instalaron una puerta trasera.<\/li>\n<li>Se hicieron con el control del servidor del Directorio Activo.<\/li>\n<li>Infectaron todos los ordenadores de la red con el <em>ransomware<\/em> VHD mediante un cargador especialmente dise\u00f1ado para dicha tarea.<\/li>\n<\/ol>\n<p>El an\u00e1lisis posterior de las herramientas utilizadas demostr\u00f3 que la puerta trasera formaba parte del <a href=\"https:\/\/www.kaspersky.es\/blog\/mata-framework\" target=\"_blank\" rel=\"noopener\">marco multiplataforma MATA<\/a> (que algunos de nuestros colegas llaman Dacls). Hemos llegado a la conclusi\u00f3n de que se trata de otra herramienta de Lazarus.<\/p>\n<p>Tienes a tu disposici\u00f3n un detallado an\u00e1lisis t\u00e9cnico de estas herramientas, junto con los indicadores de compromiso, en la <a href=\"https:\/\/securelist.com\/lazarus-on-the-hunt-for-big-game\/97757\/\" target=\"_blank\" rel=\"noopener\">publicaci\u00f3n correspondiente en el blog Securelist<\/a>.<\/p>\n<h2>C\u00f3mo proteger tu empresa<\/h2>\n<p>Los actores del <em>ransomware<\/em> VHD est\u00e1n claramente por encima de la media cuando se trata de infectar ordenadores corporativos con un cifrador. Este <em>malware<\/em> generalmente no se encuentra disponible en los foros de <em>hackers<\/em>; sino que, m\u00e1s bien, se desarrolla espec\u00edficamente para los ataques dirigidos. Las t\u00e9cnicas utilizadas para penetrar en la infraestructura de la v\u00edctima y emprender la propagaci\u00f3n desde el interior de la red recuerdan a los sofisticados ataques de APT.<\/p>\n<p>Esta difuminaci\u00f3n gradual de los l\u00edmites entre las herramientas de la ciberdelincuencia financiera y los ataques de APT es una prueba de que incluso las empresas m\u00e1s peque\u00f1as necesitan considerar el uso de tecnolog\u00edas de seguridad m\u00e1s avanzadas. Dicho esto, recientemente lanzamos una soluci\u00f3n integrada con las funciones de la Plataforma de Protecci\u00f3n de Endpoints (EPP) y la de Respuesta y Detecci\u00f3n de Endpoints (EDR). Puedes leer m\u00e1s acerca de la soluci\u00f3n en <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security\/endpoint-security-solution?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">su p\u00e1gina dedicada<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n","protected":false},"excerpt":{"rendered":"<p>El grupo de ciberdelincuentes Lazarus utiliza las t\u00e9cnicas de APT tradicionales para distribuir el ransomware VHD.<\/p>\n","protected":false},"author":700,"featured_media":23575,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[499,2571,401],"class_list":{"0":"post-23573","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ataques-dirigidos","11":"tag-lazarus","12":"tag-ransomware"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lazarus-vhd-ransomware\/23573\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lazarus-vhd-ransomware\/21633\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lazarus-vhd-ransomware\/17096\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lazarus-vhd-ransomware\/22905\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lazarus-vhd-ransomware\/21091\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lazarus-vhd-ransomware\/19773\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/lazarus-vhd-ransomware\/22422\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lazarus-vhd-ransomware\/28813\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lazarus-vhd-ransomware\/8652\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lazarus-vhd-ransomware\/36559\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lazarus-vhd-ransomware\/15384\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lazarus-vhd-ransomware\/15827\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lazarus-vhd-ransomware\/13727\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lazarus-vhd-ransomware\/24801\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/lazarus-vhd-ransomware\/11764\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/lazarus-vhd-ransomware\/28892\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/lazarus-vhd-ransomware\/25748\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/lazarus-vhd-ransomware\/22658\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lazarus-vhd-ransomware\/27923\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lazarus-vhd-ransomware\/27753\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23573","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=23573"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23573\/revisions"}],"predecessor-version":[{"id":23577,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23573\/revisions\/23577"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/23575"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=23573"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=23573"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=23573"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}