Descubierto por primera vez en junio de 2021 por FortiGuard Labs, se sospecha que Diavol Ransomware está vinculado al actor de amenazas Wizard Spider.
En este informe, observamos que los actores de amenazas implementan múltiples balizas DLL de Cobalt Strike, realizan descubrimientos internos con las utilidades de Windows, ejecutan movimientos laterales con AnyDesk y RDP, descargan credenciales de varias maneras, extraen datos e implementan ransomware en todo el dominio en tan solo 32 horas desde el inicio. acceso.
Resumen del caso
El malware (BazarLoader) se envió a un punto final por correo electrónico, que incluía un enlace a OneDrive. El enlace de OneDrive dirigía al usuario a descargar un archivo que era un zip, que incluía un ISO en su interior.
Una vez abierto (montado) en el sistema de los usuarios, se determinó que la ISO contenía un archivo LNK y una DLL. El archivo LNK disfrazado de documento que invita al usuario a hacer clic en él/abrirlo. Una vez que el usuario ejecutó el archivo LNK, se inició la infección de BazarLoader.
Como se vio en casos anteriores, la infección de BazarLoader comenzó con un reconocimiento interno del entorno utilizando utilidades de Windows como net, nltest e ipconfig. Después de estar inactivo durante una hora, la intrusión continuó con la caída de múltiples DLL de baliza Cobalt Strike en la cabeza de playa. Esto fue seguido por otra ronda de descubrimiento de la máquina comprometida.
Luego, el actor de amenazas procedió con la ejecución de adf.bat, que es un script que consulta varios objetos de Active Directory utilizando la herramienta AdFind.
La primera ejecución fue usando un binario renombrado llamado qq.exe y luego el actor de amenazas soltó un binario de AdFind correctamente llamado y ejecutó los mismos comandos de descubrimiento nuevamente. Poco después de eso, con el uso de otro script por lotes simple llamado fodhelper_reg_hashes.bat, realizaron la adquisición de credenciales mediante el volcado de SAM,
Al regresar después de un lapso de casi 18 horas, el actor de amenazas realizó otra ronda de escaneo de red desde la cabeza de playa. Esto fue seguido por intentos de Kerberoast y “AS-REProast” usando la herramienta Rubeus. El actor de amenazas luego se movió lateralmente a través de RDP a un servidor que contenía recursos compartidos de archivos. Después de obtener acceso al sistema, instalaron una aplicación de acceso remoto, AnyDesk, así como Filezilla.
Los actores de la amenaza usaron FileZilla para extraer datos del entorno. Luego giraron hacia sistemas críticos, como controladores de dominio y un servidor que contenía copias de seguridad. Luego, el actor de amenazas descargó LSASS de uno de los controladores de dominio, usando el administrador de tareas, y luego cargó el archivo de volcado en ufile.io usando Internet Explorer.
En el servidor de respaldo, los actores de amenazas intentaron volcar las bases de datos asociadas con la solución de respaldo. En un intento, utilizaron una técnica documentada para recuperar la contraseña codificada y decodificarla mediante la API de protección de datos de Microsoft (DPAPI).
Después de alrededor de 42 horas después de la intrusión inicial, los actores de amenazas avanzaron hacia la finalización de su objetivo final. El acceso RDP se estableció desde el servidor de archivos central que los actores de la amenaza habían comprometido en todos los puntos finales y se ejecutó un script por lotes llamado “kill.bat” en todas las máquinas objetivo.
El script consta de comandos que eliminan las instantáneas de volumen, desactivan la reparación de inicio automático de Windows y detienen todos los servicios en ejecución en el host. Una vez que el script completó la ejecución, Diavol Ransomware se implementó a través de la conexión RDP en cada máquina ejecutando el ejecutable manualmente.
Desde el acceso inicial hasta la implementación del ransomware, los actores de amenazas tardaron alrededor de 42 horas en implementar el ransomware en todo el dominio, pero desde el inicio de sesión el tercer día hasta la última ejecución del rescate del host, solo pasó alrededor de una hora para que los actores terminaran su implementación.
