El ransomware N3TW0RM surge en una ola de ciberataques en Israel

Una nueva banda de ransomware conocida como "N3TW0RM" está apuntando a empresas israelíes en una ola de ciberataques que comenzó la semana pasada.

Los medios israelíes Haaretz informaron que al menos cuatro empresas israelíes y una organización sin fines de lucro fueron pirateadas con éxito en esta ola de ataques.

Al igual que otras bandas de ransomware, N3TW0RM ha creado un sitio de filtración de datos donde amenazan con filtrar archivos robados como una forma de asustar a sus víctimas y hacerlas pagar un rescate.

Dos de las empresas israelíes, H&M Israel y las redes de Veritas Logistic, ya se han incluido en la filtración de datos de la banda de ransomware, y los actores de amenazas ya filtran datos supuestamente robados durante el ataque de Veritas.

De las notas de rescate vistas por los medios israelíes y BleepingComputer, la banda de ransomware no exigió demandas de rescate particularmente grandes en comparación con otros ataques comerciales dirigidos.

Haaretz relaciones que la nota de rescate de Veritas era de tres bitcoins, o alrededor de $ 173,000, mientras que otra nota de rescate compartida con BleepingComputer muestra una nota de rescate de 4 bitcoins, o alrededor de $ 231,000.

Nota de rescate N3TW0RM
Nota de rescate N3TW0RM
Fuente: BleepingComputer

Un mensaje de WhatsApp compartido entre los investigadores de ciberseguridad israelíes también afirma que el ransomware N3TW0RM comparte algunas características con los ataques Pay2Key realizados en noviembre de 2020 y febrero de 2021.

Mensaje de WhatsApp compartido entre investigadores de seguridad

Pay2Key se ha relacionado con un grupo de piratas informáticos del estado-nación iraní conocido como Fox Kitten, cuyo objetivo era causar interrupciones y daños a los intereses israelíes en lugar de generar un pago de rescate.

En la actualidad, los ataques N3TW0RM no se han atribuido a ningún grupo de piratas informáticos.

Debido a las bajas demandas de rescate y la falta de respuesta a las negociaciones, una fuente de ciberseguridad israelí le dijo a BleepingComputer que cree que N3TW0RM también se está utilizando para causar estragos en los intereses israelíes.

Sin embargo, Arik Nachmias, director ejecutivo de la empresa de respuesta a incidentes Seguridad del tejón de miel, le dijo a BleepingComputer que cree que en el caso de N3TW0RM los ataques están motivados por el dinero.

Índice()

    Modelo cliente-servidor inusual para el cifrado

    Al cifrar una red, los actores de amenazas generalmente distribuyen un ejecutable de ransomware independiente a cada dispositivo que desean cifrar.

    N3TW0RM hace esto de manera ligeramente diferente al usar un modelo cliente-servidor en su lugar.

    De las muestras [VirusTotal] del ransomware visto por BleepingComputer y las discusiones con Nachmias, los creadores de amenazas N3TW0RM instalan un programa en el servidor de la víctima que escuchará las conexiones desde las estaciones de trabajo.

    Nachmias afirma que los actores de la amenaza luego usan PAExec para implementar y ejecutar el ejecutable del cliente "slave.exe" en cada dispositivo cifrado por el ransomware. Al cifrar archivos, los archivos tendrán la '.n3tw0rmextensión agregada a sus nombres.

    Aunque BleepingComputer no tiene acceso al ejecutable del servidor, hemos configurado NetCat para escuchar y esperar conexiones en el puerto 80. Luego iniciamos el cliente slave.exe, luego nos reconectamos a nuestra dirección IP en ese puerto.

    Como puede ver a continuación, cuando el cliente se vuelva a conectar al puerto 80 en nuestro dispositivo que ejecuta NetCat, enviará una clave RSA al servidor.

    Envío de una clave RSA al servidor N3TW0RM
    Envío de una clave RSA al servidor N3TW0RM
    Fuente: BleepingComputer

    Nachmias le dijo a BleepingComputer que el componente del servidor guardaría estas claves en un archivo y luego ordenaría a los clientes que comenzaran a cifrar los dispositivos.

    Este enfoque permite al actor de la amenaza mantener todos los aspectos de la operación del ransomware dentro de la red de la víctima sin que se remonte a un servidor de comando y control remoto.

    Sin embargo, también agrega complejidad al ataque y podría permitir que la víctima recupere sus claves de descifrado si no se eliminan todos los archivos después de un ataque.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir