ESET sitúa al grupo de ciberdelincuentes TeleBots detrás de la amenaza similar a Petya

Madrid, 3 de julio de 2017.- ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, ha identificado varias posibilidades sobre el origen de la amenaza con características similares a Petya que asoló el mundo empresarial la semana pasada.

Gracias a las investigaciones realizadas por la compañía, se han encontrado similitudes entre múltiples campañas llevadas a cabo por el grupo cibercriminal ucraniano TeleBots y el conjunto de herramientas utilizados entre diciembre de 2016 y marzo de 2017 por este grupo y relacionadas con el ataque Diskcoder.C (también conocido como Petya), que tuvo lugar el pasado 27 de junio.

Los paralelismos que hemos encontrado entre el ataque llevado a cabo en diciembre de 2016 contra instituciones financieras y los desarrollos de una versión del malware KillDisk para Linux utilizada por TeleBots son una pista fiable. Estos indicadores, junto a los ataques crecientes a los sistemas informáticos en Ucrania, son los que nos hicieron centrar nuestra atención en TeleBots”, afirma Anton Cherepanov, investigador senior para malware en ESET.

La forma de operar de TeleBots consistía en utilizar KillDisk para sobreescribir archivos con extensiones específicas en los discos de las víctimas. De esta manera, el rescate no era el objetivo primordial de los atacantes, ya que no se cifraban los archivos, sino que éstos se sobreescribían. De la misma manera, los ataques siguientes sí que incluyeron el cifrado de archivos y se incorporaron otros aspectos más típicos del ransomware, como información de contacto para pagar el rescate, aunque se solicitaban cifras astronómicas (222 bitcoines) que, de nuevo, hacían pensar que el objetivo real era causar daños a las empresas afectadas, más que obtener beneficios económicos.

Entre enero y marzo de este año, los delincuentes comprometieron la seguridad de  una compañía desarrolladora de software de contabilidad en Ucrania, utilizando túneles VPN y accediendo a las redes internas de diferentes entidades financieras, revelando un arsenal de herramientas programadas en  Python. En los ataques más recientes, lanzaron sus ataques utilizando herramientas legítimas como SysInternals PsExec y WMIC (Windows Management Instrumentation Command-line) para propagarse por una red local utilizando credenciales extraídas de equipos infectados. Las soluciones de seguridad de ESET detectaron este ransomware como Win32/Filecoder.NKH y al ransomware de Linux como Python/Filecoder.R.

Después, TeleBots propagó Win32/Filecoder.AESNI.C (conocido también como XData) el 18 de mayo de 2017. Este ataque se llevó a cabo sobre todo en Ucrania, a través de una actualización troyanizada de M.E.Doc, software de contabilidad muy utilizado en Ucrania entre las entidades financieras y por empresas internacionales que operan en ese país. De acuerdo con ESET LiveGrid, el malware permitía realizar movimientos laterales de forma automática dentro de la red local de las empresas afectadas. A pesar de que ESET publicó una herramienta de descifrado para Win32/Filecoder.AESNI, las entidades afectadas no prestaron mucha atención al evento.

Sin embargo, el 27 de junio una nueva amenaza similar a Petya (Diskcoder.C) puso en evidencia los sistemas de tantas empresas y las infraestructuras críticas de Ucrania. Esta amenaza incluyó la posibilidad de reemplazar el MBR con su propio código malicioso, funcionalidad prestada del ransomware Win32/Diskcoder.Petya.

Los autores de Diskcoder.C conseguían modificar el MBR de forma que la recuperación de archivos no fuera posible (al contrario que en el ransomware original Petya) y, a pesar de que se ofrecía información sobre el pago necesario, ahora sabemos que dichos datos no servían de nada. Una vez que el malware se ejecuta, intenta distribuirse utilizando el exploit EternalBlue, aprovechándose también del exploit DoublePulsar. Curiosamente se trata de un método similar al utilizado por WannaCry, aunque en este caso no fuera el único utilizado por los atacantes.

El malware es también capaz de distribuirse de la misma manera que Win32/Filecoder.AESNI.C (también conocido como XData) utilizando una versión ligera y modificada de Mimikatz para conseguir las credenciales y propagando el malware por la red local utilizando SysInternals PsExec. Además, los delincuentes utilizaron también un tercer método para distribuir el malware utilizando un mecanismo WMI. Todo esto para asegurarse de que conseguían infectar el mayor número de sistemas de una red.

Los tres métodos se usaron para distribuir el malware en las redes corporativas de las empresas afectadas pero, al contrario que con WannaCry, en este caso, Diskcoder.C usaba el exploit EternalBlue sólo contra equipos dentro de una misma red local y no para propagarse por Internet a nuevos sistemas vulnerables. Asociar a TeleBots con esta actividad es lo que hace comprender por qué se infectaron máquinas en otros países. Para conseguirlo, el laboratorio de ESET se centró en las conexiones VPN entre usuarios del software M.E.Doc, sus clientes y sus distribuidores. Además, se observaron los sistemas de intercambio de documentos y de mensajería interna de M.E.Doc, con los que los delincuentes podían enviar mensajes falsos a las víctimas. Los atacantes también podían acceder al servidor de actualizaciones que ofrece software legítimo. Utilizando este acceso, los delincuentes enviaron actualizaciones maliciosas sin necesidad de interactuar con los usuarios.

Con esta capacidad de infiltración tan profunda en la infraestructura de M.E.Docs y en sus clientes, los delincuentes tenían suficientes recursos como para distribuir Diskcoder.C. A pesar de sufrir algunos daños colaterales, los ataques han demostrado una importante capacidad de acción gracias a los recursos a su disposición. Además, las capacidades adicionales del exploit EternalBlue han añadido una dimensión única con la que la comunidad de expertos en ciberseguridad tendrá que tratar a partir de ahora“, continua el experto de ESET, Anton Cherepanov.