La entidad de ciberseguridad AhnLab SEcurity intelligence Center (ASEC) ha identificado que el ransomware LockBit se está distribuyendo a través de archivos de Word desde el mes pasado. Cabe destacar que el ransomware LockBit suele distribuirse disfrazándose de currículum vitae, y los archivos de Word maliciosos encontrados recientemente también se disfrazaban de currículum vitae. El método de distribución del ransomware LockBit mediante URL externas en archivos de Word se descubrió por primera vez en 2022.
Método de operación Ransomware LockBit
El enlace externo se incluye en el archivo interno de Word \word_rels\settings.xml.rels, y el archivo de documento que tiene código de macro malicioso adicional se descarga desde la URL externa cuando se ejecuta el archivo de Word. La mayoría de las propiedades de los documentos eran similares a las de los documentos distribuidos en el pasado, por lo que se supone que se están reutilizando los documentos utilizados en el pasado.
Como se muestra en la siguiente figura, se incluyen imágenes en el archivo para solicitar a los usuarios que ejecuten la macro VBA maliciosa. Cuando se ejecuta la macro, se ejecuta la macro VBA incluida en el archivo de documento descargado de la URL externa.
El ransomware LockBit 3.0, una vez descargado y ejecutado, cifra los archivos del PC de la víctima:
Debido a los diversos tipos de malware que se distribuyen bajo la apariencia de hojas de vida, el informe aconseja a los usuarios extremar la precaución. El estudio pone de relieve la evolución de las tácticas de los ciberdelincuentes y la necesidad continua de vigilancia en las prácticas de ciberseguridad.
Indicadores de compromiso (IoC):
- [Detección de archivos]
Downloader/DOC.Macro (2023.12.29.03)
Descargador/DOC.Agente (2024.01.02.03)
Downloader/XML.Exernal (2024.01.09.00)
Malware/Win.AGEN.R417906 (2021.04.27.03)
Trojan/Win.Generic.R629778(2023.12.30.01)
Ransomware/Win.LockBit.XM170 (2023.10.05.02)
- [Detección de Comportamiento]
Ransomware/MDP.Event.M4194
- [Información IOC]
DOCX
fad3e205ac4613629fbcdc428ce456e5
6424cc2085165d8b5b7b06d5aaddca9a
1b95af49b05953920dbfe8b042db9285
11a65e914f9bed73946f057f6e6aa347
60684527583c5bb17dcaad1eeb701434
61fda72ff72cdc39c4b4df0e9c099293
16814dffbcaf12ccb579d5c59e151d16
9f80a3584dd2c3c44b307f0c0a6ca1e6
DOTM
f2a9bc0e23f6ad044cb7c835826fa8fe
4df66a06d2f1b52ab30422cbee2a4356
26b629643be8739c4646db48ff4ed4af
EXE
7a83a738db05418c0ae6795b317a45f9
bcf0e5d50839268ab93d1210cf08fa37
ab98774aefe47c2b585ac1f9feee0f19
- URL
hxxps://viviendas8[.]com/bb/qhrx1h.dotm
hxxps://learndash.825testsites[.]com/b/fgi5k8.dotm
hxxps://neverlandserver.nn[.]pe/b/ck0zcn.dotm
hxxps://learndash.825testsites[.]com/b/abc.exe
hxxps://viviendas8[.]com/bb/abc.exe
hxxps://neverlandserver.nn[.]pe/b/abc.exe
Recomendaciones
Además de bloquear los indicadores de compromiso, se recomienda:
- No abrir documentos de Word de fuentes desconocidas o no solicitadas, especialmente los que pretenden ser currículums. Asimismo, evitar permitir la ejecución de macros u otros elementos explotables de Microsoft Office.
- Hacer copias de seguridad periódicas de los archivos críticos para minimizar los daños en caso de ataque de ransomware. Lo ideal sería disponer de una copia de seguridad offline, inaccesible para los atacantes.
- Utilizar herramientas de supervisión de la red para detectar proactivamente actividades sospechosas y posibles indicadores de compromiso. Las soluciones NDR son capaces de proporcionar una visión completa de lo que ocurre dentro del perímetro y proteger de prácticamente cualquier amenaza. NDR es una aplicación del sistema de seguridad que sirve para la detección y respuesta de los equipos finales (conocido como EDR “Endpoint detection and response”)
Referencia:
https://securityonline.info/lockbit-ransomware-the-hidden-threat-in-resume-word-files/
