SOC Prime Bias: Alto

17 Abr 2026 17:40
newspaper icon Informe de Ransomware de ThreatLabz

El Rey de los Pagos Apunta al Trono del Ransomware

Author Photo
SOC Prime Team linkedin icon Seguir
El Rey de los Pagos Apunta al Trono del Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Investigación

ThreatLabz analizó múltiples muestras de ransomware, revirtiendo las funciones hash CRC y FNV1 personalizadas utilizadas por el malware e identificando persistencia a través de tareas programadas. Los investigadores también documentaron el esquema de cifrado, las extensiones de archivo objetivo y el flujo de ejecución general. Su análisis reveló una lista incorporada de procesos relacionados con la seguridad que el ransomware intenta terminar utilizando llamadas al sistema de bajo nivel antes de que comience el cifrado. Se extrajeron indicadores adicionales, incluidos parámetros de la línea de comandos y patrones de extensión de archivos, directamente de las muestras para apoyar los esfuerzos de detección y búsqueda.

Mitigación

Las organizaciones deben aplicar la autenticación multifactor, capacitar a los usuarios para reconocer intentos de ingeniería social y monitorear el uso sospechoso de herramientas como Microsoft Teams y Quick Assist. Los defensores también deberían bloquear extensiones de archivos conocidas relacionadas con ransomware y desplegar detecciones en endpoints capaces de identificar la creación de tareas programadas bajo la ruta de Mozilla, así como llamadas a SetFileInformationByHandle con FileRenameInfo. Se deben mantener copias de seguridad sin conexión regularmente, y las copias sombra deben protegerse para mejorar las opciones de recuperación en caso de cifrado.

Respuesta

Si se detecta actividad de Payouts King, aísle el sistema afectado inmediatamente y recopile tanto la memoria volátil como las imágenes del disco para análisis forense. Los investigadores deben revisar las tareas programadas para nombres como MozillaUpdateTask and MozillaElevateTask, luego buscar los argumentos de línea de comandos protegidos por CRC personalizados y las extensiones de archivo cifrado únicas asociadas con el malware. La recuperación debe centrarse en restaurar datos de copias de seguridad limpias verificadas. Los equipos de seguridad también deben enviar los hashes de muestra identificados a plataformas de inteligencia de amenazas relevantes para apoyar el seguimiento y la defensa más amplios.

graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef credential fill:#ffccff classDef operator fill:#ff9900 action_phishing[«<b>Acción</b> – <b>T1566.001 Phishing: adjunto de spearphishing</b><br/><b>Descripción</b>: Email con adjunto malicioso que suplanta personal IT.<br/><b>ID técnica</b>: T1566.001»] class action_phishing action action_user_exec[«<b>Acción</b> – <b>T1204.002 Ejecución del usuario</b><br/><b>Descripción</b>: La víctima abre el archivo y ejecuta ransomware.<br/><b>ID técnica</b>: T1204.002»] class action_user_exec action tool_malicious_file[«<b>Herramienta</b> – Archivo payload malicioso<br/><b>Descripción</b>: Ejecutable entregado por phishing.<br/><b>Tipo</b>: .exe o script»] class tool_malicious_file tool process_cmd_shell[«<b>Proceso</b> – T1059.003 Windows Command Shell<br/><b>Descripción</b>: cmd.exe ejecutado por ransomware.<br/><b>ID técnica</b>: T1059.003»] class process_cmd_shell process action_scheduled_task[«<b>Acción</b> – T1053 Tarea programada<br/><b>Descripción</b>: Crea tarea \Mozilla\UpdateTask.<br/><b>ID técnica</b>: T1053»] class action_scheduled_task action action_elevate_task[«<b>Acción</b> – T1546 Ejecución por eventos<br/><b>Descripción</b>: Ejecuta ransomware como SYSTEM.<br/><b>ID técnica</b>: T1546»] class action_elevate_task action defense_obfuscation_dynapi[«<b>Evasión</b> – T1027.007 Resolución dinámica de API<br/><b>Descripción</b>: Hash CRC/FNV1 para APIs.<br/><b>ID técnica</b>: T1027.007»] class defense_obfuscation_dynapi malware defense_evasion_process_kill[«<b>Evasión</b> – T1564.011 Ignorar interrupciones de proceso<br/><b>Descripción</b>: Termina procesos AV con syscalls.<br/><b>ID técnica</b>: T1564.011»] class defense_evasion_process_kill malware defense_obfuscation_general[«<b>Evasión</b> – T1027 Archivos ofuscados<br/><b>Descripción</b>: Strings en stack y secciones cifradas.<br/><b>ID técnica</b>: T1027»] class defense_obfuscation_general malware impact_encrypt_files[«<b>Impacto</b> – T1560.003 Método de cifrado personalizado<br/><b>Descripción</b>: AES-256-CTR + RSA-4096.<br/><b>ID técnica</b>: T1560.003»] class impact_encrypt_files malware impact_delete_shadows[«<b>Impacto</b> – T1006 Eliminación de shadow copies<br/><b>Descripción</b>: vssadmin elimina copias.<br/><b>ID técnica</b>: T1006»] class impact_delete_shadows malware impact_clear_logs[«<b>Impacto</b> – T1070.001 Borrado de logs<br/><b>Descripción</b>: EvtClearLog elimina eventos.<br/><b>ID técnica</b>: T1070.001»] class impact_clear_logs malware credential_private_key[«<b>Credencial</b> – T1552.004 Claves privadas<br/><b>Descripción</b>: Clave RSA protege AES.<br/><b>ID técnica</b>: T1552.004»] class credential_private_key credential action_phishing –>|lleva a| action_user_exec action_user_exec –>|ejecuta| tool_malicious_file tool_malicious_file –>|lanza| process_cmd_shell process_cmd_shell –>|crea| action_scheduled_task action_scheduled_task –>|crea| action_elevate_task action_elevate_task –>|habilita| defense_obfuscation_dynapi action_elevate_task –>|habilita| defense_evasion_process_kill action_elevate_task –>|habilita| defense_obfuscation_general defense_obfuscation_dynapi –>|soporta| impact_encrypt_files defense_evasion_process_kill –>|soporta| impact_encrypt_files defense_obfuscation_general –>|soporta| impact_encrypt_files impact_encrypt_files –>|usa| credential_private_key impact_encrypt_files –>|causa| impact_delete_shadows impact_encrypt_files –>|causa| impact_clear_logs

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: El Chequeo de Prevuelo de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y el relato DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico incorrecto.

  • Narrativa del Ataque y Comandos:

    El atacante, habiendo ganado acceso inicial, quiere asegurar que el ransomware se ejecute en cada reinicio del sistema y obtenga privilegios SYSTEM. Usan el binario schtasks.exe nativo para evitar introducir herramientas de terceros. Primero, crean una tarea «UpdateTask» que ejecuta una carga útil de ransomware ficticia, luego crean inmediatamente y ejecutan una «ElevateTask» que genera un proceso privilegiado para avanzar en la cadena de infección. Ambas tareas se colocan bajo el espacio de nombres Mozilla para imitar el patrón conocido de Payouts King. namespace to mimic the known Payouts King pattern.

    1. Crear UpdateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"

    2. Crear ElevateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"

    3. Ejecutar ElevateTask inmediatamente:

      schtasks.exe /run /tn MozillaElevateTask

    4. (Opcional) Verificar que las tareas existan:

      schtasks.exe /query /tn Mozilla* /fo LIST /v

    Estas líneas de comandos exactas coinciden con los selection1 and selection2 cláusulas de la regla Sigma, satisfaciendo la condición: selection1 y selection2 y no exclusión.

  • Script de Prueba de Regresión:

    # Simulación de Persistencia de Tarea Programada del Payouts King
# -------------------------------------------------
# Paso 1: Crear la UpdateTask (persistencia al inicio)
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"

# Paso 2: Crear la ElevateTask (ayudante de escalación de privilegios)
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"

# Paso 3: Ejecutar inmediatamente la ElevateTask para generar el segundo evento de detección
schtasks.exe /run /tn MozillaElevateTask

# Paso 4: Salida de confirmación (no requerida para detección, para visibilidad del operador)
Write-Host "Tareas programadas creadas y ElevateTask ejecutada."

  • Comandos de Limpieza:

    # Eliminar las tareas creadas para la prueba
schtasks.exe /delete /tn MozillaElevateTask /f
schtasks.exe /delete /tn MozillaUpdateTask /f

# Opcionalmente eliminar la carga útil ficticia
Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis