El Rey de los Pagos Apunta al Trono del Ransomware
Detection stack
- AIDR
- Alert
- ETL
- Query
Investigación
ThreatLabz analizó múltiples muestras de ransomware, revirtiendo las funciones hash CRC y FNV1 personalizadas utilizadas por el malware e identificando persistencia a través de tareas programadas. Los investigadores también documentaron el esquema de cifrado, las extensiones de archivo objetivo y el flujo de ejecución general. Su análisis reveló una lista incorporada de procesos relacionados con la seguridad que el ransomware intenta terminar utilizando llamadas al sistema de bajo nivel antes de que comience el cifrado. Se extrajeron indicadores adicionales, incluidos parámetros de la línea de comandos y patrones de extensión de archivos, directamente de las muestras para apoyar los esfuerzos de detección y búsqueda.
Mitigación
Las organizaciones deben aplicar la autenticación multifactor, capacitar a los usuarios para reconocer intentos de ingeniería social y monitorear el uso sospechoso de herramientas como Microsoft Teams y Quick Assist. Los defensores también deberían bloquear extensiones de archivos conocidas relacionadas con ransomware y desplegar detecciones en endpoints capaces de identificar la creación de tareas programadas bajo la ruta de Mozilla, así como llamadas a SetFileInformationByHandle con FileRenameInfo. Se deben mantener copias de seguridad sin conexión regularmente, y las copias sombra deben protegerse para mejorar las opciones de recuperación en caso de cifrado.
Respuesta
Si se detecta actividad de Payouts King, aísle el sistema afectado inmediatamente y recopile tanto la memoria volátil como las imágenes del disco para análisis forense. Los investigadores deben revisar las tareas programadas para nombres como MozillaUpdateTask and MozillaElevateTask, luego buscar los argumentos de línea de comandos protegidos por CRC personalizados y las extensiones de archivo cifrado únicas asociadas con el malware. La recuperación debe centrarse en restaurar datos de copias de seguridad limpias verificadas. Los equipos de seguridad también deben enviar los hashes de muestra identificados a plataformas de inteligencia de amenazas relevantes para apoyar el seguimiento y la defensa más amplios.
Flujo de Ataque
Detecciones
Posible Uso de Schtasks o AT para Persistencia (vía cmdline)
Ver
Actividad Sospechosa de VSSADMIN (vía cmdline)
Ver
IOCs (HashSha256) para detectar: Payouts King Apunta al Trono del Ransomware
Ver
Persistencia de Tarea Programada del Payouts King Ransomware [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Prerrequisito: El Chequeo de Prevuelo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y el relato DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico incorrecto.
-
Narrativa del Ataque y Comandos:
El atacante, habiendo ganado acceso inicial, quiere asegurar que el ransomware se ejecute en cada reinicio del sistema y obtenga privilegios SYSTEM. Usan el
binario schtasks.exenativo para evitar introducir herramientas de terceros. Primero, crean una tarea «UpdateTask» que ejecuta una carga útil de ransomware ficticia, luego crean inmediatamente y ejecutan una «ElevateTask» que genera un proceso privilegiado para avanzar en la cadena de infección. Ambas tareas se colocan bajo elespacio de nombres Mozilla para imitar el patrón conocido de Payouts King.namespace to mimic the known Payouts King pattern.-
Crear UpdateTask:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" -
Crear ElevateTask:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" -
Ejecutar ElevateTask inmediatamente:
schtasks.exe /run /tn MozillaElevateTask -
(Opcional) Verificar que las tareas existan:
schtasks.exe /query /tn Mozilla* /fo LIST /v
Estas líneas de comandos exactas coinciden con los
selection1andselection2cláusulas de la regla Sigma, satisfaciendo lacondición: selection1 y selection2 y no exclusión. -
-
Script de Prueba de Regresión:
# Simulación de Persistencia de Tarea Programada del Payouts King # ------------------------------------------------- # Paso 1: Crear la UpdateTask (persistencia al inicio) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" # Paso 2: Crear la ElevateTask (ayudante de escalación de privilegios) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" # Paso 3: Ejecutar inmediatamente la ElevateTask para generar el segundo evento de detección schtasks.exe /run /tn MozillaElevateTask # Paso 4: Salida de confirmación (no requerida para detección, para visibilidad del operador) Write-Host "Tareas programadas creadas y ElevateTask ejecutada." -
Comandos de Limpieza:
# Eliminar las tareas creadas para la prueba schtasks.exe /delete /tn MozillaElevateTask /f schtasks.exe /delete /tn MozillaUpdateTask /f # Opcionalmente eliminar la carga útil ficticia Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue