SOC Prime Bias: Alto

17 Apr 2026 14:40 UTC

El Rey de los Pagos Apunta al Trono del Ransomware

Author Photo
SOC Prime Team linkedin icon Seguir
El Rey de los Pagos Apunta al Trono del Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Investigación

ThreatLabz analizó múltiples muestras de ransomware, revirtiendo las funciones hash CRC y FNV1 personalizadas utilizadas por el malware e identificando persistencia a través de tareas programadas. Los investigadores también documentaron el esquema de cifrado, las extensiones de archivo objetivo y el flujo de ejecución general. Su análisis reveló una lista incorporada de procesos relacionados con la seguridad que el ransomware intenta terminar utilizando llamadas al sistema de bajo nivel antes de que comience el cifrado. Se extrajeron indicadores adicionales, incluidos parámetros de la línea de comandos y patrones de extensión de archivos, directamente de las muestras para apoyar los esfuerzos de detección y búsqueda.

Mitigación

Las organizaciones deben aplicar la autenticación multifactor, capacitar a los usuarios para reconocer intentos de ingeniería social y monitorear el uso sospechoso de herramientas como Microsoft Teams y Quick Assist. Los defensores también deberían bloquear extensiones de archivos conocidas relacionadas con ransomware y desplegar detecciones en endpoints capaces de identificar la creación de tareas programadas bajo la ruta de Mozilla, así como llamadas a SetFileInformationByHandle con FileRenameInfo. Se deben mantener copias de seguridad sin conexión regularmente, y las copias sombra deben protegerse para mejorar las opciones de recuperación en caso de cifrado.

Respuesta

Si se detecta actividad de Payouts King, aísle el sistema afectado inmediatamente y recopile tanto la memoria volátil como las imágenes del disco para análisis forense. Los investigadores deben revisar las tareas programadas para nombres como MozillaUpdateTask and MozillaElevateTask, luego buscar los argumentos de línea de comandos protegidos por CRC personalizados y las extensiones de archivo cifrado únicas asociadas con el malware. La recuperación debe centrarse en restaurar datos de copias de seguridad limpias verificadas. Los equipos de seguridad también deben enviar los hashes de muestra identificados a plataformas de inteligencia de amenazas relevantes para apoyar el seguimiento y la defensa más amplios.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: El Chequeo de Prevuelo de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y el relato DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico incorrecto.

  • Narrativa del Ataque y Comandos:

    El atacante, habiendo ganado acceso inicial, quiere asegurar que el ransomware se ejecute en cada reinicio del sistema y obtenga privilegios SYSTEM. Usan el binario schtasks.exe nativo para evitar introducir herramientas de terceros. Primero, crean una tarea «UpdateTask» que ejecuta una carga útil de ransomware ficticia, luego crean inmediatamente y ejecutan una «ElevateTask» que genera un proceso privilegiado para avanzar en la cadena de infección. Ambas tareas se colocan bajo el espacio de nombres Mozilla para imitar el patrón conocido de Payouts King. namespace to mimic the known Payouts King pattern.

    1. Crear UpdateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"
    2. Crear ElevateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"
    3. Ejecutar ElevateTask inmediatamente:

      schtasks.exe /run /tn MozillaElevateTask
    4. (Opcional) Verificar que las tareas existan:

      schtasks.exe /query /tn Mozilla* /fo LIST /v

    Estas líneas de comandos exactas coinciden con los selection1 and selection2 cláusulas de la regla Sigma, satisfaciendo la condición: selection1 y selection2 y no exclusión.

  • Script de Prueba de Regresión:

    # Simulación de Persistencia de Tarea Programada del Payouts King
    # -------------------------------------------------
    # Paso 1: Crear la UpdateTask (persistencia al inicio)
    schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"
    
    # Paso 2: Crear la ElevateTask (ayudante de escalación de privilegios)
    schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"
    
    # Paso 3: Ejecutar inmediatamente la ElevateTask para generar el segundo evento de detección
    schtasks.exe /run /tn MozillaElevateTask
    
    # Paso 4: Salida de confirmación (no requerida para detección, para visibilidad del operador)
    Write-Host "Tareas programadas creadas y ElevateTask ejecutada."
  • Comandos de Limpieza:

    # Eliminar las tareas creadas para la prueba
    schtasks.exe /delete /tn MozillaElevateTask /f
    schtasks.exe /delete /tn MozillaUpdateTask /f
    
    # Opcionalmente eliminar la carga útil ficticia
    Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue