Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

LockerGoga: acciones de respuesta y recuperación

Fecha de publicación 01/06/2023
Autor
INCIBE (INCIBE)
LockerGoga: acciones de respuesta y recuperación

LockerGoga es un malware de tipo ransomware, utilizado por los ciberdelincuentes para cifrar archivos y exigir un rescate en criptomonedas para recuperar el acceso a ellos. Aunque los vectores de propagación pueden ser diversos, el más habitual es mediante técnicas de phishing y explotación de vulnerabilidades para infectar los sistemas, causando graves daños.

Fue descubierto por primera vez el 24 de enero de 2019, durante el ataque a la compañía Altran y se ha expandido desde entonces a más de 1800 víctimas en 71 países, entre las que se puede destacar Norsk Hydro y Hexicon.

Los operadores de LockerGoga fueron arrestados en octubre de 2021, durante una acción conjunta de más de 30 países de todo el mundo, que permitió a los agentes de la ley encontrar las claves criptográficas utilizadas para cifrar los datos de las víctimas. Un año después, Bitdefender publicó la herramienta de descifrado.

campañas_de_distribución_lockergoga

- Campañas de distribución del LockerGoga. Fuente McAFee -

Características

Motivación  
La mayoría de las muestras de este malware no presenta una dependencia de acceso a la red para funcionar; más bien al contrario, intentan desactivar todas las interfaces de red para aislar el sistema y evitar posibles mecanismos de detección. Además, también cierra la sesión de cualquier usuario conectado al sistema, modificando todas las contraseñas, lo que dificulta el pago del rescate, ya que incluso la nota de rescate queda inaccesible. Esto llevó a varios investigadores a pensar que el objetivo era más bien la interrupción y la denegación del servicio, en lugar del beneficio económico directo.

Nota_de_rescate

- Nota de rescate. -

Evasión de la detección  
Dependiendo de la versión del malware, podemos encontrar varios mecanismos para detectar sandbox o evadir soluciones AV y EDR, ejecutando un archivo llamado "kill.bat".

Como se mencionó anteriormente, el otro método utilizado para dificultar que el equipo de seguridad sea alertado sobre la infección, y que a su vez fue implementado sobre la mayoría de sus versiones, era tratar de desactivar todas las interfaces de red del dispositivo.

Cifrado  
LockerGoga utiliza AES con modo CTR para cifrar cada archivo con una nueva clave de 128 bits. Durante el proceso de cifrado, se agregaban tres elementos al final del archivo cifrado:

  • La clave AES.
  • El vector de inicialización.
  • El tamaño del archivo original.

Todo esto se cifra con una clave pública codificada en el binario principal. Una vez cifrados, los nombres de archivo se agregan con la extensión ".locked".

Se descubrió que algunas variantes también cifraban la partición del Administrador de arranque de Windows, así como algunas DLL del sistema, lo que hacía que el sistema quedase en estado inestable o incapaz de reiniciarse.

Esto podría indicar una voluntad de interrumpir el entorno objetivo, pero también podría ser debido a una programación incorrecta. Algunas muestras analizadas por investigadores también se cifraban a sí mismas, lo que provocaba un fallo y detenía el ataque. Sin embargo, durante otras campañas, el malware evitó cifrar específicamente algunas carpetas del sistema. Esto confirmaba que los atacantes, desarrollaban e implementaban mejoras para solucionar errores y adoptar un método más eficiente.

Propagación  
Las capacidades de propagación también dependen de la muestra, algunas no producen tráfico de red, mientras que otras cifran todos los archivos compartidos, pero todas utilizan el protocolo de escritorio remoto (RDP) para moverse entre los sistemas y, mediante el protocolo SMB, compartir las cargas útiles del malware, copiándolas manualmente a cada uno de los sistemas objetivo. En varias campañas, el malware se cargaba en el directorio NetLogon del Active Directory, haciéndolo accesible a todos los hosts registrados en él, para iniciarse de forma remota mediante psexec.

para iniciarse de forma remota mediante psexec

Este método de propagación resultó efectivo y difícil de detectar para los equipos de seguridad.

Respuesta y desinfección

  
Además de mantener todos los sistemas actualizados y de realizar copias de seguridad de los sistemas, de forma habitual, se pueden considerar varias medidas adicionales, a la hora de mitigar o recuperarse de un ataque de LockerGoga:

  • Aprovechar el error de programación en algunas muestras: algunos investigadores descubrieron una manera de obstaculizar el proceso de cifrado llevado a cabo por el malware que consiste en detener la ejecución del mismo mediante la activación de una excepción no controlada en el código a través de un archivo "lnk" mal formado, presente en las carpetas objetivo ("C:" y subdirectorios). Sin embargo, algunas versiones de LockerGoga han corregido este fallo.
  • Añadir a la lista negra los certificados de firma: según algunas investigaciones, es posible descargar unos certificados de firma y agregarlos al repositorio de 'certificados no confiables' (incluso aunque los certificados se encuentren revocados), para que la ejecución del malware, produzca un error del sistema de archivos, con el código 65535, lo que lleva a un bloqueo en la ejecución.
  • Utilizar la herramienta de descifrado publicada y documentada por Bitdefender: El proceso de desinfección sería el siguiente:

    Descargar e instalar el programa:

pantalla_instalacion_bitdefender_removal

- Pantalla instalación de Bitdefender Removal Tool. Fuente: propia -

Leer y aceptar los términos de uso:

pantalla_De_Ejecución_de_la_herramienta

- Pantalla de ejecución de la herramienta. Fuente: propia-

Seleccionar “Escanear todo el sistema” para buscar todos los archivos cifrados o seleccionar únicamente la ruta deseada:

pantalla_De_escaneo_de_la_herramienta

- Pantalla de escaneo de la herramienta. Fuente: propia -

Después de validar la configuración, el escaneo comienza a buscar archivos cifrados:

Bitdefender_pantalla_de_finalizacion_de_escaneo

- Pantalla de finalización de escaneo. Fuente: propia -

Una vez finalizado el proceso, se muestra un resumen de la actividad del descifrado, indicando si se encontró algún problema. En el caso del ejemplo, parece que no fue posible recuperar todos los archivos.

También se genera un archivo de registro. Si se ejecuta varias veces la herramienta de descifrado, los registros se agregan al mismo archivo, por lo que no se perderá información. Este archivo se genera para comprender qué archivos no se restauraron. También se proporciona una dirección de correo electrónico de contacto para que el afectado pueda pedir ayuda a Bitdefender si sus archivos no descifrados eran importantes, y también para solicitar una mejora sobre la herramienta si se produce un error, lo que dificultaría el proceso de descifrado.

Log_extraido_de_la_herramienta

-Log extraído de la herramienta. -

También es posible ejecutar la herramienta desde la línea de comandos, lo cual resulta muy útil para la automatización del proceso en varios equipos o redes. Los comandos más interesantes son: 

  • -help: proporcionará información sobre cómo ejecutar la herramienta en silencio (esta información se escribirá en el archivo de registro, no en la consola). 
  • -start: permite que la herramienta se ejecute en silencio (sin GUI). 
  • -scan-path: especifica la ruta que contiene los archivos cifrados. 
  • -full-scan: habilitará la opción ‘escanear’ todo el sistema (ignorando el argumento -scan-path).
  • -disable-backup: deshabilitará la opción de copia de seguridad de archivos.
  • -replace-existing: habilitará la opción ‘reemplazar’ archivos previamente descifrados.

Otros recursos de interés:

IOCs:   
•Github con múltiples IOCs para LockerGog.a

Hashes y otros recursos: 
•    Sitio de abuse.io con diferentes recursos.

Nombres de binarios: 
•worker32 
•bdf36127817413f625d2625d3133760af724d6ad2410bea7297ddc116abc268f_wQkb8SOVnc.bin 
•svch0st.5817.exe 
•svch0st.11077.exe

Reglas Yara compatibles: 
https://pastebin.com/2wZWV4EU 
McAfee
The Nozomi Networks Threat Intelligence

rule_LockerGoga_Ransomware

Conclusiones

Durante todas las campañas conocidas de LockerGoga, no se encontró ningún vector de entrada particular, como si suele ocurrir con otros tipos de malware similar. Se sospecha que los principales vectores fueron campañas de phishing y credenciales robadas. Es por esto por lo que mantener los sistemas actualizados limita la superficie del ataque, tanto externa como interna. Las copias de seguridad son la forma más fácil de recuperarse de un ataque de ransomware, por lo que a menudo son el objetivo de los ciberdelincuentes. Mantenerlos en una red segmentada y controlada son métodos muy recomendables, así como la formación y concienciación de los empleados.