Ya estamos a mediados de diciembre, y eso significa que ya va tocando el actor del mes. El anterior era Lazarus Group, y este mes vamos a ver Grim Spider.

Desde Derecho de la Red, sabemos que no pasan desapercibidos los últimos ataques por ransomware, Ryuk. Por ello vamos a ver un poco más en profundidad a este actor, al cual se relaciona directamente con este malware.

Antes de comenzar a verlo, os recordamos que disponemos de un nuevo canal de CTI. Para los que estén interesados os dejamos más información aquí: https://t.me/cti_espana.

Sin más, vamos a comenzar!!

Grim Spider

Grim Spider es un grupo “eCrime“, es decir, es un grupo cibercriminal. Se dice que este grupo es de origen Ruso y que lleva operando con el ransomware Ryuk desde agosto del 2018. Sus objetivos son grandes organizaciones, multinacionales… y su modus operandi consiste en la infección de las mismas para obtener a cambio un beneficio económico. Por ello atacan a grandes entidades, “cuanto más grande, más pasta” ¿no?

Este malware aprovecha el acceso a la red para difundir otro tipo de programas maliciosos (Emotet y TrickBot) y así robar credenciales de inicio de sesión. Por ello es por lo que se asocia a Grim Spider con Wizard Spider.

Wizard Spider es el grupo que se encuentra tras Trickbot. Es ruso también y es asociado a Grim Spider y Lunar Spider. Lo único que podemos saber es que hay pruebas que los relacionan, por sus formas de actuación y colaboración, pero todo son suposiciones basadas en los indicios obtenidos tras los análisis de los ataques.

Os dejamos con un enlace que habla sobre esta relación: https://www.crowdstrike.com/blog/wizard-spider-lunar-spider-shared-proxy-module/.

Uno de sus últimos ataques con éxito conocidos hasta la fecha ha sido el de Prosegur:

Desde Derecho de la Red queremos decir:

Este tipo de ataques a grandes empresas está siendo la orden del día. Empresas como Everis, Prosegur y Vodafone (sin confirmar a fecha de publicación la causa) han sufrido grandes incidentes de seguridad. Nos descartamos que puedan darse más ataques de este tipo. Puede pasarle a cualquiera.

Operaciones

Operation Pick-Six:

Malware Asociado

Como ya es costumbre, vamos a hablar sobre los malwares asociados. Ya os adelantamos que son especialistas en ransomware…

  • Ryuk Ransom
  • LockerGoga Ransom
  • Spider Ransom
  • Hermes Ransom
  • TrickBot

Os dejamos una comparativa entre Ryuk y Hermes realizada por Check Point: https://research.checkpoint.com/2018/ryuk-ransomware-targeted-campaign-break/

Virus Total

Vamos a dejaros algunas referencias que hemos encontrado de este grupo en los últimos 30 días en VT relacionadas con este actor:

Como podríamos seguir añadiendo una lista enorme, es por ello por lo que hemos puesto solo los más recientes que hemos encontrado.

IOCs

Vamos a ver algunos indicadores de compromiso.

031dd207c8276bcc5b41825f0a3e31b0
0f9931210bde86753d0f4a9abc5611fd
12597de0e709e44442418e89721b9140
32ea267296c8694c0b5f5baeacf34b0e
395d52f738eb75852fe501df13231c8d
39b7c130f1a02665fd72d65f4f9cb634
3c5575ce80e0847360cd2306c64b51a0
46d781620afc536afa25381504059612
4ec86a35f6982e6545b771376a6f65bb
73e7ddd6b49cdaa982ea8cb578f3af15
8452d52034d3b2cb612dbc59ed609163
8c099a15a19b6e5b29a3794abf8a5878
9d3fdb1e370c0ee6315b4625ecf2ac55
d2f9335a305440d91702c803b6d046b6
34187a34d0a3c5d63016c26346371b54
5ac0f050f93f86e69026faea1fbb4450
c0202cf6aeab8437c638533d14563d35
d348f536e214a47655af387408b4fca5
958c594909933d4c82e93c22850194aa
86c314bc2dc37ba84f7364acd5108c2b
29340643ca2e6677c19e1d3bf351d654
cb0c1248d3899358a375888bb4e8f3fe
1354ac0d5be0c8d03f4e3aba78d2223e
5ac0f050f93f86e69026faea1fbb4450

74654957ba3c9f1ce8bb513954b9deea68a5a82217806977a1247fb342db109f 7dc3fc208c41c946ac8238405fce25e04f0c2a7a9e1d2701986217bd2445487a

Recursos extras

Información relativa a este actor, informes, análisis de malware relativo a este actor…

Nos vemos el mes que viene con un nuevo actor, hasta la próxima!!

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.