Al analizar un ataque de ransomware, la Unidad 42 encontró el malware PlugX. Esta variante primero identifica todos los dispositivos de medios extraíbles USB conectados, como disquetes, unidades flash o unidades flash, y luego infecta todos los medios insertados. Si se conecta una memoria USB infectada, la infección se propaga inmediatamente a todos los dispositivos USB conectados.
La Unidad 42 de Palo Alto Networks publicó una investigación sobre las herramientas que el equipo observó en respuesta a un ataque de ransomware por parte del grupo de hackers Black Basta. Durante la investigación, Palo Alto Networks identificó varias herramientas de interés en las máquinas de las víctimas, entre ellas: el malware GootLoader, la herramienta de formación de equipos rojos Brute Ratel C4 y una muestra de malware PlugX más antigua.
El malware infecta todos los medios USB
El malware PlugX llamó especialmente la atención de la Unidad 42, ya que esta variante infecta cualquier dispositivo de medios extraíbles USB conectado, como unidades de disquete, pulgar o flash, así como cualquier otro sistema al que se conecte el dispositivo USB más adelante.
Este malware PlugX también oculta los archivos de los atacantes en un dispositivo USB utilizando una técnica novedosa que funciona incluso en los últimos sistemas operativos (SO) de Windows al momento de escribir esta publicación. Esto significa que los archivos maliciosos solo se pueden ver en un sistema operativo similar a Unix (*nix) o montando el dispositivo USB en una herramienta forense.
Nueva variante oculta archivos de Office infectados
Además, Unit 42 descubrió una variante similar de PlugX en VirusTotal con la capacidad adicional de copiar todos los documentos Adobe PDF y Microsoft Word del host infectado a la carpeta oculta del dispositivo USB creada por el malware PlugX. El descubrimiento de estas muestras muestra que, al menos para algunos atacantes técnicamente expertos, PlugX todavía está evolucionando y que sigue siendo una amenaza activa.
El malware PlugX ha existido durante más de una década y se ha asociado comúnmente con grupos APT chinos en el pasado. A lo largo de los años, otros grupos de atacantes han adoptado y desplegado este malware, desde naciones-estados hasta actores de ransomware.
Hallazgos de la investigación
- Esta variante de PlugX es compatible con gusanos e infecta dispositivos USB de tal manera que se oculta del sistema de archivos de Windows. Un usuario no sabría que su dispositivo USB está infectado y podría usarse para la filtración de datos de la red.
- La variante de malware PlugX utilizada en este ataque infecta cualquier dispositivo de medios extraíbles USB conectado, como disquetes, unidades flash o unidades flash, así como cualquier sistema adicional al que se conecte el dispositivo USB más tarde.
- Unit 42 detectó una variante similar de PlugX en VirusTotal que infecta dispositivos USB y copia todos los archivos Adobe PDF y Microsoft Word del host. Estas copias se colocan en una carpeta oculta en el dispositivo USB creado por el malware.
- PlugX es un implante de segunda etapa utilizado no solo por algunos grupos de origen chino, sino también por varios grupos de ciberdelincuentes. Ha existido durante más de una década y se ha observado en algunos ataques cibernéticos de alto perfil, incluida la intrusión de la Oficina de Administración de Personal (OPM) del gobierno de EE. UU. en 2015.
- Cualquier host infectado con esta variante del malware PlugX busca constantemente nuevas unidades USB extraíbles para infectar. Este malware PlugX también oculta los archivos del atacante en un dispositivo USB utilizando una técnica novedosa que garantiza que los archivos maliciosos solo se puedan ver en un sistema operativo *nix o montando el dispositivo USB en una herramienta forense. Esta capacidad de evadir la detección permite que el malware PlugX se propague más y penetre potencialmente en las redes espiadas.
- El Brute Ratel C4 utilizado en este caso es el mismo payload (implante) de Badger informado anteriormente por Trend Micro, que también afecta al grupo de ransomware Black Basta.
Acerca de Palo Alto Networks Palo Alto Networks, el líder mundial en soluciones de ciberseguridad, está dando forma al futuro basado en la nube con tecnologías que transforman la forma en que trabajan las personas y las empresas. Nuestra misión es ser el socio de ciberseguridad preferido y proteger nuestra forma de vida digital. Lo ayudamos a abordar los mayores desafíos de seguridad del mundo con innovación continua aprovechando los últimos avances en inteligencia artificial, análisis, automatización y orquestación. Al ofrecer una plataforma integrada y potenciar un ecosistema creciente de socios, somos líderes en la protección de decenas de miles de empresas en nubes, redes y dispositivos móviles. Nuestra visión es un mundo donde cada día sea más seguro que el anterior.