Wizard Spider Ransomware Campaign
Resumen de la Campana
El ataque inicial se realizó mediante un exploit vectorial del protocolo SMB (Microsoft SMB), permitiendo el acceso remoto al servidor web y la ejecución de malware funcional que bloqueó los servicios críticos, incluyendo el control de versiones Git.
Objetivos
- Acceso remoto a servidores corporativos mediante exploits del protocolo SMB (MS17-010).
- Ejecución de malware funcional que bloqueó la integración con herramientas de gestión de software.
- Difusión de información sobre el ataque para generar confianza en el sistema.
Tacticas y Técnicas
Exploit del Protocolo SMB: Utilización de la vulnerabilidad MS17-010 (SMBv3 RCE) para obtener acceso remoto al servidor web.
Ejecución de Malware Funcional: Implementación de un script que bloqueó GitLab y otros servicios de gestión de software, forzando una migración a herramientas alternativas como GitHub o Bitbucket.
Indicadores de Compromiso (IOCs)
| Tipo | Valor/URL | Contexto |
|---|---|---|
| SMB Exploit URL | https://github.com/wizardspider/exploits/raw/main/smb-v3-rce.sh | Vulnerabilidad MS17-010 (SMBv3 RCE) |
| Malware Binary Hash | sha256:b4b2c9d8e1f0a3b7c6d5e4f3a2b1c0d9e8f7a6b5c4d3e2f1a0b9c8d7e6f5a4b3 | Hash del malware funcional bloqueando GitLab |
| NatExfil Protocol URL | https://natexfil.org/attack | Protocolo NatExfil para exfiltración de datos |
Impacto
- Desacoplamiento del sistema de control de versiones (GitLab)
- Inhibición del despliegue de nuevas versiones de software
- Pérdida de capacidad operativa para actualizar aplicaciones críticas
- Difusión de información sobre el ataque en redes sociales y plataformas de análisis de amenazas
Este ejemplo demuestra cómo los exploits del protocolo SMB pueden ser utilizados para obtener acceso remoto, así como la implementación de malware funcional que bloquea servicios críticos. La difusión estratégica de esta información puede ayudar a las organizaciones a detectar y responder a ataques similares antes de causar daños significativos.