Introducción
En un caso reciente de respuesta a incidentes, detectamos una variante del ransomware Mimic con algunas características de personalización interesantes. Los atacantes pudieron conectarse a través de RDP al servidor de la víctima después de un ataque de fuerza bruta exitoso para luego ejecutar el ransomware. Después de eso, los adversarios pudieron elevar los privilegios utilizando la vulnerabilidad CVE-2020-1472 (Zerologon).
La variante identificada abusa de la biblioteca Everything y proporciona una interfaz gráfica de usuario fácil de usar para que el atacante personalice las operaciones realizadas por el malware. También tiene funciones para deshabilitar los mecanismos de seguridad y ejecutar comandos del sistema.
Esta variante del ransomware se llama Elpaco y contiene archivos con extensiones con el mismo nombre. En esta publicación, brindamos detalles sobre Elpaco, además de los ya compartidos, así como las tácticas, técnicas y procedimientos (TTP) empleados por los atacantes.
Análisis
Primer vistazo a la muestra
Nuestro análisis comenzó con una inspección básica de la muestra. Primero, verificamos sus propiedades, como el tipo de archivo, las cadenas y las capacidades, como se muestra en las imágenes a continuación:
