Brain Cipher
Brain Cipher Se trata de una variante de la familia de ransomware LockBit que ha aparecido recientemente en el panorama de la ciberseguridad de Indonesia.
El origen de Brain Cipher
Brain Cipher El 20 de junio de 2024, un ataque muy sonado contra el Centro Nacional de Datos de Indonesia (Pusat Data Nasional - PDN), que provocó la interrupción de servicios públicos esenciales, entre ellos el de inmigración, atrajo la atención de todo el mundo.
En su declaración publicada el 2 de julio de 2024, el grupo subrayó que su ataque era una demostración de la importancia de financiar la industria de la ciberseguridad y reclutar especialistas cualificados, afirmando que sus acciones no tenían motivaciones políticas, sino que eran una forma de prueba de penetración posterior al pago.
El grupo ha cumplido su promesa y ha facilitado las claves de descifrado sin coste alguno, lo que permite a las víctimas restaurar sus datos cifrados sin necesidad de pagar un rescate.
Fuente de la captura de pantalla: X
Objetivos
Brain CipherObjetivos
Países destinatarios de Brain Cipher
El grupo de ransomware ha mostrado anteriormente su preferencia por atacar a organizaciones del sudeste asiático, especialmente Indonesia. Sin embargo, con sus recientes ataques a víctimas en Estados Unidos e Israel, es evidente que sus operaciones se están expandiendo más allá de esta región.
Industrias a las que se dirige Brain Cipher
Brain Cipher El ransomware se ha dirigido principalmente al sector público, con especial atención a las infraestructuras críticas. Recientemente han ampliado sus ataques para incluir los sectores financiero y manufacturero. El ataque a la PDN demostró la capacidad del grupo para interrumpir servicios vitales, provocando un caos generalizado y afectando a la seguridad pública.
Industrias a las que se dirige Brain Cipher
Brain Cipher El ransomware se ha dirigido principalmente al sector público, con especial atención a las infraestructuras críticas. Recientemente han ampliado sus ataques para incluir los sectores financiero y manufacturero. El ataque a la PDN demostró la capacidad del grupo para interrumpir servicios vitales, provocando un caos generalizado y afectando a la seguridad pública.
Brain CipherVíctimas
La víctima más notable del ransomware Brain Cipher hasta la fecha es el Pusat Data Nasional (PDN) de Indonesia. Este ataque provocó la interrupción de los servicios de inmigración y otros servicios públicos, afectando a 210 instituciones. El alcance total de la victimología del grupo sigue siendo objeto de investigación.
Fuente de estadísticas: ransomware.live
Método de ataque
Brain CipherMétodo de ataque
Brain Cipher El ransomware obtiene el acceso inicial a través de campañas en phishing . Los correos electrónicos engañosos engañan a los destinatarios para que descarguen y ejecuten archivos maliciosos.
El ransomware elude el Control de Cuentas de Usuario (T1548.002) para obtener privilegios elevados en los sistemas objetivo.
Al igual que sus técnicas de escalada de privilegios, elude el Control de Cuentas de Usuario (T1548.002) para evitar ser detectado por los sistemas de seguridad.
Brain Cipher roba cookies de sesiones web (T1539), credenciales de navegadores web (T1555.003) y credenciales almacenadas en archivos (T1552.001) para seguir infiltrándose en la red.
Brain Cipher realiza el descubrimiento de información del sistema (T1082), consulta el registro (T1012) y descubre el software instalado (T1518) para mapear el entorno infectado.
El ransomware se mueve lateralmente dentro de la red para maximizar su impacto, aunque no se detallan las técnicas específicas para esta etapa.
Recopila información sensible de los sistemas infectados, preparándose para una potencial exfiltración de datos.
Brain Cipher utiliza Windows Command Shell (T1059.003) y la ejecución de archivos maliciosos por parte del usuario (T1204.002) para ejecutar sus cargas útiles.
Realiza una doble extorsión al exfiltrar datos confidenciales y amenazar con hacerlos públicos si no se paga el rescate.
La principal táctica de impacto es el cifrado de datos por impacto (T1486), que hace inaccesibles los datos de la víctima hasta que se pague el rescate.
Acceso inicial
Brain Cipher El ransomware obtiene el acceso inicial a través de campañas en phishing . Los correos electrónicos engañosos engañan a los destinatarios para que descarguen y ejecuten archivos maliciosos.
Escalada de privilegios
El ransomware elude el Control de Cuentas de Usuario (T1548.002) para obtener privilegios elevados en los sistemas objetivo.
Defensa Evasión
Al igual que sus técnicas de escalada de privilegios, elude el Control de Cuentas de Usuario (T1548.002) para evitar ser detectado por los sistemas de seguridad.
Acceso con credenciales
Brain Cipher roba cookies de sesiones web (T1539), credenciales de navegadores web (T1555.003) y credenciales almacenadas en archivos (T1552.001) para seguir infiltrándose en la red.
Descubrimiento
Brain Cipher realiza el descubrimiento de información del sistema (T1082), consulta el registro (T1012) y descubre el software instalado (T1518) para mapear el entorno infectado.
Movimiento lateral
El ransomware se mueve lateralmente dentro de la red para maximizar su impacto, aunque no se detallan las técnicas específicas para esta etapa.
Colección
Recopila información sensible de los sistemas infectados, preparándose para una potencial exfiltración de datos.
Ejecución
Brain Cipher utiliza Windows Command Shell (T1059.003) y la ejecución de archivos maliciosos por parte del usuario (T1204.002) para ejecutar sus cargas útiles.
Exfiltración
Realiza una doble extorsión al exfiltrar datos confidenciales y amenazar con hacerlos públicos si no se paga el rescate.
Impacto
La principal táctica de impacto es el cifrado de datos por impacto (T1486), que hace inaccesibles los datos de la víctima hasta que se pague el rescate.
MITRE ATT&CK Cartografía
TTPs utilizados por Brain Cipher
Esta lista de TTPs no es exhaustiva, ya que todavía estamos trabajando para comprender plenamente el comportamiento de Brain Cipher; se actualizará regularmente a medida que recopilemos más información.
Fuente: Peris.ai
TA0001: Initial Access
No items found.
TA0002: Execution
T1204
User Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1548
Abuse Elevation Control Mechanism
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1548
Abuse Elevation Control Mechanism
T1562
Impair Defenses
TA0006: Credential Access
T1539
Steal Web Session Cookie
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
TA0007: Discovery
T1012
Query Registry
T1082
System Information Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
T1486
Data Encrypted for Impact
Detección de plataformas
Cómo detectar Brain Cipher con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Qué es el ransomware Brain Cipher ?
Brain Cipher es un grupo de ransomware conocido por dirigirse a grandes organizaciones y causar importantes trastornos mediante el cifrado de datos y la petición de rescates.
¿Cómo obtiene el ransomware Brain Cipher el acceso inicial?
El grupo utiliza principalmente campañas en phishing para engañar a las víctimas y conseguir que descarguen y ejecuten archivos maliciosos.
¿Qué sectores están más expuestos a los ataques de Brain Cipher ?
Las organizaciones del sector público y las infraestructuras críticas corren un alto riesgo, como demuestra el ataque al Centro Nacional de Datos de Indonesia.
¿Qué medidas defensivas pueden tomar las organizaciones contra Brain Cipher?
Impartir formación de concienciación en phishing , utilizar protección avanzada de puntos finales y mantener actualizados los parches de seguridad puede ayudar a mitigar el riesgo.
¿Cómo elude la detección el ransomware Brain Cipher ?
Elude el Control de Cuentas de Usuario y utiliza herramientas legítimas del sistema como Windows Command Shell para evitar ser detectado.
¿Qué debe hacer una organización si está infectada por Brain Cipher?
Aísle los sistemas afectados, notifíquelo a las fuerzas de seguridad y consulte con expertos en ciberseguridad antes de considerar el pago del rescate.
¿Se dedica Brain Cipher a la filtración de datos?
Sí, Brain Cipher emplea la doble extorsión exfiltrando datos y amenazando con liberarlos si no se paga el rescate.
¿Qué importancia tuvo el ataque al Centro Nacional de Datos de Indonesia?
El ataque interrumpió los servicios de inmigración y afectó a 210 instituciones, lo que pone de manifiesto la capacidad de impacto a gran escala del ransomware.
¿Qué papel desempeñan las soluciones de detección y respuesta ampliadas (XDR) en la lucha contra Brain Cipher?
Las soluciones XDR proporcionan capacidades integrales de detección y respuesta a amenazas, ayudando a identificar y mitigar ataques de ransomware como los realizados por Brain Cipher.
¿El ransomware Brain Cipher comparte similitudes con otros grupos de ransomware?
Brain Cipher Los ransomware comparten varias similitudes con LockBit 3.0, como sus avanzadas técnicas de cifrado y sus estrategias de doble extorsión.