Historias deRansomware

pandasecurity/enterprise.com

Historias de Ransomware2 |

Luis Corrons lleva trabajando en el sector de la seguridad desde 1999, año en el que comenzó su carrera profesional en Panda Security.

En 2002, fue nombrado Director de PandaLabs, el laboratorio de investigación de malware de la compañía, así como coordinador de alertas de malware en situaciones de infección de malware a nivel mundial. Desde 2007, como Director Técnico de PandaLabs, ha coordinado numerosos proyectos relacionados con análisis de malware, y ha colaborado en operaciones llevadas a cabo por cuerpos de seguridad, tanto a nivel nacional como internacional. Luis Corrons es colaborador de la WildList, miembro de la Junta Directiva de AMTSO (Anti-Malware Testing Standards Organization) y miembro del comité de dirección de MUTE (Malicious URLs Tracking and Exchange). Luis es un conocido ponente en las más importantes conferencias de seguridad, como RSA, Virus Bulletin, HackInTheBox, AVAR, Security BSides, etc.

Historias de Ransomware

Luis CorronsPandaLabs

Technical Director

“No existe la seguridad plena en ningún ámbito de la vida y tampoco en Internet”

Historias de Ransomware2 |

Historias de Ransomware3 |

Conoce los trucos del nuevo

Locky

5

El punto de partida

Powerware

1

Campañasde

Spam

3

Cómo aprovecharse de

los trucos del ransomware

4

‘Crysis’ mundial: protocolo

de escritorio remoto

6

El auguede

Cerber

2

Historias de Ransomware4 |

El ransomware concreto por el que nos preguntaban nos sonaba de hace tiempo y, de hecho, nuestros colegas de Carbon Black escribieron un artículo sobre él en marzo pasado.

El flujo de ataque es fácil de seguir: comienza con un correo de phishing con un documento Word adjunto.

Una vez abierto, una macro incluida en el documento ejecuta el archivo cmd.exe para abrir PowerShell, que utiliza para descargar un script desde Internet.

A continuación, se vuelve a ejecutar PowerShell empleando dicho script como datos de entrada para llevar a cabo las acciones del ransomware.

El ataque comienza con un correo de phishing con un documento Word adjunto.

Este Powerware, tal y como lo han llamado los chicos de Carbon Black, es uno más de los miles de ransomware que vemos. En nuestro caso, ya lo bloqueábamos incluso antes de conocerlo de esta familia de ransomware (como en el 99.99% de los casos… ¿He mencionado ya que somos los mejores del mundo neutralizando ataques de ransomware?).

Pero he de admitir que para algunas empresas de seguridad esta familia concreta de malware supone un reto mayor que las demás.

¿Cuál es el motivo? Bueno, muchos de los llamados ‘Antivirus de Nueva Generación’ siguen confiando demasiado en las firmas de virus (un momento…

¿No son ellos precisamente los que dicen no utilizarlas?), y además su presencia es mucho mayor en el perímetro que en el endpoint.

Y como os podéis imaginar, bloquear documentos de Word en el perímetro no es precisamente lo más conveniente. Una vez se han infectado algunos clientes es cuando pueden añadir las firmas correspondientes al antivirus y proteger al resto (por ejemplo, bloqueando las direcciones IP desde la que se descarga el script), aunque la ausencia de un ejecutable malicioso que se descargue desde Internet es una auténtica pesadilla para ellos…

Al final, el ransomware es un negocio increíble para los ciber-delincuentes, y como tal, invierten grandes cantidades de recursos en encontrar nuevas maneras de evitar ser detectados por todo tipo de soluciones de seguridad, siendo este Powerware un ejemplo más de esta tendencia.

El comportamiento general es siempre el mismo, aunque se introducen pequeños cambios cada semana. Estos cambios pueden afectar tanto al propio malware (el modo en que lleva a cabo sus acciones) como a la forma de llegar al sistema (mediante el uso de nuevos exploits, modificación de exploits existentes, modificación de los efectos de dichos exploits, etc.)

w

El punto de partida: PowerwareHace unas semanas recibimos en PandaLabs una pregunta sobre una familia concreta de ransomware que emplea PowerShell, una herramienta de Microsoft incluida en Windows 10 y que lleva tiempo siendo explotada por los ciber-delincuentes.

Historias de Ransomware5 | Historias de Ransomware5 |

Un buen ejemplo de los nuevos métodos de infección es uno que hemos visto recientemente: después de explotar una vulnerabilidad de Internet Explorer, se ejecuta la consola CMD mediante la función ‘echo’ para crear un script.

A continuación, se ejecutan una serie de archivos de Windows para realizar las acciones encaminadas a evitar la detección de los comportamientos sospechosos por parte de las soluciones de seguridad. El script, ejecutado por Wscript, descarga una DLL.

A continuación, emplea CMD para ejecutar regsvr32, que ejecuta la DLL (mediante rundll32). En la mayoría de casos, dicha DLL es un ransomware. De hecho, hasta el momento hemos bloqueado más de 500 intentos de infección que emplean este nuevo método.

No hemos analizado el exploit utilizado (en realidad no nos importa demasiado siempre que seamos capaces de bloquearlo), pero teniendo en cuenta el momento del ataque (que apareció por primera vez el 27 de junio), éste tuvo lugar una vez AnglerEK había desaparecido, por lo que es probable que los atacantes utilizasen o Neutrino o Magnitude.

Siempre que aparece algo nuevo como esto, alguien termina publicando información sobre el mismo un mes después, así que me temo que les acabamos de fastidiar el análisis a algunos, o al menos, dicho análisis ya no parecerá tan nuevo…

Para compensar, publicamos los MD5 de todas las DLLs que hemos visto ‘in the wild’ en los más de 500 intentos de infección que hemos detectado:

00d3a3cb7d003af0f52931f192998508

09fc4f2a6c05b3ab376fb310687099ce

1c0157ee4b861fc5887066dfc73fc3d7

1cda5e5de6518f68bf98dfcca04d1349

1db843ac14739bc2a3c91f652299538c

2c5550778d44df9a888382f32c519fe9

2dcb1a7b095124fa73a1a4bb9c2d5cb6

2f2ca33e04b5ac622a223d63a97192d2

38fb46845c2c135e2ccb41a199adbc2a

3ac5e4ca28f8a29c3d3234a034478766

4cb6c65f56eb4f6ddaebb4efc17a2227

562bf2f632f2662d144aad4dafc8e316

63dafdf41b6ff02267b62678829a44bb

67661eb72256b8f36deac4d9c0937f81

6dbc10dfa1ce3fb2ba8815a6a2fa0688

70e3abaf6175c470b384e7fd66f4ce39

783997157aee40be5674486a90ce09f2

7981aab439e80b89a461d6bf67582401

821b409d6b6838d0e78158b1e57f8e8c

96371a3f192729fd099ff9ba61950d4b

9d3bf048edacf14548a9b899812a2e41

a04081186912355b61f79a35a8f14356

a1aa1180390c98ba8dd72fa87ba43fd4

a68723bcb192e96db984b7c9eba9e2c1

abb71d93b8e0ff93e3d14a1a7b90cfbf

b1ac0c1064d9ca0881fd82f8e50bd3cb

b34f75716613b5c498b818db4881360e

b6e3feed51b61d147b8679bbd19038f4

bbf33b3074c1f3cf43a24d053e071bc5

cba169ffd1b92331cf5b8592c8ebcd6a

d4fee4a9d046e13d15a7fc00eea78222

d634ca7c73614d17d8a56e484a09e3b5

de15828ccbb7d3c81b3d768db2dec419

df92499518c0594a0f59b07fc4da697e

dfd9ea98fb0e998ad5eb72a1a0fd2442

e5c5c1a0077a66315c3a6be79299d835

e9b891e433468208a87070a98762f9e7

ea45792911f35a35f19165cd485806f0

eaea54f86a6bd121fda4c18cbec75ae5

f949adaed84f1f05eb58386b5cfbf8a7

fa662d4796c1271a7a2a3240bcafb098

fc992705721fbedeecf5253ac62e0812

“Hasta el momento hemos bloqueado más de 500 intentos de infección”

Historias de Ransomware6 |

Cerber, el segundo capítulo de nuestra historia. En el primer artículo de Historias de Ransomware ya os hablamos sobre el uso y abuso de la herramienta de Windows llamada PowerShell para infectar equipos con ransomware. La verdad es que existen muchas maneras de utilizarla ya que, como su propio nombre indica, PowerShell es una herramienta muy potente. Una de las formas más sencillas es hacer que descargue y ejecute un archivo de malware. Pero para hacerlo, primero hay que conseguir ejecutar PowerShell mediante un script, macros incluidas en documentos de Office o mediante un exploit. En el caso de Cerber lo más habitual es el uso de exploit kits o herramientas diseñadas para la explotación de vulnerabilidades.

Estos empleaban PowerShell para descargar y ejecutar malware (ransomware en este caso): Fig.1

A primera vista, la mayoría del malware parece ser Cerber, aunque también se podrían haber utilizado otras familias de ransomware (mientras seamos capaces de bloquear todas las infecciones tampoco tenemos necesidad de examinar todos y cada uno de los binarios, salvo puro afán de investigación). La mayoría de estos ataques tuvieron lugar en las primeras semanas de julio. De hecho, si nos remontamos a octubre del año pasado, podemos ver que ésta es la mayor oleada de ataques con esta técnica de infección de los últimos 10 meses: Fig.2

Hemos seleccionado de forma aleatoria unos cuantos de los miles de hashes que hemos bloqueado, por si os apetece “jugar” con ellos en vuestro laboratorio y proteger a vuestros clientes: ransomware_list

Otra forma bastante habitual hoy en día de ejecutar malware para infectar a víctimas con Cerber es mediante WMIC, la consola de Windows que permite el uso de la línea de comandos para acceder al WMI (Instrumental de Administración de Windows). Hasta ahora, todos los casos que hemos visto utilizan exploits en equipos con Internet Explorer. El método empleado es el siguiente: se descarga una muestra de malware en el equipo y, en lugar de ejecutarla directamente, se utiliza WMIC para ejecutarla ( esto tiene como objetivo camuflar el ataque como si fuese un comportamiento legítimo ya que WMIC es goodware que pertenece al sistema operativo Windows). En las últimas cuatro semanas, hemos bloqueado más de 3.000 intentos de infección que utilizaban esta técnica (Fig.3)

Adjuntamos una selección de algunos de los hashes de ransomware que emplean esta técnica y que hemos neutralizado en los últimos tres días:

ransomware_list2

El auge de CerberCerber es una familia relativamente nueva de ransomware que ha estado pegando fuerte en los últimos meses. En este artículo analizaremos algunas de las técnicas que utiliza para infectar a sus víctimas.

Fig.2 Fig.1 Fig.3

Historias de Ransomware7 |

Las campañas de spam que utiliza el ransomware suelen estar protagonizadas por mensajes acompañados de archivos adjuntos comprimidos (.zip) que contienen el código malicioso que debe ejecutar el usuario. Estos archivos pueden ser de tipo PE (normalmente un archivo con extensión .exe), un script (.js, .vbs, .wsf, etc.) o un documento de Word (comprimido o no). Otra estrategia (bastante exitosa para los ciber-delincuentes, tal y como vimos en la campaña de los recibos falsos) es incluir un enlace en el correo que lleve a la víctima a una página Web desde la que descargar el archivo comprimido.

Pero, ¿cual es la frecuencia de estos ataques? Según nuestros datos, en los último dos meses hemos neutralizado bastantes ataques de ransomware que utilizaban o bien archivos PE o scripts recibidos vía correo electrónico (como archivos adjuntos o a través de enlaces a páginas Web). Fig.1

En total, hemos bloqueado 22.665 intentos de infección. Tened en cuenta que estamos hablando de los ataques que consiguieron superar el resto de barreras de protección existentes (archivos de firmas, análisis heurístico, filtros de webs maliciosas, etc.), por que el número real de ataques es todavía mayor. Como podéis ver en la gráfica, se observa un patrón determinado: a 2 días en los que se bloquea un menor número de

intentos de infección, le siguen 5 días en los que el número de infecciones aumenta. Sí, por lo que parece, a los ciber-delincuentes también les gusta disfrutar de sus fines de semana. La verdad es que resulta algo normal si tenemos en cuenta que hoy en día su principal objetivo son las empresas, y que estas son más activas de lunes a viernes.

La gráfica siguiente muestra los ataques protagonizados por documentos de Word maliciosos, bastantes menos frecuentes que los protagonizados por scripts maliciosos. Durante el mismo periodo de tiempo bloqueamos 3.493 intentos de infección. Fig.2

Como podéis ver, la gráfica presenta el mismo patrón relacionado con los fines de semana. Pero Word no es el único tipo de archivo de Microsoft Office que se emplea en estos ataques, existen otros que, aunque menos frecuentes, aparecen de vez en cuando. Por ejemplo, en los últimos dos meses sólo hemos visto una campaña de spam que utilizase Excel: Fig.3

Y esto es todo por hoy, en un par de semanas publicaremos el próximo artículo de esta serie, en el que explicaremos cómo aprovecharse de alguna de las técnicas empleadas por el ransomware para neutralizar sus infecciones.

Campañas de spamLos dos vectores de infección principales que utiliza el ransomware son los exploits y los correos de spam. Así como en mi último artículo os enseñé un par de ejemplos en los que se empleaban exploits, en esta ocasión nos centraremos en el spam.

Fig.1 Fig.2 Fig.3

.exe.js

.zip

.wsf

Historias de Ransomware8 |

Sin embargo, no todo el mundo hace copias de seguridad, aunque Windows dispone Sin embargo, no todo el mundo hace copias de seguridad, aunque Windows dispone de una funcionalidad muy útil conocida como Instantáneas (Shadow Copies), que en realidad es una especie de copia de seguridad de los archivos del sistema. Esto es algo que los cyber-delincuentes aprendieron hace tiempo, y de hecho, a los pocos meses de que este tipo de ataque se popularizase, sus nuevas creaciones empezaron a borrar las instantáneas de los archivos de sus víctimas como paso previo a cifrar su información.

Hay una serie de tecnologías que se pueden utilizar para neutralizar los ataques de ransomware. La mayoría de ellas son prácticamente inútiles, como los archivos de identificadores o los análisis heurísticos (de hecho, son lo primero que los creadores de malware comprueban antes de distribuir sus nuevas creaciones), mientras que otras pueden servir de algo en alguna ocasión. Sin embargo, ni siquiera la combinación de todas ellas garantiza la protección contra todos los ataques.

Hace mas de dos años decidimos utilizar una estrategia simple pero efectiva: si algún proceso intenta borrar las instantáneas del sistema es muy probable que sea malware (no siempre), y en ese caso es casi seguro que sea ransomware. Si a esto le añadimos el resto de información de la que disponemos, podemos determinar si se trata de un nuevo malware o no. Hoy en día, la mayoría de familias de ransomware borran las instantáneas del sistema. Podrían dejar de

hacerlo, pero entonces la gente dejaría de pagar los rescates ya que podrían recuperar sus archivos de forma gratuita.

Me he detenido a analizar cuantas infecciones conseguimos neutralizar gracias a esta estrategia. La deducción lógica es que debería tratarse de una cifra que creciese exponencialmente, ya que cada vez hay más ataques de ransomware y todos ellos emplean esta técnica. Pues bien, esta es la gráfica que muestra los ataques que hemos neutralizado en los últimos 12 meses empleando este enfoque: Fig.1

Sí, justo lo contrario de lo que la mayoría de nosotros pensaríamos.

¿Cómo es posible? Bueno, hay una explicación sencilla: utilizamos esta estrategia como último recurso para detener los ataques cuando todo el resto de capas de seguridad han fallado.

De hecho, la utilizamos internamente para identificar aquellos ataques que han conseguido esquivar el resto de medidas de seguridad para poder analizarlos en detalle y mejorar nuestras protecciones. También la utilizamos para medir lo bien o mal que neutralizamos el ransomware: cuanta más pequeña es la cifra, mejor están funcionando el resto de tecnologías. Y como podéis ver, nuestros resultados son cada vez mejores.

Instantáneas, o cómo aprovecharse de los trucos del ransomwareDesgraciadamente, no existen muchas maneras de recuperar los archivos que ‘secuestra’ un ataque de ransomware sin pagar el rescate pertinente. Si tenemos suerte (¡mucha suerte!), podemos utilizar alguna herramienta gratuita para recuperarlos, aunque otra opción es la de restaurarlos desde una copia de seguridad.

Fig.1

Historias de Ransomware9 |

Recientemente (nuestros colegas de Avira lo publicaron el pasado mes de julio) se ha añadido una nueva funcionalidad que incluye un modo sin conexión, de tal forma que pueden cifrar ficheros cuando el servidor al que se conecta no está disponible. El punto débil de esta estrategia es que la clave a utilizar será la misma para cada ordenador cuyos ficheros sean cifrados, por eso sólo se lleva a cabo en caso de no poder conectarse al servidor del que se obtiene la clave personalizada para cada infección.

Además, ahora también encontramos un nuevo cambio no en el Locky en sí mismo, sino en la forma en la que llega a los ordenadores de las víctimas. Normalmente estos ataques utilizan un pequeño troyano downloader que es el que se encarga de descargar y ejecutar el ransomware. Por ejemplo, cuando el ataque viene a través de un fichero javascript, éste suele descargar un pequeño ejecutable cuya única función es descargar el ransomware y ejecutarlo en el equipo. Tal y como hemos explicado en anteriores artículos, los ciberdelincuentes están continuamente haciendo pequeños cambios intentando así evitar ser detectados por las soluciones de seguridad.

Distribución del nuevo ataque

En este caso, la divulgación de la ciberamenaza está siendo a través de correo electrónico que contienen, en su mayoría, un fichero zip que tiene dentro otro javascript llamado “utility_bills_copies <caracteres aleatorios>.js”. Sin embargo no todos son así ya que hemos visto casos donde cambian tanto el asunto del mensaje como el tipo de fichero utilizado.

Este es uno de los casos:

Dentro, el zip contiene el siguiente fichero:

Vemos como han eliminado el paso intermedio de utilizar el troyano downloader y el script que se ejecuta directamente se descarga la variante de Lock en formato DLL (con los troyanos downloaders normalmente el fichero descargado es un EXE), ejecutándose utilizando el rundll32.exe del propio sistema operativo. El primer avistamiento de este nuevo ataque tuvo lugar el 22 de agosto, y hasta el momento la estrategia se mantiene. Como podéis ver, se está lanzando una nueva oleada cada semana: Fig.1

Los territorios más afectados

Sólo hemos visto unos pocos cientos de intentos de infección, principalmente en Norteamérica, Sudamérica y Europa, aunque también hemos registrado casos en África y Asia. Si los cibercriminales consiguen un buen retorno de inversión con estos ataques seguramente veremos un incremento de los casos en las próximas semanas. Aquí podéis encontrar una selección de hashes de esta variante de Locky: ransomware_list3 (3)

Fig.1

Conoce los trucos del nuevo LockyEn esta nueva entrega de Historias de Ransomware descubrimos las artimañas de una de las más infames familias en el mundo del ransomware: Locky.

Voice Message Arrived on Friday, Aug 26 @ 6:15 AMName: Outside CallerNumber: UnavailableDuration: 1m 10s

Outside Caller 09-01-2016 0689a.zip

Voice Message from Outside Caller (1m 10s)

Name Size

29.854gFnd.hta

...

Historias de Ransomware10 |

A diario somos testigos de miles de intentos de infección que utilizan ransomware, sin embargo, este nos llamó la atención especialmente ya que el archivo aparecía en el equipo infectado en un momento en que se suponía que nadie estaba utilizándolo, y de hecho, no había ni clientes de correo ni navegadores de Internet que estuviesen ejecutándose.

Entonces, ¿cómo llegaba al equipo? ¿Cómo es que las medidas de seguridad de la empresa no evitaban que el archivo llegase al servidor? Esto era lo que nos intrigaba, así que decidimos ponernos a investigar. Resultó que el servidor en cuestión ejecutaba el Protocolo de Escritorio Remoto (RDP), y los atacantes empleaban un ataque de fuerza bruta hasta adivinar las credenciales que les permitiesen obtener acceso remoto.

Volviendo al tema que nos ocupa, como la mayoría de usuarios no utilizan sistemas de autenticación en dos fases (2FA), y sus contraseñas no son ni demasiado complejas ni aleatorias, resulta relativamente sencillo acceder a un servidor utilizando este tipo de ataque de fuerza bruta y un buen diccionario, y probando las combinaciones más comunes. La verdad es que esta técnica no es nueva. Recuerdo una ola de ataques de ransomware que afectó a un grupo de empresas españolas hace más de un año y que utilizaba la misma técnica. Los delincuentes suelen realizar esos ataques por la noche o durante el fin de semana, cuando no hay nadie o casi nadie trabajando en la oficina.

Los atacantes empleaban un ataque de fuerza bruta hasta adivinar las credenciales y tomar el acceso remoto.

En el caso que nos ocupa, el ataque al servidor empezó el 16 de mayo, fecha en la que hubo 700 intentos de inicio de sesión. Todos estos intentos se realizaban de forma automática, normalmente en periodos de alrededor de 2 horas. La mayoría tenían lugar de 1 AM a 3 AM, o de 3 AM a 5 AM. Así un día tras otro. Sin embargo, el número de intentos de inicio de sesión variaba de un día para otro. Por ejemplo, el 18 de mayo hubo 1976 intentos, mientras que el 1 de julio se produjeron 1342.

Al cabo de 4 meses y más de 100.000 intentos de inicio de sesión, los atacantes lograron por fin entrar en el servidor y depositar el ransomware Crysis.

Nuestros colegas de Trend Micro han publicado esta semana un artículo advirtiendo de ataques similares en Australia y Nueva Zelanda que propagan variantes de Crysis. Sin embargo, podemos afirmar que no se tratan de los únicos países afectados, y que dichos ataques se están sucediendo a escala mundial al menos desde mayo.

Teniendo en cuenta que para que el ataque tenga éxito es necesario que el equipo afectado esté ejecutando el protocolo de escritorio remoto y conectado a Internet, recomendamos monitorizar todos los intentos de conexión para detectar cualquier ataque en el momento en que se produzca, además de utilizar contraseñas seguras y sobre todo sistemas 2FA, como los que envían códigos de verificación vía SMS, que hagan inútil la obtención fraudulenta de contraseñas.

‘Crysis’ mundial a través del protocolo Hace un par de semanas descubrimos un ataque de ransomware en un servidor perteneciente a una empresa francesa. Se trataba de una variante de Crysis, una familia de ransomware surgida a principios de año.

*******

******

******

******

¡Seguiremos informando!

Pandalabs News