🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Peligrosa banda de ransomware está utilizando un cifrado nunca antes visto

Investigadores de seguridad han descubierto un novedoso ransomware que surgió inmediatamente después del descubrimiento de las vulnerabilidades de ProxyShell en los servidores de Microsoft Exchange. La banda, denominada LockFile, utiliza un método único de “cifrado intermitente” como una forma de evadir la detección y de adoptar tácticas de bandas de ransomware anteriores.

Descubierto por investigadores de Sophos, el ransomware LockFile cifra cada 16 bytes de un archivo. Esto significa que algunas soluciones de protección contra ransomware no lo notan porque “un documento cifrado se ve estadísticamente muy similar al original sin cifrar”.

Informe sobre LockFile publicado la semana pasada Mark Loman, director de ingeniería de tecnologías de próxima generación en Sophos

“No hemos visto antes el cifrado intermitente utilizado en ataques de ransomware”, afirmó.

PetitPotam

El ransomware primero aprovecha las vulnerabilidades de ProxyShell sin parchear y luego usa lo que se llama un ataque de retransmisión PetitPotam NTLM. Esto para tomar el control del dominio de una víctima, según explicaron los investigadores. 

En este tipo de ataque, un actor de amenazas utiliza el Protocolo remoto del sistema de cifrado de archivos de Microsoft (MS-EFSRPC) para conectarse a un servidor. Posteriormente, secuestra la sesión de autenticación y manipula los resultados de manera que el servidor crea que el atacante tiene un derecho legítimo de acceso. Ese escenario lo describieron los investigadores de Sophos en un informe anterior.

LockFile también comparte algunos atributos de otros conocidos ransomwares. Por ejemplo, otras tácticas, como renunciar a la necesidad de conectarse a un centro de comando y control para comunicarse, para ocultar sus actividades nefastas.

Al igual que WastedLocker y Maze, el ransomware LockFile utiliza entrada/salida (E/S) mapeada en memoria para cifrar un archivo. Esta técnica permite que el ransomware cifre de forma transparente los documentos almacenados en caché en la memoria. Asimismo, genera que el sistema operativo escriba los documentos cifrados, con un mínimo de E/S de disco que detectarían las tecnologías de detección.

Análisis profundo

Los investigadores analizaron LockFile utilizando una muestra del ransomware con el hash SHA-256 “bf315c9c064b887ee3276e1342d43637d8c0e067260946db45942f39b970d7ce” que descubrieron en VirusTotal. Al abrirka, la muestra parece tener solo tres funciones y tres secciones.

La primera sección, denominada OPEN, no contiene datos, solo ceros, dijeron los investigadores. Es la segunda sección, CLSE, que incluye las tres funciones de la muestra. Sin embargo, el resto de los datos en la sección es código codificado que se decodifica más tarde y se coloca en la sección “OPEN”, que los investigadores examinaron en profundidad.

“La función entry () es simple y llama a FUN_1400d71c0 ():,. La función FUN_1400d71c0 () decodifica los datos de la sección CLSE y los coloca en la sección OPEN. También resuelve las DLLs y funciones necesarias. Luego manipula los valores de IMAGE_SCN_CNT_UNINITIALIZED_DATA y salta al código colocado en la sección OPEN”.

Ingeniería inversa al ransomware

Los investigadores utilizaron WinDbg y .writemem para escribir la sección OPEN en el disco para analizar el código estáticamente en Ghidra. Ghidra es una herramienta de ingeniería inversa de código abierto. Allí encontraron la función principal del ransomware, la primera parte de la cual inicializa una biblioteca de cifrado que LockFile probablemente usa para sus funciones de cifrado.

Luego, el ransomware usa la herramienta de línea de comandos de la Interfaz de administración de Windows (WMI) WMIC.EXE. Esta herramienta es parte de cada instalación de Windows; es utilizada para terminar todos los procesos con vmwp en su nombre. La herramienta repite el proceso para otros procesos comerciales críticos asociados con el software de virtualización y bases de datos.

 Al aprovechar WMI, el ransomware en sí no se asocia directamente con la terminación abrupta de estos procesos críticos típicos de la empresa. La eliminación de estos procesos garantiza que se liberen los bloqueos en los archivos/bases de datos asociados. Es decir, que estos objetos estén listos para el cifrado malicioso”.

LockFile cambia el nombre de los documentos cifrados a minúsculas y agrega una extensión de archivo .lockfile. Asimismo, incluye una nota de rescate de Aplicación HTML (HTA) que se ve muy similar a la de LockBit 2.0.

En su nota de rescate, el ciberdelincuente de LockFile pide a las víctimas que se comuniquen con una dirección de correo electrónico. La dirección de correo específica es contact[]contipauper.com. Además, el nombre de dominio, que parece haber sido creado el 16 de agosto, aparece para ser una “referencia despectiva” a Conti Gang. Conti Gang es un grupo de ransomware todavía activo y competitivo.

Cifrado intermitente

La característica que más define y diferencia a LockFile de sus competidores no es que implemente un cifrado parcial per se. Recordemos que las bandas LockBit 2.0, DarkSide BlackMatter lo hacen. Lo que distingue a LockFile es la forma única en que emplea este tipo de cifrado, que no ha sido observado en un ransomware anterior.

Lo que distingue a LockFile es que no cifra los primeros bloques. En cambio, LockFile cifra cada 16 bytes de un documento. Esto significa que un documento de texto, por ejemplo, sigue siendo parcialmente legible.

La “ventaja intrigante” de este enfoque es que puede eludir algunas tecnologías de protección contra ransomware que utilizan lo que se llama análisis de “chi-cuadrado (chi^2)”, sesgando la forma estadística en que se realiza este análisis y, por lo tanto, confundiéndolo.

Un archivo de texto sin cifrar de 481 KB (digamos, un libro) tiene una puntuación de chi^2 de 3850061. Si el documento fue cifrado por el ransomware DarkSide, tendría un puntaje chi^2 de 334. Esto es una clara indicación de que el documento ha sido cifrado. Si el mismo documento es cifrado por el ransomware LockFile, aún tendría una puntuación chi^2 significativamente alta de 1789811″.

Una vez que ha cifrado todos los documentos en la máquina, LockFile desaparece sin dejar rastro, borrándose a sí mismo con un comando PING. Esto significa que después del ataque de ransomware, no hay binario de ransomware para que los respondedores de incidentes o el software antivirus lo encuentren o lo limpien.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información