El ransomware sigue siendo una de las amenazas cibernéticas más rentables y, por este motivo, cada semana vemos variedades de malware con nuevas funciones.

Las historias que les voy a contar demuestran que estas amenazas podrían ser abusadas por actores con motivaciones muy diferentes, desde las políticas hasta las financieras.

Hace unos días, los investigadores de malware de la Unidad 42 de Palo Alto Networks detectaron una nueva cepa de ransomware, denominada RanRan , que se ha utilizado en ataques dirigidos contra organizaciones gubernamentales en Medio Oriente.

«Recientemente, la Unidad 42 ha observado ataques contra múltiples organizaciones gubernamentales de Medio Oriente utilizando una familia de ransomware nunca antes vista. Basándonos en cadenas incrustadas dentro del malware, hemos llamado a este malware ‘RanRan’. » se lee en el análisis publicado por PaloAlto Networks.

El nombre RANRAN proviene de la carga útil «Ran» visible en la siguiente ruta de depuración dentro del binario:

C:UserspcDesktopRanRanReleaseServices.pdb

La singularidad del ataque es que los actores de la amenaza, en lugar de pedir el pago de un rescate, solicitaron a las víctimas que hicieran una declaración política en su sitio web para descifrar sus archivos.

El rescate de RanRan intenta extorsionar una declaración política obligando a las víctimas a crear un subdominio público con un nombre que parecería defender e incitar a la violencia contra un líder político de Medio Oriente.

Según PaloAlto Networks, la intención es obligar a las víctimas a revelar el hack.

La amenaza RanRan puede cifrar varios tipos de archivos almacenados en el sistema infectado, incluidos documentos, bases de datos, archivos, ejecutables, registros, código fuente, imágenes y archivos de vídeo.

RanRan ransomware monitorea ventanas con títulos que contienen «administrador de tareas» y las cierra rápidamente en un intento de dificultar la eliminación del proceso asociado con el malware.

El ransomware también monitorea los siguientes servicios y procesos y los detendrá periódicamente:

El malicioso utiliza para matar los procesos para poder cifrar los archivos de bases de datos asociados y cualquier otro bloqueado por las aplicaciones.

El ransomware también intenta disuadir a las víctimas de apagar su sistema o ejecutar cualquier solución antivirus para evitar «daños accidentales en los archivos».

El ransomware agrega la extensión .zXz a los archivos cifrados y agrega un archivo HTML que contiene instrucciones sobre cómo recuperar los archivos en el sistema de destino.

Según los investigadores, el ransomware no es complicado; lo definieron como un malware «bastante rudimentario». Los VXers cometieron varios errores en la implementación del proceso de cifrado; Estos errores permitieron a los investigadores de la Unidad 42 crear un script que puede descifrar algunos de los archivos cifrados por RanRan.

El ransomware RanRan se desarrolló a partir de un código fuente disponible públicamente .

«RanRan comete algunos errores cuando se produce el cifrado», continúa el análisis publicado por PaloAlto Networks.

«Por un lado, utilizan un cifrado simétrico (RC4) con una clave reutilizada. Además, algunos archivos se cifran, pero los originales no se eliminan. Esto se debe a varias razones, una de las cuales es que se intenta cifrar contra archivos del sistema y otros archivos que se abren mediante procesos en ejecución».

Los expertos destacaron que las víctimas de RanRan podrían descifrar algunos de los archivos bajo condiciones específicas.

«Debido a que nos encontramos en una situación en la que tenemos un archivo original, un archivo que ha sido cifrado y la clave RC4 se reutiliza contra otros archivos cifrados, tenemos la capacidad de descifrar algunos de estos datos». continúa el análisis.

«Esto sólo funciona en ciertos casos donde se cumplen los siguientes criterios:

El ransomware RanRan indica a las víctimas que carguen en el subdominio un archivo llamado «Ransomware.txt» que contiene el mensaje de texto «¡Hackeado!» y la dirección de correo electrónico del atacante.

«La nota de rescate intenta específicamente extorsionar una declaración política al obligar a las víctimas a crear un subdominio público con un nombre que parecería defender e incitar a la violencia contra un líder político de Medio Oriente».continúa el análisis.

En el momento en que escribo, los investigadores de Palo Alto Networks no revelaron el nombre de las organizaciones objetivo del ransomware ni atribuyeron los ataques a un actor de amenaza específico.

«Al realizar estas acciones, la víctima, una organización gubernamental de Medio Oriente, tiene que generar una declaración política contra el líder del país», dijeron los investigadores de Palo Alto Networks. «También obliga a la víctima a anunciar públicamente que ha sido pirateada al alojar el archivo Ransomware.txt».

Otra novedad en el panorama de amenazas está representada por una evolución del ransomware Petya que fue pirateado para atacar organizaciones. El ransomware Petya fue detectado por primera vez por los expertos de TrendMicro hace un año; el malware sobrescribe MBR para bloquear a los usuarios fuera de las máquinas infectadas.

El ransomware Petya provoca una pantalla azul de la muerte (BSoD) al sobrescribir el MBR con código malicioso que cifra la tabla maestra de archivos (MFT) de la unidad. Cuando la víctima intenta reiniciar la PC, será imposible cargar el sistema operativo, incluso en modo seguro. A los usuarios que encienden la computadora se les muestra una pantalla roja y blanca parpadeante con una calavera y tibias cruzadas.

1: ransomware Petya

Los actores de amenazas detrás del ransomware Petya ofrecen la amenaza con un modelo RaaS , pero un grupo de atacantes desarrolló un módulo especial para parchear el ransomware Petya original «sobre la marcha».

2: ransomware PetrWrap

Los autores del ransomware PetrWrap han ideado un método para obligar a Petya a utilizar una clave de cifrado diferente a la que los creadores originales codificaron.

La implementación de este esquema de ataque contra el ransomware Petya original permitirá a los atacantes descifrar los archivos en cualquier momento. PetrWrap también elimina cualquier referencia a la amenaza Petya original de la nota de rescate, así como su animación de calavera roja diseñada en ASCII.

Los atacantes primero comprometieron las redes de las organizaciones objetivo y luego utilizaron la herramienta PsExec para instalar un ransomware en todos los puntos finales y servidores.

La variante del ransomware Petya que el grupo utilizó en los ataques contra las organizaciones se denominó PetrWrap.

«El troyano PetrWrap está escrito en C y compilado en MS Visual Studio. Lleva una muestra del ransomware Petya v3 dentro de su sección de datos y utiliza Petya para infectar la máquina de la víctima». lee el análisis publicado por Kaspersky. «Es más, PetrWrap implementa sus propias rutinas criptográficas y modifica el código de Petya en tiempo de ejecución para controlar su ejecución. Esto permite a los delincuentes detrás de PetrWrap ocultar el hecho de que están utilizando Petya durante la infección».

¿Por qué los piratas informáticos secuestran el ransomware Petya?

Los atacantes comprometieron el código Petya para evitar escribir un nuevo ransomware desde cero. Los atacantes también apuntaron a una versión estable del ransomware que no se ve afectada por ningún defecto que pueda ser aprovechado por una empresa de seguridad para descifrar archivos de forma gratuita.

La mala noticia para las víctimas es que actualmente no existe una herramienta de recuperación para descifrar el MFT de los volúmenes del disco duro infectados por Petya. Los expertos notaron de todos modos que debido a que este ransomware específico no cifra el contenido del archivo, es posible reconstruir el archivo a partir de datos sin procesar del disco duro utilizando herramientas de recuperación específicas.

En resumen, el ransomware PetrWrap logra los siguientes objetivos:

  1. La máquina de la víctima está bloqueada y la MFT de las particiones NTFS está cifrada de forma segura (porque Petya v3, que se utiliza en este ataque, no tiene fallas de las versiones anteriores e implementa Salsaorrectamente);
  2. La pantalla de bloqueo no muestra la animación del cráneo parpadeante y no contiene ninguna mención de Petya, lo que dificulta evaluar la situación y determinar el alcance del daño causado;
  3. Los desarrolladores de PetrWrap no tuvieron que escribir el código del gestor de arranque de bajo nivel y se arriesgaron a cometer errores similares a los observados en versiones anteriores de Petya.

RanRan y PetrWrap ransomware son dos buenos ejemplos de posibles enfoques de las comunidades de hackers hacia esta familia específica de malware.

En el primer caso, hemos visto un posible uso político del ransomware; en el segundo, una forma inteligente de los ciberdelincuentes de explotar el trabajo realizado por sus pares, maximizando sus esfuerzos.

Sin duda, el ransomware seguirá estando entre las amenazas más peligrosas de los próximos meses.

Referencias

http://researchcenter.paloaltonetworks.com//03/unit42-targeted-ransomware-attacks-middle-eastern-government-organizations-political-Purposes/

http://securityaffairs.co/wordpress/57031/malware/ranran-ransomware.html

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

http://securityaffairs.co/wordpress/57147/malware/petrwrap-petya-ransomware.html