Análisis de malware
Análisis de ransomware torre
2 de marzo de por Pedro Tavares
Rook ransomware es relativamente reciente y una de las ventajas de otras amenazas de esta línea es el motor multiproceso que pulveriza la velocidad de cifrado durante su ejecución. En este artículo, analizaremos los detalles de rook, describiremos las técnicas más efectivas y brindaremos algunas medidas para combatir el ransomware en general.
Rook es un malware reciente y una nueva variante del código del ransomware Babuk filtrado. El código fuente se filtró en un foro clandestino ruso en septiembre de y ahora los delincuentes pueden realizar cambios o simplemente mejorar su arsenal utilizando la inteligencia de esta pieza.
1: Babuk: código fuente filtrado en septiembre de.
El malware fue observado durante una actividad de búsqueda de amenazas por parte de expertos en malware en VirusTotal. El 30 de noviembre de, los operadores de Rook se cobraron la primera víctima: una organización financiera kazaja donde los delincuentes robaron 1.123 GB de información.
Como es habitual, este tipo de amenaza suele implantarse en las redes internas a través de CobalStrike tras un ciberataque exitoso. Sin embargo, los investigadores de seguridad encontraron algunos correos electrónicos de phishing y descargas de torrents con archivos de MS Office infectados con balizas CobalStrike para distribuir la amenaza en todo el mundo.
A primera vista, el ejecutable parece estar empaquetado con UPX según los nombres de las secciones, y se puede observar una cadena con una longitud sospechosa, probablemente relacionada con la clave utilizada durante el proceso de cifrado.
1: Detalles sobre las secciones del ransomware Rook y el tamaño de cadena sospechosa.
Torre – detalles técnicos
Después de ejecutar en la máquina de destino, Rook intenta encontrar un mutex específico «asfgjkl878645165456fa888» para evitar la reinfección o simplemente crearlo si la máquina es un buen candidato.
2: Mutex creado después de la ejecución de Rook. Si el mutex es válido, el malware finaliza la ejecución.
Unidades y recursos de red con potencia de subprocesos múltiples
A continuación, el proceso malicioso continúa y se enumeran los recursos de la red y las unidades locales. Después de eso, se utiliza un mecanismo de subprocesos múltiples para acelerar el proceso de cifrado, como se observa en la 2 a continuación.
3: Mecanismo multiproceso implementado por los operadores de Rook para acelerar el proceso de cifrado.
En detalle, el malware calcula la cantidad de amenazas que necesita para cifrar los archivos simultáneamente (24 veces la cantidad de procesadores).
4: Cálculo de la cantidad de amenazas a utilizar para cifrar archivos.
Preparando el proceso de cifrado
Una de las principales tareas antes de iniciar el proceso de cifrado es la creación de las claves asimétricas RSA. El ransomware utiliza la llamada API RegCreateKeyExW para abrir la subclave de software disponible en «HKEY_CURRENT_USER». Si la clave pública existe, Rook la usa. Por otro lado, se genera un par de claves RSA: «RookPublicKey» y «aRookprivatekey», y los valores se almacenan en el Registro de Windows. El proceso descrito se ilustra en la 5 a continuación.
5: Torre: generación del par de claves pública-privada RSA durante la ejecución.
Finalizar servicios y procesos y omitir carpetas y archivos
Como se observa en otras familias de ransomware, Rook ha codificado una lista de servicios que deben finalizar antes de iniciar la tarea de cifrado, evitando así cualquier error que afecte el proceso de cifrado.
6: Bloque de código responsable de terminar una lista de servicios codificados.
La lista completa de servicios se presenta a continuación.
7: Lista de servicios terminados durante la ejecución de Rook.
De la misma manera, una lista de procesos de destino también está codificada en una amplia matriz de caracteres. Todos los procesos finalizarán en tiempo de ejecución.
8: Lista de procesos finalizados durante la ejecución de Rook.
Algunas carpetas específicas no se pueden cifrar y dañar durante la ejecución del ransomware, o todo el sistema operativo falla. Los operadores de Rook también codifican una lista de carpetas y archivos de destino en una amplia matriz de caracteres, como se observa en la 9.
9: Lista de carpetas y archivos específicos omitidos durante la ejecución de Rook.
Nota de ransomware y archivos cifrados
Un archivo llamado «HowToRestoreYourFiles.txt» se elimina durante la ejecución del ransomware con las instrucciones (nota de ransomware) a seguir para recuperar los archivos dañados.
10: Nota de Ranonsware creada durante la ejecución del ransomware.
Además, a los archivos dañados también se les añade la extensión «.rook».
Torre – sitio web darkweb
Como se observa con otras amenazas de ransomware, inicialmente se sugiere exigir un pago para descifrar los archivos dañados. Si las víctimas no pagan el rescate, los operadores de Rook filtran los datos de exfiltración por partes en un esquema de extorsión extendido. Este tipo de esquema de extorsión genera tensión y miedo, obligando a las víctimas a pagar el rescate por los datos.
11: Sitio web de Rook disponible en la red Tor.
Aprendiendo sobre el ransomware grajo
Rook ransomware es una amenaza reciente dentro del panorama del malware. Se basa en el código filtrado de babuk y se convierte en un arma poderosa que puede cifrar una máquina objetivo en minutos debido a su mecanismo de subprocesos múltiples. Aunque no existe una fórmula perfecta para detener las infecciones de ransomware, la implementación de monitoreo y el uso de soluciones de seguridad para endpoints, antivirus actualizados y el uso cada vez mayor de archivos canary son algunos de los mecanismos que podrían prevenir la diseminación de estas amenazas en la naturaleza.
Fuentes:
- ransomware torre , SentinelOne