Análisis de malware

Análisis del ransomware Sunnyday

13 de julio de por Pedro Tavares

Sunnyday, uno de los programas de ransomware más recientes , ha afectado a usuarios de todo el mundo. Según la publicación Segurança-Informatica , “ se encontraron algunas similitudes entre otras muestras de ransomware como Ever101, Medusa Locker, Curator y Payment45. Aunque tiene características muy similares a las muestras de ransomware mencionadas, no podemos hacer ninguna atribución a su grupo de amenazas”.

En detalle, el binario Sunnyday se difunde como un archivo de Windows de 64 bits que se publicó el 7 de marzo de y fue compilado y vinculado por delincuentes a través de Microsoft Visual Studio.

1: fecha de lanzamiento de SunnyDay, firma y detalles de herramientas ( fuente ).

Profundizando en los detalles del ransomware Sunnyday

Sunnyday ransomware itera sobre todos los servicios del sistema e intenta detener los servicios de destino mediante la llamada » ControlService() » con el argumento » SERVICE_STOP «. Los servicios relacionados con bases de datos y servicios de respaldo se muestran en la lista completa a continuación.

2: Servicios codificados que se encuentran dentro de la muestra de ransomware SunnyDay ( fuente ) .

Por otro lado, el ransomware SunnyDay también utiliza una lista de procesos codificados en tiempo de ejecución para finalizar programas específicos. Obtiene la lista de procesos con doble enlace a través de la llamada Win “ CreateToolhel32Snapshot() ” y navega entre ellos usando la llamada “ Process32NextW() ”, una técnica bien conocida que se observa ampliamente en otras familias de malware.

3: Lista de procesos codificados del ransomware Sunnyday ( fuente ).

Salsacelera el proceso de cifrado

El cifrado de flujo SALSAs un algoritmo cada vez más utilizado por el ransomware porque puede cifrar contenido a alta velocidad. Este algoritmo se ha observado en otros ejemplos de ransomware, como Ever101 y Medusa Locker. El elemento «velocidad» es uno de los parámetros importantes desde el punto de vista de los delincuentes porque el proceso de cifrado debe ser lo más rápido posible para dañar la mayor cantidad de archivos en un corto período, reduciendo así el tiempo de reacción disponible de la víctima. » Ofrece velocidades de alrededor de 4 a 14 ciclos por byte en software en procesadores x86 modernos y un rendimiento de hardware razonable «, afirma Segurança-Informática .

La muestra de ransomware viene con una clave pública RSA en formato blob y el malware aprovecha las API de Windows (CryptoAPI) para llevar a cabo el proceso de cifrado. El blob se compone del AlgID “CALG_RSA_KEYX ”, que es una clave de bits con el exponente público: 65537 en decimal.

4: Blob de clave pública del ransomware Sunnyday disponible en el binario analizado ( fuente ).

Después de obtener el blob del binario, el ransomware llama al cifrado de flujo SALSAe la biblioteca CryptoPP.

5: Detección de cifrado de flujo SALSAimétrico ( fuente ).

En detalle, el ransomware utiliza una única clave SALSAara cifrar los archivos del sistema. La clave de cifrado se crea a través de CryptoGenRandom() y luego se cifra con la clave RSA de bits que se encuentra en el binario del ransomware (consulte la 4 arriba).

Después de cifrar un solo archivo, el ransomware agrega la clave SALSAon 512 bytes al final del archivo. Esta clave se puede utilizar para descifrar los archivos más tarde, después del pago del rescate y de un mayor contacto con los delincuentes.

6: Archivos cifrados con el nonce agregado y la clave SALSA512 bytes) cifrados con la clave RSA de bits ( fuente ).

Cuando finaliza el proceso de cifrado, se coloca una nota de rescate en la carpeta del escritorio de la máquina. Además, las instantáneas de Windows se eliminan para dificultar la recuperación de los archivos mediante ejercicios forenses.

7: Nota de rescate del ransomware Sunnyday ( fuente ).

Reflexiones finales sobre el ransomware Sunnyday

El ransomware Sunnyday va en aumento y aprovecha el cifrado de flujo SALSAara acelerar el proceso de cifrado. Como han observado los expertos, este ransomware se está propagando en ataques a pequeñas y medianas empresas, impactando en sus negocios y exigiendo un rescate dependiendo del tamaño de la organización y de los datos dañados.

Según el análisis de Segurança-Informatica, Sunnyday puede ser una nueva variante o un desarrollo de los siguientes ejemplos de ransomware, según su análisis de código y estructura de notas de ransomware:

Aunque no existe una fórmula perfecta para detener las infecciones de ransomware, la introducción de estrategias de monitoreo, el uso de soluciones de seguridad para endpoints como antivirus y EDR, y el uso cada vez mayor de archivos canary pueden verse como mecanismos obligatorios que podrían prevenir el daño de estas amenazas. En la naturaleza.

Fuentes:

Análisis del ransomware SunnyDay , Segurança-Informática

Métodos de eliminación de ransomware y el canario en la mina de carbón , Instituto Infosec