Análisis de malware

Malware Paradise: qué es, cómo funciona y cómo prevenirlo | Destacado malware

10 de junio de por Greg Belding

Introducción

Conozca Paradise, un malware que ha estado acechando en estado salvaje desde. Si bien puede que no sean unas vacaciones en un lugar tropical, ciertamente pueden ser una pesadilla para los usuarios afectados por él.

Este artículo detallará el malware Paradise. Exploraremos qué es Paradise, cómo funciona y cómo evitar ser víctima de este malware poco conocido.

¿Qué es el paraíso?

Paradise, informado por primera vez por un usuario afectado en los foros de BleepingComputer, es un tipo de ransomware cuyas variantes recientes utilizan correos electrónicos de phishing con archivos adjuntos IQY maliciosos para afianzarse en un sistema. Esta variante reciente nos presenta un nuevo paso en Paradise ransomware que lo distingue de otros ransomware y será el tema central de este artículo.

Si un usuario acaba descargando este archivo IQY, Paradise realiza diferentes acciones propias del ransomware, como el cifrado de archivos. También incluye una nota de rescate que informa al usuario que los archivos han sido cifrados por el ransomware Paradise y cómo descifrarlos a cambio de un pago en Bitcoin. En la nota de rescate no queda claro cuántos Bitcoins se necesitan para que el usuario descifre sus archivos, pero sí proporciona instrucciones sobre cómo comprar Bitcoins y un correo electrónico de contacto de Paradise.

Nota: Incluimos estos detalles solo para educación. No recomendamos realizar pagos de ransomware ni trabajar con los delincuentes detrás del ataque.

Lo que hace que Paradise sea difícil de ignorar después de conectarse a una computadora es que apunta a archivos de productividad importantes: documentos, videos e imágenes con extensiones que incluyen .doc, .docx, .pdf y .xls. Este ransomware es una amenaza para todas las versiones de Windows, desde Windows 7 hasta Windows 10.

¿Cómo funciona el Paraíso?

Paradise utiliza correos electrónicos de phishing no deseados para contactar inicialmente a los usuarios a los que se dirige. Este correo electrónico tendrá un archivo adjunto IQY. Lo que realmente diferencia a Paradise de otras familias de ransomware es que es el primero en utilizar este tipo de archivo, que nunca antes había atraído mucha atención en el mundo de la seguridad de la información.

IQY no es un tipo de archivo de uso común durante las campañas de phishing. Es una opción interesante, ya que solo contiene URL y no cargas útiles. Se puede aprovechar para descargar comandos en forma de fórmulas de Excel que pueden usar PowerShell, cmd y otros LolBins (binarios vivientes fuera de la tierra) para abusar de los procesos del sistema.

El hecho de que los archivos IQY utilicen URL hace que sea más difícil para los equipos de ciberseguridad hacer frente a esta amenaza, ya que es posible que tengan que utilizar un servicio web de reputación de URL de terceros para responder de forma eficaz. Además de ser el vector de ataque inicial, Paradise también puede utilizar el IQY para realizar otras acciones de ataque como avance de la campaña de ataque.

Como se mencionó anteriormente, la infección inicial de Paradise se produce como resultado de un correo electrónico de phishing no deseado en el que el usuario descargó ese archivo IQY. Una vez que esto sucede, Paradise se descomprime mediante autoinyección en una nueva ubicación en la memoria de la computadora comprometida y reemplaza un ejecutable con el ransomware desempaquetado. Luego, Paradise intenta deshabilitar Windows Defender cambiando el valor de registro de DisableAntiSpyware.

Luego, Paradise busca procesos que contienen cadenas específicas e intenta eliminarlas. Esta es una acción típica de ransomware porque libera los identificadores de archivos importantes para que puedan cifrarse. Luego utiliza el poder aprovechado del algoritmo de criptorutina Salsaara cifrar archivos importantes, lo que resalta otra capacidad de evasión de Paradise. Como las URL están integradas en el código fuente y no dependen de una biblioteca criptográfica para llamar a funciones, esto dificulta que los equipos de ciberseguridad las detecten.

Una vez que se cifran los archivos importantes, Paradise coloca una nota de rescate en la carpeta que contiene los archivos cifrados. La nota de rescate normalmente se llama —==%$$$OPEN_ME_UP$$$==—.txt. Esta es otra desviación del típico procedimiento operativo estándar de ransomware, que normalmente deja caer una nota en el escritorio de la computadora comprometida.

Cómo prevenir el paraíso

El paraíso no es muy conocido, ni siquiera según los estándares convencionales de los equipos de ciberseguridad y, como tal, se necesita un poco de comprensión para evitarlo. Los archivos IQY no son filtrados por herramientas de seguridad porque tienen usos comerciales legítimos, lo que frustra hasta cierto punto la prevención. Los servicios de reputación de URL pueden ayudar a los equipos de seguridad a superar este desafío, ya que el IQY suele estar cargado de URL maliciosas.

Además de que los equipos de seguridad de la organización recalibran su enfoque frente al ransomware para manejar mejor la amenaza Paradise, existen diferentes herramientas de eliminación de Paradise disponibles en línea, que solo son efectivas contra ciertas variantes. Si bien estas herramientas pueden ayudarle a eliminar la amenaza, es mucho mejor no infectarse nunca.

La mejor manera de prevenir Paradise es brindar a los usuarios de la organización una sólida capacitación en ciberseguridad que pueda impedir con bastante facilidad que Paradise se afiance en la red y las computadoras de su organización. El mismo enfoque para los correos electrónicos de phishing no deseado que se cubrió en su capacitación será de gran ayuda en la prevención del Paraíso.

Conclusión

Paradise puede cifrar archivos importantes y exige un rescate a los usuarios afectados en Bitcoin. Lo que lo distingue de otros programas maliciosos (aparte del nombre irónico) es el uso de archivos IQY para infectar computadoras: dado que este archivo tiene usos comerciales legítimos, las herramientas de seguridad del correo electrónico no lo filtran.

Lo bueno es que seguir las pautas estándar de seguridad del correo electrónico de casi todos los programas de capacitación en ciberseguridad puede evitar que Paradise haga de su día un viaje infernal.

Fuentes

  1. Paradise Ransomware utiliza archivos adjuntos IQY para permanecer oculto , revista Infosecurity
  2. Variante de Paradise Ransomware apunta a archivos IQY de Office , Threatpost
  3. Cómo eliminar Paradise Ransomware (Guía de eliminación de virus) , MalwareTips
  4. La campaña de spam aprovecha los archivos IQY para distribuir Paradise Ransomware , Tripwire