Análisis de malware

Malware PonyFinal: qué es, cómo funciona y cómo prevenirlo | Destacado malware

16 de julio de por Daniel Dimov

Introducción a PonyFinal

El ransomware PonyFinal apareció por primera vez en. Es un malware que se basa en ataques operados por humanos, es decir, ataques que explotan las vulnerabilidades de seguridad de la información de los sistemas objetivo. Estas vulnerabilidades pueden incluir debilidades de la red, como cuellos de botella e interrupciones de la red.

Durante la pandemia de COVID-19, la cantidad de ciberataques que utilizan ransomware operado por humanos aumentó significativamente. Otros tipos de ransomware operado por humanos incluyen Maze, REvil (Sodinokibi), RobbinHood y NetWalker.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

El ransomware operado por humanos suele afectar a menos computadoras que el malware que se propaga mediante phishing. Esto se debe a que el primer tipo de malware requiere ataques dirigidos bien planificados, mientras que el segundo tipo se propaga automáticamente.

El propósito de este artículo es examinar el funcionamiento de PonyFinal y brindar recomendaciones sobre cómo evitar una infección. Al final del artículo, ofrecemos comentarios finales.

El funcionamiento de PonyFinal

PonyFinal generalmente se instala mediante ataques de fuerza bruta que permiten a los estafadores obtener acceso no autorizado a una cuenta en la computadora objetivo. Podemos definir un ataque de fuerza bruta como un ataque que consiste en enviar una gran cantidad de contraseñas con el objetivo de adivinar la contraseña correcta.

Una vez que los estafadores comprometen la computadora objetivo, implementan:

  1. Un script de Visual Basic que ejecuta un shell inverso de PowerShell que tiene la capacidad de robar datos locales
  2. Un sistema que evita el registro de eventos

Luego, los delincuentes obtienen acceso no autorizado a otras computadoras dentro de la red comprometida. Luego, proceden con la instalación real de PonyFinal.

PonyFinal generalmente se instala en estaciones de trabajo que utilizan Java Runtime Environment (JRE). Esto se debe a que el malware está escrito en Java. Sin embargo, Microsoft observó casos en los que los estafadores instalaron el JRE para que sirviera de base para ejecutar el malware.

El malware comienza a cifrar los archivos de la computadora infectada poco después de su ejecución. Agrega una extensión «.enc» adicional a cada archivo cifrado. Al usuario de la computadora infectada se le presenta una nota de rescate llamada README_files.txt. Está lleno de errores de lenguaje e incluye instrucciones sobre cómo pagar el rescate solicitado. A continuación se incluye un extracto de la nota de rescate.

“Para descifrar archivos, es necesario obtener una clave privada.

“La única copia de la clave privada, que permitirá descifrar los archivos, se ubica en un servidor secreto en Internet;

“El servidor destruirá la clave dentro de las 72 horas posteriores a que se complete el cifrado.

«Páguenos 300 BTC y decodificaremos hasta 3 archivos de muestra que nos envíe por correo electrónico para su verificación y demostrar que entregamos la clave maestra».

PonyFinal utiliza un potente mecanismo de cifrado. Al momento de escribir este artículo, no hay forma de descifrar los archivos sin pagar el rescate solicitado.

Evitar una infección con PonyFinal

PonyFinal se puede evitar tomando medidas contra los ataques de fuerza bruta que son el núcleo del modelo de propagación de malware. Estas medidas deben incluir una política de bloqueo de cuentas, pruebas de desafío-respuesta y políticas de contraseñas seguras. Vamos a ver.

Una política de bloqueo de cuenta

Dado que los ataques de fuerza bruta requieren una gran cantidad de intentos de ingreso de contraseña para adivinar la contraseña correcta, las organizaciones se beneficiarán al adoptar políticas que permitan hasta tres ingresos de contraseña. Una vez que se agoten los tres intentos, solo se podrán realizar más intentos después de que el administrador reactive la cuenta.

Una desventaja importante de este método es que permite a los estafadores bloquear permanentemente el acceso a las cuentas de usuario mediante el envío de múltiples entradas de contraseña.

Una política de bloqueo de cuentas también puede basarse en retrasos progresivos, es decir, después de cada intento fallido, las cuentas de usuario se bloquean durante un período de tiempo determinado. Este tiempo aumenta con cada entrada fallida de contraseña.

Pruebas de desafío-respuesta

Otra forma de prevenir ataques de fuerza bruta incluye el uso de pruebas de desafío-respuesta, como CAPTCHA. La abreviatura CAPTCHA se refiere a «prueba de Turing pública completamente automatizada para diferenciar computadoras y humanos». Los CAPTCHA generalmente requieren la evaluación y el ingreso de una secuencia de letras y números que aparecen en una imagen distorsionada.

Aunque el uso de CAPTCHAs es una técnica eficaz, su principal inconveniente es que reduce la accesibilidad y usabilidad de los equipos en los que se instala.

Cabe señalar que los CAPTCHA también pueden verse comprometidos. Greg Mori y Jitendra Malik publicaron un artículo titulado «Reconocer objetos en el desorden adversarial: romper un CAPTCHA visual», que incluye un método detallado para eludir uno de los CAPTCHA más populares (EZ-Gimpy). La efectividad del método es del 92%.

Políticas de contraseñas fuertes

Los ataques de fuerza bruta suelen ser ineficaces contra contraseñas largas y complejas que constan de 15 o más caracteres, incluidas letras mayúsculas y minúsculas, números y símbolos. Por lo tanto, se recomienda a las organizaciones que deseen evitar ser infectadas con PonyFinal que creen y apliquen políticas de contraseñas y exijan que su personal las cumpla.

Las políticas también deben incluir una lista de contraseñas prohibidas, como contraseñas que contengan nombres personales, fechas de nacimiento, palabras del diccionario, contraseñas anteriores o un patrón de teclado común (por ejemplo, qwerty o 12345678).

Comentarios finales sobre PonyFinal

PonyFinal es una amenaza emergente que no debe subestimarse. Este malware relativamente nuevo se instala en las computadoras de destino mediante operaciones manuales bien planificadas.

PonyFinal tiene la capacidad de cifrar la mayoría de los archivos almacenados en las redes comprometidas y esto, a su vez, puede provocar la parálisis de redes enteras. Una vez que los archivos están cifrados, pagar el rescate sigue siendo la única solución para recuperarlos. No es una coincidencia que muchas organizaciones grandes, incluso departamentos de policía, pagaran millones a operadores de diversos tipos de ransomware.

La prevención sigue siendo el único método eficaz contra PonyFinal y otros tipos de criptoransomware. Discutimos tres medidas de prevención que las organizaciones pueden tomar para protegerse contra PonyFinal. Su propósito es evitar ataques de fuerza bruta que permitan a los estafadores instalar PonyFinal en las computadoras objetivo.

Fuentes

  1. Microsoft advierte sobre ataques con el ransomware PonyFinal , ZDNet
  2. Ataques de ransomware operados por humanos: un desastre evitable , Microsoft
  3. Mori y J. Malik, » Reconocer objetos en el desorden adversario: romper un CAPTCHA visual «, IEEE
  4. Técnicas para prevenir un ataque de inicio de sesión por fuerza bruta , Computer Weekly