Una guía de X-Labs sobre el ransomware y cómo funciona

En el informe Digital Defense Report 2024 de Microsoft, se observó que los ataques de ransomware aumentaron 2,75 veces en comparación con 2023. Y está claro que la tendencia no disminuirá pronto: Cybersecurity Ventures estima que el ransomware podría costar a las organizaciones $265 mil millones anuales para 2031.

¿Qué es el ransomware?

El ransomware es un tipo de software malicioso que cifra los datos de una víctima, haciéndolos inaccesibles hasta que se pague un rescate, generalmente en criptomonedas. Los hackers prefieren el ransomware por su alto retorno de inversión, aprovechando medidas de seguridad débiles para exigir pagos que a menudo cuestan millones a las organizaciones. Utilizan la doble extorsión, amenazando con filtrar datos sensibles si no se cumplen las demandas, lo que amplifica la presión.

Las tendencias muestran que los ataques de ransomware están apuntando cada vez más a infraestructuras críticas, utilizando técnicas avanzadas como los ataques del tipo "living off the land", a menudo con malware mejorado por inteligencia artificial. Además, las plataformas de ransomware-as-a-service (RaaS) permiten que delincuentes con menos habilidades se sumen al escenario.

Dada la magnitud de la amenaza, el equipo X decidió aprovechar la oportunidad para escribir una publicación práctica en el blog que muestre cómo funcionan los ataques de ransomware. Para esta publicación, analizaremos un ataque que se asemeja al ransomware Maze. Este tipo de ataque se entrega típicamente a través de un archivo adjunto VBScript enviado por correo electrónico. Al igual que el ransomware Maze, utiliza una técnica de cifrado AES y cifra los archivos con extensiones aleatorias que dejan una nota de rescate.
 

Fig. 1 - Cadena de ataque

A continuación, un vistazo al correo de señuelo:

Fig. 2 - Correo de señuelo

El VBScript da inicio al ataque:

Fig 3- VBScript

Al ejecutarse, el VBScript sigue estos pasos:
 

• Crea la carpeta C:\WinXRAR.
• Abre un archivo PDF que se hace pasar por Old Mutual, el cual está limpio.
• Descarga los archivos Crawl[.]exe y Bootxr[.]exe en la carpeta creada desde la dirección 45.125.67[.]168.
• Después de descargar, los ejecuta usando el comando de PowerShell cmd /c.
• Borra el archivo.
   

Fig. 4 - PDF señuelo

A continuación, un vistazo a la carpeta creada:

Fig. 5 - Carpeta creada

Análisis de Crawl[.]exe

El archivo crawl[.]exe se descarga y ejecuta cuando se muestra el PDF señuelo. A continuación, se presenta un breve análisis de crawl[.]exe:

El análisis estático del archivo proporciona mucha más información sobre el comportamiento del mismo. Al analizar las cadenas (Strings) en PE Studio, se identificaron algunas importaciones y cadenas notables que indican que el archivo es malicioso.
 

Algunas cadenas notables:

• CreateToolhelp32Snapshot
• \wmic[.]exe
• \Decryptfiles[.]txt
• SleepEx
• BCryptGenRandom
• RegOpenKey
• RegCloseKey
• Shadow copy delete

Esto conduce a algunas importaciones sospechosas notables:

Fig. 6 - Archivos de importación sospechosos

Las cadenas también revelan el contenido de la nota de rescate:

Fig. 7 - Nota de rescate

Adicionalmente, el archivo también termina varios procesos, como se muestra en la sección resaltada a continuación en la Fig. 8.

Fig. 8 - Terminación de varios procesos

Esto incluye algunos procesos importantes mencionados a continuación, junto con otros procesos críticos:

• taskkill/
• Avpmapp.exe
• Cmd.exe
• K7TSecurity.exe
• K7AVScan.exe
• av_task.exe
• FilMsg.exe
• FilUp.exe

A partir de aquí, pasemos a un análisis más profundo del archivo. En la vista IDA se observan múltiples instrucciones y diversas técnicas anti-VM utilizando IsDebuggerPresent.

Fig. 9 - Técnica anti-VM IsDebuggerPresent

Cuando este archivo se ejecuta en una máquina virtual (VM), crea múltiples hilos (threads) realizando multitarea antes de ejecutar el malware, lo que ayuda a realizar un cifrado rápido de los archivos. Esto se logra mediante la API de Windows “CreateThread”. Colocamos un punto de interrupción (breakpoint) en el proceso CreateThread, y cada vez que se avanza, se crean nuevos hilos. Antes de pasar al siguiente punto de interrupción, se generan 106 hilos.

Si no se configura un punto de interrupción en CreateThread, se crean los hilos y se ejecuta el proceso.

Fig. 10 - Creación de varios subprocesos

A continuación, colocamos un punto de interrupción en IsDebuggerPresent para detener el proceso:

Fig. 11 - Cambios en el registro y ejecución del malware

Se realizan cambios en el registro en HKLM\System\CurrentControlSet\Control\Cryptography\Provider modificando el valor del tipo de cifrado. Aquí, se lleva a cabo un cifrado AES. Cada vez que una carpeta o archivo es cifrado, el valor se obtiene de las entradas del registro y se agrega una extensión aleatoria de 4 caracteres a los archivos.

Este ransomware también elimina las copias de seguridad de archivos de Windows utilizando un comando ofuscado y una eliminación de sombra: “c:\AsicvR\Asic\..\..\Windows\Asic\Asic\..\..\system32\Asic\Asic\..\..\wbem\Asic\Asicv\..\..\wmic.exe shadowcopy delete”

El archivo también se elimina a sí mismo después de completar la ejecución utilizando el siguiente comando:

“cmd.exe /C ping 1.1.1[.]1 -n 1 -w 3000 > Nul & Del /f /q \"%s\"", Filename”

Fig. 12 - El archivo se elimina a sí mismo tras realizar cambios

Fig. 13 - Cambios en el registro y cifrado de archivos

Cifrado de archivos:

Fig. 14 - Realización de cifrado de carpetas y archivos

El ransomware cifra fotos, videos y documentos, dejando intactos los ejecutables y las DLL. Una vez completado el cifrado, coloca un archivo Decryptfiles.txt en cada carpeta y subcarpeta, y cifra los tipos de archivos mencionados anteriormente con una extensión aleatoria de cuatro caracteres. Este comportamiento es similar al ransomware Maze, activo entre 2019 y 2020.

Fig. 15 - Archivos cifrados

Fig. 16 - Nota de rescate (primera parte)

Fig. 17 - Más detalles de la nota de rescate

Las campañas de ransomware como esta comienzan con un VBScript adjunto a un correo electrónico que atrae al usuario para que vea un documento. Una vez que el usuario abre el documento y ejecuta el VBScript, se muestra un archivo PDF dirigido a Old Mutual, un servicio financiero africano. El PDF es solo un señuelo. Al abrirlo, el archivo adjunto llama a un script de PowerShell que crea una carpeta y descarga dos archivos desde una dirección IP: uno es un miner y el otro un archivo de ransomware. El archivo de ransomware se ejecuta automáticamente en segundo plano, cifrando documentos, fotos y videos importantes. Para cuando el usuario cierra el PDF, el sistema ya está infectado con ransomware, dejando caer un archivo de texto llamado Decryptfiles.txt, que solicita al usuario pagar el rescate para desbloquear los archivos.

Declaración de Protección

Los clientes de Forcepoint están protegidos contra esta amenaza en las siguientes etapas del ataque:

• Etapa 2 (Señuelo): Los archivos VBS maliciosos asociados con estos ataques son identificados y bloqueados.
• Etapa 3 (Redirección): Las URLs utilizadas para descargar cargas adicionales son bloqueadas.
• Etapa 5 (Archivo Dropper): Los archivos dropper se añaden a la base de datos de archivos maliciosos de Forcepoint y son bloqueados.
• Etapa 6 (Llamada al hogar): Las credenciales de correo electrónico asociadas son bloqueadas.
  

IOCs