Se descubrió recientemente una nueva familia de ransomware que comenzó a rondar desde finales de marzo. El pasado lunes, los investigadores de Proofpoint, junto con la inteligencia del analista de seguridad Frank Ruiz, descubrieron un nuevo ransomware llamado “CryptXXX”, el cual al parecer tienen una clara conexión con Reveton, un tipo de ransomware descubierto anteriormente.
El malware BEDEP es el responsable de propagar este ransomware, después de una infección de los sistemas provocada por el Angler Exploit Kit (EK). En su blog, los investigadores describieron a “un Angler EK en BEDEP que instala una carga de ransomware y Dridex 222”. Esto significa que las páginas web que hospedan al kit de explotación Angler estaban distribuyendo al CryptXXX. El kit aprovecha las vulnerabilidades del sistema para realizar la descarga de BEDEP. Dadas sus capacidades de “descarga de malware”, CryptXXX llega a una infección de segunda fase – como un DLL de ejecución retrasada, que espera por lo menos 62 minutos para iniciarse. Cuando el ransomware se ejecuta, encripta los archivos del sistema infectado y agrega la extensión .crypt al nombre del archivo.
Similar a otras familias de ransomware, particularmente a Locky, TeslaCrypt y Cryptowall, esta variante crea tres tipos de archivos (de_crypt_readme.bmp, de_crypt_readme.txt, de_crypt_readme.html) para indicarle y notificarle a la víctima que el sistema se han sido comprometidos y para exigir el pago del rescate con el fin de volver a tener acceso a los archivos. De acuerdo con los investigadores, el ransomware exige un elevado rescate de $500 dólares por sistema – muy lejos de los pagos de rescate comunes que se han visto en el pasado. Además, CryptXXX evade la detección a través de sus “funciones anti-VM y anti-análisis”, en donde consulta el nombre de la CPU en el registro e instala un denominado procedimiento anzuelo para monitorear la actividad del ratón.
Se ha descubierto también que CryptXXX posee capacidades para robar Bitcoins, además de hurtar las credenciales y otra información personal de sus objetivos. Los investigadores de Trend Micro han descubierto que puede robar datos de FTP, de la mensajería instantánea y de las aplicaciones de correo. De acuerdo con su blog, los investigadores señalan, “Estamos esperando esto porque esa instancia de BEDEP tiene un largo historial de colocar ladrones de información en su flujo de actualización. Particularmente, colocó a Pony desde noviembre de 2014 hasta mediados de diciembre de 2015. Remplazó después a Pony con un “ladrón de privado” que no fue documentado hasta mediados de marzo de 2016. Creemos que las funciones para el robo de información de este ransomware son las mismas que las del “ladrón privado” distribuido por esta instancia de BEDEP”.
La conexión con Raveton
De acuerdo con el análisis que realizaron los investigadores del vector de infección y su historia, se determinó que el CryptXXX está vinculado con el grupo que operaban a Angler y a BEDEP. También se reportó que el nombre del ransomware se tomó de dos familias que contenían los caracteres XXX, que se sabe es el nombre real del kit de explotación Angler, cuyas mentes maestras también están detrás de Cool EK y Reveton.
Aunque las investigaciones y el análisis de CryptXXX aún continúan, los investigadores que hicieron el descubrimiento siguen recomendando tener cuidado debido a su impacto potencial. Otras variantes que han surgido más recientemente tal vez no han tenido un impacto alarmante debido a las mentes menos calificadas y experimentadas que están detrás de ellas, CryptXXX no parece ser una amenaza pasajera.
El blog dice, “Dada la larga historia de éxito de Reveton y la distribución de malware de gran escala, prevemos que CryptXXX se propague”. Además de esto, ya que Angler EK tiene el número más alto en términos de volumen, podría provocar más daño una vez que los delincuentes más versados saquen ventaja de esta forma de ataque, muy similar a cómo Locky causó revuelo cuando afectó a varios sectores.
El panorama de ransomware de hoy ha evolucionado considerablemente desde los inicios de la propagación de un scareware que lanzaba amenazas vacías, hasta el desarrollo de un malware letal de encripción de datos que bloquea los archivos y los sistemas. Más recientemente, el aumento continuo de variantes de ransmoware más sofisticadas ha forzado a las autoridades redoblar sus esfuerzos por combatir a la epidemia de ransomware.
Las soluciones de Trend Micro como Trend Micro™ Security, Smart Protection Suites y Worry-Free™ Business Security pueden proteger a los usuarios y empresas contra esta amenaza. Las políticas estrictas de contraseñas y la inhabilitación de la carga automática de macros de los programas de Office, junto con calendarios regulares de aplicación de parches, se encuentran entre las maneras válidas y probadas de mantener el ransomware a raya. Y a pesar de este intento de la amenaza de dejar inservibles los archivos de respaldo, aún es una defensa efectiva. Además, Trend Micro™ Deep Security ofrece seguridad avanzada para servidores físicos, virtuales y de nube. Protege a las aplicaciones empresariales y los datos contra brechas e interrupciones sin necesidad de parches de emergencia. Esta plataforma completa y gestionada centralmente ayuda a simplificar las operaciones de seguridad al tiempo de permitir el cumplimiento regulatorio y acelerar el retorno de la inversión (ROI) de los proyectos de virtualización y de nube.
Leave a Reply