TLP: Amber
NIVEL DE RIESGO – [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Sitios Web.
Impacto: Cifrado de información.

Descripción

Una firma de ciberseguridad ha identificado la propagación del ransomware “Exorcist 2.0” mediante páginas Web falsas de supuestos activadores de software de pago, usando publicidad engañosa a través del proveedor “PopCash”. Este código malicioso cifra la información de los equipos y pide un rescate de 300 dólares en bitcoins para recuperarla, además, intenta convencer a los usuarios de pagar, ofreciéndoles un software de prueba para que descifren 3 archivos del equipo.

uc?export=view&id=1QAXv_Zb92aXteOwMA_jlfJvvVTDudZZI

Imagen 1. Sitio Web que publica “activadores” de software infectado

De acuerdo a una pieza analizada, la cual corresponde a un supuesto activador para “IDM 6.38” relacionado con la distribución de este ransomware, al descargar el programa de nombre “idm-crack_8691.zip” y proceder a descomprimirlo se pueden observar tres archivos, una imagen con el nombre de “free-crack.jpg”, un archivo comprimido “Setup.zip” y un documento de texto “Password-2020.txt”. El ejecutable está protegido por una contraseña para no ser detectable como malicioso por los navegadores o los software de seguridad de los equipos.

uc?export=view&id=1jeIOmp2HRXE0xdhbMOyBvOGi8F4XWp6H

Imagen 2. Contenido del .Zip descargado

Al descomprimir el archivo “Setup.zip” se obtiene nuevamente un ejecutable con el nombre “Setup[.]exe”, el cual necesita la contraseña del archivo “Password-2020.txt” para ser iniciado; una vez que el usuario ha introducido la contraseña el ransomware comienza la cadena de infección a través de varias instrucciones por consola.

Las acciones que realiza Exorcist 2.0 son: eliminar los puntos de restauración del sistema, deshabilitar la reparación automática y la recuperación de errores en el arranque de Windows, eliminar las copias de seguridad, incluidas las más antiguas, mediante la utilidad “wbadmin”, borrar algunos eventos de Seguridad, Sistema y Aplicación de Windows, mediante la utilidad wevtutil.

uc?export=view&id=1ruOxOQsqfpz47YE7kkckB_d-PVWsSSMN

Imagen 3. Árbol de instrucciones utilizadas por “Setup[.]exe”

uc?export=view&id=1M3Zq784soCOZy3oVwlYv8iChk6j76Tu1

Imagen 4. Deteciones de Emerging Threats

Paralelo a la ejecución de las instrucciones anteriores, este ransomware establece una conexión con los servidores de comando y control (C&C) de los atacantes mediante HTTP POST. Si bien, la URL se encuentra cifrada, se cree que es un mensaje de confirmación de la infección en el equipo.

Al finalizar la conexión se comienza a cifrar los archivos del sistema, posteriormente el programa Setup[.]exe es eliminado y se genera un archivo con el nombre “DECRYPT-fbqWlh-decrypt[.]hta”, donde se indica un sitio Web de Tor que contiene las instrucciones para realizar el pago y la recuperación del equipo.

uc?export=view&id=1nNiepyziBhbRoC6Tia27iOtQ1EodfxB_

Imagen 5. Sitio Web en TOR del atacante.

Cabe mencionar que no se recomienda pagar el rescate, debido a que esto no garantiza la recuperación de los archivos, incluso se sabe de algunas víctimas que pagaron el rescate y no recibieron el software para descifrar sus archivos. Hasta el momento, no existe un método para descifrar los documentos, debido a que no se conoce el algoritmo utilizado por los atacantes.

Nivel de riesgo

  • [Medio]

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5:
    • 48DBB3708D71850FBFA32F0CE2E5F69D
    • 9E5C89C84CDBF460FC6857C4E32DAFDF
  • SHA-1:
    • 02446B4FD1CD701D74E6C57A840F5A5DFFD24575
    • EE0A95846CE48C59261EDA0FDD6B38DFC83D9F4D
  • SHA-256:
    • 3926D653F4E088B4AF2C6AA3D1005E1D2661B7944BED2AC95BDF36D1EF341DC1
    • DFECB46078038BCFA9D0B8DB18BDC0646F33BAD55EE7DD5EE46E61C6CF399620
  • Dominios:
    • free-crack[.]com
  • URL:
    • hxxp://51[.]83[.]171[.]35/fgate
    • hxxp://51[.]83[.]171[.]35/sgate
  • Archivos:
    • idm-crack_8691[.]zip

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Realizar la descarga de programas solo desde fuentes oficiales.
  • No ejecutar archivos de los cuales no se tenga certeza de ser legítimos.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias