Descripción
Una firma de ciberseguridad ha identificado la propagación del ransomware “Exorcist 2.0” mediante páginas Web falsas de supuestos activadores de software de pago, usando publicidad engañosa a través del proveedor “PopCash”. Este código malicioso cifra la información de los equipos y pide un rescate de 300 dólares en bitcoins para recuperarla, además, intenta convencer a los usuarios de pagar, ofreciéndoles un software de prueba para que descifren 3 archivos del equipo.
Imagen 1. Sitio Web que publica “activadores” de software infectado
De acuerdo a una pieza analizada, la cual corresponde a un supuesto activador para “IDM 6.38” relacionado con la distribución de este ransomware, al descargar el programa de nombre “idm-crack_8691.zip” y proceder a descomprimirlo se pueden observar tres archivos, una imagen con el nombre de “free-crack.jpg”, un archivo comprimido “Setup.zip” y un documento de texto “Password-2020.txt”. El ejecutable está protegido por una contraseña para no ser detectable como malicioso por los navegadores o los software de seguridad de los equipos.
Imagen 2. Contenido del .Zip descargado
Al descomprimir el archivo “Setup.zip” se obtiene nuevamente un ejecutable con el nombre “Setup[.]exe”, el cual necesita la contraseña del archivo “Password-2020.txt” para ser iniciado; una vez que el usuario ha introducido la contraseña el ransomware comienza la cadena de infección a través de varias instrucciones por consola.
Las acciones que realiza Exorcist 2.0 son: eliminar los puntos de restauración del sistema, deshabilitar la reparación automática y la recuperación de errores en el arranque de Windows, eliminar las copias de seguridad, incluidas las más antiguas, mediante la utilidad “wbadmin”, borrar algunos eventos de Seguridad, Sistema y Aplicación de Windows, mediante la utilidad wevtutil.
Imagen 3. Árbol de instrucciones utilizadas por “Setup[.]exe”
Imagen 4. Deteciones de Emerging Threats
Paralelo a la ejecución de las instrucciones anteriores, este ransomware establece una conexión con los servidores de comando y control (C&C) de los atacantes mediante HTTP POST. Si bien, la URL se encuentra cifrada, se cree que es un mensaje de confirmación de la infección en el equipo.
Al finalizar la conexión se comienza a cifrar los archivos del sistema, posteriormente el programa Setup[.]exe es eliminado y se genera un archivo con el nombre “DECRYPT-fbqWlh-decrypt[.]hta”
Imagen 5. Sitio Web en TOR del atacante.
Cabe mencionar que no se recomienda pagar el rescate, debido a que esto no garantiza la recuperación de los archivos, incluso se sabe de algunas víctimas que pagaron el rescate y no recibieron el software para descifrar sus archivos. Hasta el momento, no existe un método para descifrar los documentos, debido a que no se conoce el algoritmo utilizado por los atacantes.
Nivel de riesgo
- [Medio]
Sistemas/tecnologías afectadas:
- Sistema Operativo Microsoft Windows.
Indicadores de compromiso (IoCs)
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:
- MD5:
- 48DBB3708D71850FBFA32F0CE2E5F6
9D - 9E5C89C84CDBF460FC6857C4E32DAF
DF
- 48DBB3708D71850FBFA32F0CE2E5F6
- SHA-1:
- 02446B4FD1CD701D74E6C57A840F5A
5DFFD24575 - EE0A95846CE48C59261EDA0FDD6B38
DFC83D9F4D
- 02446B4FD1CD701D74E6C57A840F5A
- SHA-256:
- 3926D653F4E088B4AF2C6AA3D1005E
1D2661B7944BED2AC95BDF36D1EF34 1DC1 - DFECB46078038BCFA9D0B8DB18BDC0
646F33BAD55EE7DD5EE46E61C6CF39 9620
- 3926D653F4E088B4AF2C6AA3D1005E
- Dominios:
- free-crack[.]com
- URL:
- hxxp://51[.]83[.]171[.]35/
fgate - hxxp://51[.]83[.]171[.]35/
sgate
- hxxp://51[.]83[.]171[.]35/
- Archivos:
- idm-crack_8691[.]zip
Medidas de contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
- Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
- Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
- Realizar la descarga de programas solo desde fuentes oficiales.
- No ejecutar archivos de los cuales no se tenga certeza de ser legítimos.
- Concientizar a usuarios finales respecto a este tipo de campañas.
Referencias