Nueva ola de ransomware afecta a Rusia

Entre la creciente cantidad de JavaScript maliciosos adjuntos en correos que observamos en enero de 2019, los investigadores de ESET detectaron una ola de ransomware que apunta principalmente a usuarios de Rusia.

En enero de 2019 se ha registrado un dramático incremento en las detecciones de JavaScript maliciosos como adjuntos en correos; un vector de ataque que estuvo mayormente inactivo durante 2018. Entre las nuevas campañas maliciosas de spam que se basan en este vector, hemos detectado una nueva ola de spam en lengua rusa que distribuye un ransomware conocido como Shade o Troldesh; el cual es detectado por ESET como Win32/Filecoder.Shade.

La campaña parece ser una actualización de una campaña de spam que comenzó distribuyendo el ransomware Shade en octubre de 2018.

La campaña de enero de 2019

Según muestra nuestra telemetría, la campaña de octubre de 2018 presentó un ritmo constante hasta la segunda mitad de diciembre de 2018, con un descanso cerca de Navidad, y luego reactivándose a mediados de enero de 2019 duplicando su tamaño, tal como se puede apreciar en la Figura 1. Las caídas que se pueden ver en el gráfico están relacionadas a fines de semana, lo cual sugiere que los atacantes apuntan a direcciones de correo de compañías.

Figura 1 – Detecciones de JavaScript maliciosos en adjuntos propagando Win32/Filecoder.Shade desde octubre de 2018

Como mencionamos anteriormente, esta campaña forma parte de una larga tendencia que hemos observado desde el comienzo de 2019 –el regreso de JavaScript maliciosos en adjuntos. La Figura 2 muestra cómo hemos visto este desarrollo en nuestra telemetría.

Figura 2 – Detecciones de JavaScript maliciosos distribuidos como adjuntos a través del correo. En todos los casos son detectados como JS/Danger.ScriptAttachment y pertenecen al último año
Cabe mencionar que la campaña que detectamos distribuyendo el ransomware Shade en enero de 2019 ha estado activa principalmente en Rusia, donde se registra el 52% de las detecciones totales de este adjunto JavaScript malicioso. Otros países afectados son Ucrania, Francia, Alemania y Japón, como se puede apreciar en la Figura 3.

Figura 3 – Distribución de las detecciones de ESET de adjuntos JavaScript maliciosos distribuyendo Win32/Filecoder.Shade entre el 1 de enero de 2019 y el 24 de enero de 2019

Basados en nuestro análisis, un típico ataque de esta campaña de enero de 2019 comienza con el envío de un correo escrito en ruso, que contiene un archivo ZIP adjunto con el nombre “info.zip” o “inf.zip”.

Estos correos maliciosos se presentan como la actualización de una orden que parece venir de organizaciones rusas legítimas. Los correos que hemos visto suplantan la identidad del banco ruso “B&N Bank” (recientemente fusionado con Otkritie Bank), y la cadena de retail Magnit. En uno de los correos detectados por los sistemas de ESET, la traducción al español es:

Asunto: Detalles de la orden
¡Hola!
Estoy enviando los detalles de la orden. El documento va adjunto.
Denis Kudrashev, manager

Figura 4 – Ejemplo de correo spam utilizado en la campaña de enero de 2019

El archivo ZIP contiene un archive JavaScript nombrado “Информация.js“ (que traducido sería “Información”). Una vez extraído y ejecutado, el archivo JavaScript descarga un loader malicioso, el cual es detectado por los productos de ESET como Win32/Injector. El loader malicioso descifra y ejecuta el payload final –el ransomware Shade.

El loader malicioso es descargado de URLs de sitios WordPress legítimos comprometidos, bajo la apariencia de archivo de una imagen. Para comprometer los sitios en WordPress, los atacantes realizaron ataques de fuerza bruta de contraseñas a gran escala que fueron llevados adelante por bots automatizados. Datos de nuestra telemetría muestran cientos de estas URLs, todas terminando con el string “ssj.jpg”, alojando el archivo con el loader malicioso.

El loader es firmado utilizando una firma digital inválida, que dice ser utilizada por Comodo, como se puede ver en la Figura 5. El nombre en “Signer information” y el registro de tiempo son únicos para cada muestra.

Figura 5 – Falsa firma digital utilizada por el loader malicioso

Más allá de esto, el loader intenta camuflarse aún más al simular ser el proceso de sistema legítimo Client Server Runtime Process (csrss.exe). Se copia a si mismo dentro de C:\ProgramData\Windows\csrss.exe, donde “Windows” es una carpeta oculta creada por el malware y que no suele estar ubicada en ProgramData.

Figura 6 – El malware simulando ser un proceso de sistema y utiliza detalles de las versiones copiadas de un binario legítimo de Windows Server 2012 R2

El ransomware Shade

El payload final de esta campaña maliciosa es el ransomware llamado Shade o Troldesh. Visto por primera vez activo a fines de 2014, el ransomware cifra un amplio rango de tipos de archivos en los discos locales. En la reciente campaña, el ransomware añade la extensión .crypted000007 a los archivos cifrados.

Las instrucciones de pago son presentadas a las víctimas en un archivo TXT, en ruso e inglés, el cual es droppeado a todos los discos en la computadora afectada. El mensaje en la nota de rescate es idéntico al que se utilizaba en la campaña previa reportada en octubre de 2018.

Figura 7 – La nota del ransomware Shade de enero de 2019

Cómo estar protegido

Para evitar ser víctima de una campaña de spam malicioso, siempre verifica la autenticidad de los correos antes de abrir cualquier adjunto o pinchar en un enlace que contenga el correo. Si es necesario, corrobora los datos de contacto que aparecen en la página web de la organización que aparenta enviar el correo.
Para usuarios de Gmail, puede resultar útil saber que Gmail ha estado bloqueando adjuntos con JavaScript, tanto en la bandeja de salida como de entrada desde hace al menos dos años.
Usuarios de otros servicios de email, incluyendo servidores de correo de compañías, deben apoyarse en la prevención –a menos que utilicen alguna solución de seguridad capaz de detectar y bloquear archivos JavaScript maliciosos.
Varios módulos diferentes en los productos de seguridad de ESET detectan y bloquean de manera independiente archivos JavaScript maliciosos.
Para evitar que tu sitio de WordPress se vea comprometido, utiliza una contraseña fuerte y doble factor de autenticación. Además, asegúrate de actualizar el propio WordPress, así como los plugins y temas que utilices.

Indicadores de Compromiso (IoCs)

Hashes de ejemplo de los ZIP maliciosos adjuntos

ESET detection name: JS/Danger.ScriptAttachment
0A76B1761EFB5AE9B70AF7850EFB77C740C26F82
D072C6C25FEDB2DDF5582FA705255834D9BC9955
80FDB89B5293C4426AD4D6C32CDC7E5AE32E969A
5DD83A36DDA8C12AE77F8F65A1BEA804A1DF8E8B
6EA6A1F6CA1B0573C139239C41B8820AED24F6AC
43FD3999FB78C1C3ED9DE4BD41BCF206B74D2C76

Hashes de ejemplo de los downloaders JavaScript

ESET detection name: Win32/Injector
37A70B19934A71DC3E44201A451C89E8FF485009
08C8649E0B7ED2F393A3A9E3ECED89581E0F9C9E
E6A7DAF3B1348AB376A6840FF12F36A137D74202
1F1D2EEC68BBEC77AFAE4631419E900C30E09C2F
CC4BD14B5C6085CFF623A6244E0CAEE2F0EBAF8C

Hashes de ejemplo del ransomware Shade

ESET detection name: Win32/Filecoder.Shade
FEB458152108F81B3525B9AED2F6EB0F22AF0866
7AB40CD49B54427C607327FFF7AD879F926F685F
441CFA1600E771AA8A78482963EBF278C297F81A
9023B108989B61223C9DC23A8FB1EF7CD82EA66B
D8418DF846E93DA657312ACD64A671887E8D0FA7

String específico de la campaña en URLs que alojan el ransomware Shade


Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS