1 de septiembre de 2014

CRYPTOWALL. Anatomía de la amenaza ransomware más destructiva de la red

Los datos recogidos directamente de la pasarela de pago del rescate revela el número exacto de víctimas que pagan, así como la cantidad que pagaron. De los casi 625.000 infecciones, 1.683 víctimas (0,27 %) pagan el rescate, para una toma total de 1.101.900 dólares en el transcurso de seis meses, según el último análisis de la amenaza por los investigadores de seguridad de la Unidad de Amenazas Dell SecureWorks .
Cryptowall es una cepa de ransomware  de cifrado archivos,  que cifra los archivos en dispositivos de almacenamiento infectados PCs con Windows y que se suministran con el cifrado RSA-2048 antes de exigir un rescate por la clave privada para recuperar los documentos.
Entre mediados de marzo y finales de agosto, cerca de 625.000 sistemas fueron infectados con CryptoWall y consiguieron cifrar más de 5.250 millones de archivos durante el período.
Muchas de las infecciones se encuentran en los Estados Unidos (40,6 %) debido a la distribución frecuente de CryptoWall través Cutwail el spam dirigido a los usuarios habla inglesa.
Mando y control
  • CryptoWall utiliza un sistema de comando y control que se basa en varios dominios estáticos codificados en binario cada uno. A diferencia de otras familias de malware prevalentes, CryptoWall no utiliza técnicas avanzadas, como algoritmos de generación de dominio (DGA) o sistemas DNS fast-flux.
  • Estos servidores utilizan la no-caching proxy web Privoxy y probablemente actúan como servidores de primer nivel que el tráfico de proxy de las víctimas a los servidores de back-end que gestionan las claves de cifrado.
  • A finales de julio de 2014, varias muestras distribuidas utilizan servidores de comando alojados en la red Tor, lo que sugiere la pandilla de malware tiene la intención de detener el tiempo usando los servidores tradicionales, accesibles directamente.
  • El malware no extrae las credenciales de usuario, archivos o metadatos de los archivos. , de acuerdo con los investigadores de seguridad en Dell SecureWorks. 
 CryptoWall reforzada que corrige defectos anteriores
  • Las variantes de CryptoWall desplegadas  hasta marzo del 2014 contenía una debilidad en la aplicación de cifrado que permite la recuperación de la clave utilizada para cifrar archivos. Este defecto parece haber sido corregido en versiones posteriores del malware.
  • Los archivos en unidades de red extraíbles y fijas de las máquinas infectadas son cifrados. Además, los servicios de almacenamiento en la nube, como Dropbox o Google Drive, que se asignan a un sistema de archivos específico también serán cifrados.
  • Como CryptoLocker y variantes anteriores CryptoWall incluyen numerosas opciones de pago, incluyendo tarjetas de prepago como MoneyPak, Paysafecard, Cashu, y Ukash, además de la cryptocurrency Bitcoin.
Las exigencias de los estafadores  son muy variables, según Dell SecureWorks.
  • "El rescate ha fluctuado frecuentemente en el capricho de los operadores de botnets, y ningún patrón exacto se ha establecido que determina qué víctimas reciben un valor de rescate en particular", los expertos en seguridad explican.
  • "Los rescates que van desde $ 200 a $ 2000 han exigido en varias ocasiones por los operadores de CryptoWall. Los rescates más grandes se suelen reservar para las víctimas que no paguen dentro del plazo establecido (generalmente cuatro a siete días). En un caso, una víctima pagó $ 10.000 para la liberación de sus archivos ".
Distribución del malware
  • Las campañas de spam que difunden el ransomware usando un señuelo "fax perdido" en junio llevaron a muchas infecciones, de acuerdo a los investigadores de seguridad de Dell SecureWork. Posteriormente otros investigadores han sobservado que el malware era  difundido por medio de anuncios maliciosos.
  • La similitudes de codificación entre CryptoWall y la familia antes Tobfy de ransomware tradicional (que sólo encierra PCs y no cifra archivos) sugieren la misma banda de delincuentes puede estar detrás de las dos estafas.
Fuente: The Register