Recientemente se ha descubierto una nueva campaña de
distribución de ransomware que aprovecha una vulnerabilidad en Google Drive
para distribuir a través de la nube de Google una versión renovada del temido
ransomware CryptoWall 3.0.
CryptoWall es un malware que cuando se ejecuta en el ordenador de sus víctimas automáticamente empieza a cifrar todos los datos del disco duro con un algoritmo RSA de 2048 bits. Una vez se completa el cifrado se establece una conexión a través de la red Tor para pedir un pago o “rescate” por los datos, o de lo contrario se perderán para siempre.
La vulnerabilidad en cuestión permite al pirata informático
enviar una pequeña descarga inofensiva del ransomware de manera que el usuario
no sospeche de ella. Mientras esta descarga tiene lugar se accede a un fichero
de servidores desde donde se empieza a descargar también esta versión de
CryptoWall
El exploit genera un archivo de direcciones de Google Drive
que cuando el usuario accede a ellas se encuentra con un fichero comprimido
llamado “resume.zip” y que en su interior hay un script “my_resume_pdf_id-4535-4553-293.scr”.
Google Drive ejecuta este script por error y conecta con una serie de
servidores desde donde comienza la descarga y ejecución del malware en el
sistema de la víctima.
El proceso de infección puede resumirse en 3 pasos:
- Lo
primero es asentarse en el sistema con la función ShimCacheMutex.
- A
continuación el malware se inyecta y oculta dentro del proceso dwwin.exe.
- Una
vez en el proceso anterior CryptoWall empieza el cifrado de archivos.
Una vez finaliza el proceso de cifrado conecta con la red Tor
y pide al usuario el pago del rescate por recuperar sus datos.
El exploit para explotar esta vulnerabilidad se distribuye a
través del kit RIG. Este kit de exploits ha ganado una especial fama en los
últimos meses principalmente por su reducido precio de alquiler (150 dólares a
la semana) que si se compara con otros kits como Neutrino es un 75% más
económico e igual de peligroso.
Los antivirus son ineficaces con esta nueva versión ya que,
además de que este método de distribución pasa desapercibido para las
herramientas de seguridad, el malware también ha sido programado para evadir
las diferentes técnicas de seguridad y CryptoWall no es detectado hasta su fase
final, aunque para entonces ya es demasiado tarde. Esta nueva versión es
polimórfica y cuenta con una infraestructura avanzada y extensa que pueden
evadir la detección de los sistemas de seguridad.
Recomedación
- La mejor (y única) forma de protegerse de CryptoWall y de otro ransomware similar es por nosotros mismos. Debemos tener cuidado con los enlaces a los que accedemos, aunque sea de sitios web fiables, y evitar siempre abrir enlaces de personas desconocidas que vengan adjuntos en el correo electrónico.
