|
Introducción
El Centro de Respuesta a Incidentes Informáticos de la ARCOTEL – EcuCERT, dentro de su gestión y como parte del apoyo recibió de su red de confianza nacional la notificación de posibles afectaciones a organizaciones en el país, por la contaminación con el ransomware de la familia RANSOMEXX, por lo que a fin de que se tomen las respectivas medidas preventivas y correctivas emite esta alerta, con información técnica para su mitigación.
Este ransomware inició con el nombre de Defray en 2018, pero se volvió más peligroso en junio de 2020 cuando cambió su nombre a RansomEXX (Ransom X, AKA Defray777, Ransom.exx o RansomExx) y comenzó a apuntar a grandes entidades corporativas.
RansomEXX ingresa a una red a través de credenciales comprometidas por ataques previos tipo phishing, ataques de fuerza bruta a conexiones de escritorio remoto RDP y/o mediante la utilización de exploits hacia sistemas no parchados.
Una vez que obtienen el acceso, se propaga silenciosamente por toda la red, mientras roba archivos no cifrados para usarlos en intentos de extorsión posteriores.
Finalmente, luego de obtener acceso a una contraseña de administrador, implementa el ransomware en la red y cifran todos sus dispositivos.
Descripción técnica
Cuando se ejecuta RansomEXX, este interrumpe una variedad de procesos de seguridad, herramientas de administración remota y servidores de bases de datos. Luego, toma más medidas para obstruir los intentos de recuperación, incluido el borrado de los registros de eventos de Windows, la eliminación de diarios NTFS, la desactivación de Restaurar sistema y el Entorno de recuperación de Windows, la eliminación de catálogos de copia de seguridad de Windows y la limpieza del espacio libre en el almacenamiento local.
Cuando RansomEXX cifra los datos, agrega una extensión personalizada asociada con la víctima a los nombres de archivo afectados. Una nota de rescate llamada ! [Extensión] _READ_ME! .Txt se guarda en cada directorio cifrado. Esta nota incluye el nombre de la organización de la víctima, una dirección de correo electrónico para contactar e instrucciones sobre cómo pagar el rescate. Mientras se ejecuta, RansomEXX muestra una consola en pantalla con información sobre el proceso de cifrado.
La muestra hash MD5 encontrada aa1ddf0c8312349be614ff43e80a262f , es un ejecutable ELF de 64 bits, que implementa su esquema criptográfico utilizando funciones de la biblioteca de código abierto mbedtls.
Cuando se inicia, el troyano genera una clave de 256 bits y la utiliza para cifrar todos los archivos que pertenecen a la víctima a los que puede acceder, utilizando el cifrado de bloque AES en modo ECB; la clave AES está encriptada por una clave pública RSA-4096 incrustada en el cuerpo del troyano y adjunta a cada archivo encriptado. El malware lanza un hilo que regenera y vuelve a cifrar la clave AES cada 0,18 segundos; sin embargo, según un análisis de la implementación, las claves en realidad solo difieren cada segundo.
Además de cifrar los archivos y dejar notas de rescate, la muestra no tiene ninguna de las funciones adicionales que otros actores de amenazas tienden a usar en sus troyanos: sin comunicación C&C, sin terminación de procesos en ejecución, sin trucos anti-análisis, etc.
|
|
