Tecnología

Ciberdelincuentes aprovechan una vulnerabilidad en Windows 10

La semana pasada recibimos en PandaLabs, nuestro laboratorio antimalware, una pregunta sobre una familia concreta de ransomware que emplea PowerShell, una herramienta de Microsoft incluida en Windows 10 y que lleva tiempo siendo explotada por ciberdelincuentes.

Hoy, Luis Corrons, director técnico de PandaLabs explica cómo funciona este ransomware, con la intención de mostrar a la comunidad cómo protegerse ante esta y otras vulnerabilidades que en estos momentos constituyen amenazas importantes a la seguridad de nuestros datos.

El ransomware concreto por el que nos preguntaban nos sonaba de hace tiempo y, de hecho, nuestros colegas de Carbon Black escribieron un artículo sobre él en marzo pasado. El flujo de ataque es fácil de seguir: comienza con un correo de phishing con un documento Word adjunto. Una vez abierto, una macro incluida en el documento ejecuta el archivo cmd.exe para abrir PowerShell, que utiliza para descargar un script desde Internet. A continuación, se vuelve a ejecutar PowerShell empleando dicho script como datos de entrada para llevar a cabo las acciones del ransomware.

Este Powerware, tal y como lo han llamado los amigos de Carbon Black, es uno más de los miles de ransomware que hemos identificado. En nuestro caso, ya lo bloqueábamos incluso antes de conocer a esta familia de ransomware (como en el 99.99% de los casos. Para algunas empresas de seguridad esta familia concreta de malware supone un reto mayor que las demás. ¿Cuál es el motivo? Bueno, muchos de los llamados ‘Antivirus de Nueva Generación’ siguen confiando demasiado en las firmas de virus, y además su presencia es mucho mayor en el perímetro que en el endpoint. Y como es de imaginar, bloquear documentos de Word en el perímetro no es precisamente lo más conveniente. Una vez se han infectado algunos clientes es cuando pueden añadir las firmas correspondientes al antivirus y proteger al resto (por ejemplo, bloqueando las direcciones IP desde la que se descarga el script), aunque la ausencia de un ejecutable malicioso que se descargue desde Internet es una auténtica pesadilla para ellos.

Al final, el ransomware es un negocio increíble para los ciberdelincuentes, y como tal, invierten grandes cantidades de recursos en encontrar nuevas maneras de evitar ser detectados por todo tipo de soluciones de seguridad, siendo este Powerware un ejemplo más de esta tendencia. El comportamiento general es siempre el mismo, aunque se introducen pequeños cambios cada semana. Estos cambios pueden afectar tanto al propio malware (el modo en que lleva a cabo sus acciones) como a la forma de llegar al sistema (mediante el uso de nuevos exploits, modificación de exploits existentes, modificación de los efectos de dichos exploits, etc.)

Un buen ejemplo de los nuevos métodos de infección es uno que hemos visto recientemente: después de explotar una vulnerabilidad de Internet Explorer, se ejecuta la consola CMD mediante la función ‘echo’ para crear un script. A continuación, se ejecutan una serie de archivos de Windows para realizar las acciones encaminadas a evitar la detección de los comportamientos sospechosos por parte de las soluciones de seguridad. El script, ejecutado por Wscript, descarga una DLL. A continuación, emplea CMD para ejecutar regsvr32, que ejecuta la DLL (mediante rundll32). En la mayoría de casos, dicha DLL es un ransomware. De hecho, hasta el momento hemos bloqueado en PandaLabs más de 500 intentos de infección que emplean este nuevo método.

No hemos analizado el exploit utilizado (en realidad no nos importa demasiado siempre que seamos capaces de bloquearlo), pero teniendo en cuenta el momento del ataque (que apareció por primera vez el 27 de junio), éste tuvo lugar una vez AnglerEK había desaparecido, por lo que es probable que los atacantes utilizasen o Neutrino o Magnitude.

Siempre que aparece algo nuevo como esto, alguien termina publicando información sobre el mismo un mes después, así que me temo que les acabamos de fastidiar el análisis a algunos, o al menos, dicho análisis ya no parecerá tan nuevo…   Para compensar, publicamos los MD5 de todas las DLLs que hemos visto ‘in the wild’ en los más de 500 intentos de infección que hemos detectado:

00d3a3cb7d003af0f52931f192998508

09fc4f2a6c05b3ab376fb310687099ce

1c0157ee4b861fc5887066dfc73fc3d7

1cda5e5de6518f68bf98dfcca04d1349

1db843ac14739bc2a3c91f652299538c

2c5550778d44df9a888382f32c519fe9

2dcb1a7b095124fa73a1a4bb9c2d5cb6

2f2ca33e04b5ac622a223d63a97192d2

38fb46845c2c135e2ccb41a199adbc2a

3ac5e4ca28f8a29c3d3234a034478766

4cb6c65f56eb4f6ddaebb4efc17a2227

562bf2f632f2662d144aad4dafc8e316

63dafdf41b6ff02267b62678829a44bb

67661eb72256b8f36deac4d9c0937f81

6dbc10dfa1ce3fb2ba8815a6a2fa0688

70e3abaf6175c470b384e7fd66f4ce39

783997157aee40be5674486a90ce09f2

7981aab439e80b89a461d6bf67582401

821b409d6b6838d0e78158b1e57f8e8c

96371a3f192729fd099ff9ba61950d4b

9d3bf048edacf14548a9b899812a2e41

a04081186912355b61f79a35a8f14356

a1aa1180390c98ba8dd72fa87ba43fd4

a68723bcb192e96db984b7c9eba9e2c1

abb71d93b8e0ff93e3d14a1a7b90cfbf

b1ac0c1064d9ca0881fd82f8e50bd3cb

b34f75716613b5c498b818db4881360e

b6e3feed51b61d147b8679bbd19038f4

bbf33b3074c1f3cf43a24d053e071bc5

cba169ffd1b92331cf5b8592c8ebcd6a

d4fee4a9d046e13d15a7fc00eea78222

d634ca7c73614d17d8a56e484a09e3b5

de15828ccbb7d3c81b3d768db2dec419

df92499518c0594a0f59b07fc4da697e

dfd9ea98fb0e998ad5eb72a1a0fd2442

e5c5c1a0077a66315c3a6be79299d835

e9b891e433468208a87070a98762f9e7

ea45792911f35a35f19165cd485806f0

eaea54f86a6bd121fda4c18cbec75ae5

f949adaed84f1f05eb58386b5cfbf8a7

fa662d4796c1271a7a2a3240bcafb098

fc992705721fbedeecf5253ac62e0812

Fundado hace 28 años, Analitica.com es el primer medio digital creado en Venezuela. Tu aporte voluntario es fundamental para que continuemos creciendo e informando. ¡Contamos contigo!
Contribuir

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba