El más reciente Informe Sobre Investigaciones de Brechas en los Datos (DBIR) de Verizon reveló que el crimeware es un problema serio para las industrias de construcción, información y servicios básicos, representando más del 30% de los incidentes presentados. Entre los más malignos de la categoría de troyanos de ramsonware está el CryptoLocker. Cómo funciona Cryptolocker
CryptoLocker llega mediante un archivo ZIP anexado a un mensaje de correo electrónico aparentemente inocente. Una vez descomprimido, el malware se instala en la carpeta del perfil de usuario, agrega una llave al registro para que se inicie automáticamente durante el arranque, y posteriormente empieza una conexión a un servidor de comando y control. Después de la conexión, el servidor genera un par de llaves RSA de 2048 bits y retorna la llave pública al computador, encripta archivos de los discos duros locales y de las unidades de red mapeadas con esa llave pública, y apunta cada archivo encriptado en una llave del registro. En este momento, el usuario recibe un mensaje que le informa que sus archivos han sido encriptados y que se requiere pagar una recompensa con Bitcoin.
¿Nefasto, verdad? Pero no invencible. Nosotros ahora sabemos que CryptoLocker deja bastantes entradas en el registro y que copia archivos a la carpeta Application Data para asegurar su persistencia. Esto significa que deja un rastro de artefactos en los dispositivos infectados, incluyendo:
• Llaves de registro de inicio automático
(p. ej. HKCU\Software\Microsoft\Windows\Current\Version\Run\CryptoLocker)
• Ejecutables y otros archivos en la carpeta Application Data
La cosa más interesante sobre este malware es la forma en que contacta el servidor de comando y control. El malware tiene un algoritmo que genera dinámicamente nombres de dominio de potenciales servidores C2 (servidores de comando y control) , que son parte de la botnet GameOver Zeus, y muchos de los cuales ya están en la lista negra de VirusTotal (Nota: A pesar que la botnet GameOver Zeus fue desmantelada, ahora parece estar en un estado de resurrección). Intenta comunicarse con alrededor de 1000 nombres de dominios distintos hasta que consigue conectarse con uno. El punto que estamos tratando de mostrar es que los archivos no son encriptados para pedir una recompensa hasta que el malware llega a un servidor C2.
Cómo EnCase Cybersecurity y EnCase Analytics pueden detener a CryptoLocker
EnCase Cybersecurity y EnCase Analytics pueden ser usados actualmente para escanear los metadatos de los archivos en toda la empresa, buscando en todos los dispositivos evidencia de la existencia de CryptoLocker en la carpeta Application Data. Por sí solo, EnCase Analytics puede ser usado para detectar procesos en ejecución en la carpeta Application Data y conexiones sospechosas. EnCase Cybersecurity puede ser usado para buscar las entradas de registro que CryptoLocker deja para tratar de asegurar su persistencia. Si nosotros, los “cazadores de amenazas”, encontramos al malware antes de que llegue a un servidor de comando y control, podemos prevenir la encriptación de los datos sensibles antes de que se pida una recompensa.
La cuestión principal es que el malware como CryptoLocker siempre deja rastros en los dispositivos. Esto significa que la visibilidad de los dispositivos y el monitoreo usando una herramienta como EnCase Analytics es vital para la detección de estas amenazas antes de que causen cualquier daño real. ¿Tiene comentarios? ¿Historias de batallas propias? Su opinión es bienvenida en la sección de comentarios de abajo.
No hay comentarios :
Publicar un comentario