Llama la atención las palabras que han sido escogidas en el mensaje desplegado por el malware: los archivos no han sido secuestrados, sino “protegidos”, y su estructura ha “cambiado irrevocablemente” pero con la ayuda de los atacantes pueden ser restaurados. El mensaje también aconseja al usuario “no perder el tiempo” porque no existen otras soluciones. La única solución disponible sería pagar utilizando las direcciones .onion de la red Tor proporcionadas por el mismo CryptoWall.
Un ataque en etapas
Un análisis efectuado por el Talos Group y posteado en su blog nos muestra a detalle el método de acción del malware. El malware empieza cifrado y revisa si se trata de una máquina virtual o un ambiente emulado, y en ese caso no se instala. Esto para evitar desvendar su modus operandi en sistemas que estén analizando el comportamiento del malware. Caso el malware considere estar en un sistema común, comienza una serie de etapas de descifrado para emprender su cometido. En una primera etapa crea un proceso Explorer.exe falso que se copia a la carpeta de auto ejecución de Windows. Una serie de servicios de Windows son desactivados. Luego, el malware elimina el explorer falso y crea un svchost falso que continua la operación. La rutina principal de infección de este ejecutable importa modulos importantes de Windows (ntdll, kernel32, wininet, etc). Luego trata de bajar un cliente TOR a partir de una lista de sitios, disponible en el blog de Talos, y en otra lista de sitios consulta el IP externo del sistema. Si el proceso es exitoso, el malware se comunica directamente con su centro de comando y control, lo que lleva ya a la encriptación de los archivos en el sistema.
La identificación y la detención de estas nuevas variantes requieren un enfoque de seguridad por capas. Romper cualquier etapa de la cadena de ataque evitará la infección.
Cómo EnCase Cybersecurity y EnCase Analytics pueden ayudar a detener a CryptoWall 2.0
EnCase Cybersecurity y EnCase Analytics pueden ser usados para verificar conexiones a los sitios usados por CryptoWall y para modificar los archivos hosts de los usuarios para evitar conexiones a estos dominios. Además, se pueden generar las firmas MD5 o SHA1 de los archivos svchost y explorer de las computadoras para que si caso alguna computadora esté ejecutando una versión que no sea la original, su remoción pueda ser efectuada en instantes. Además, tanto EnCase Cybersecurity como EnCase Analytics pueden revisar todos los programas con puertos abiertos en una computadora que no se alineen a las herramientas utilizadas en una empresa, facilitando enormemente la capacidad de encontrar el uso de la red Tor.
La cuestión principal es que malware como CryptoWall 2.0 siempre deja rastros en los dispositivos. Esto significa que la visibilidad de los dispositivos y el monitoreo usando una herramienta como EnCase Analytics o EnCase Cybersecurity es vital para la detección de estas amenazas antes de que causen cualquier daño real.
TEMAS RELACIONADOS
Detectando y Mitigando un Ataque CryptoLocker con EnCase
Dé un "Me Gusta" a Nuestra Página en Facebook
Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos
Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español
Vicepresidente de Symantec: El Antivirus “Ha Muerto”
No hay comentarios :
Publicar un comentario