Guías técnicas

Investigación de amenazas

GandCrab v4.1 Ransomware y el Especulado Exploit Spreader SMB

Sólo dos días después del lanzamiento de GandCrab 4.0, FortiGuard Labs encontró una nueva versión (v4.1) que se distribuye usando el mismo método, que es a través de sitios web comprometidos disfrazados de sitios de descarga para aplicaciones agrietadas.

Con esta nueva versión, GandCrab ha añadido una táctica de comunicación en red que no se observaba en la versión anterior. Además, compartiremos nuestro análisis de los informes que circulan actualmente sobre una supuesta amenaza de “exploit spreader SMB”.

Figura 1 El malware envía información a la lista de sitios web comprometidos

 Para generar la URL completa para cada host, se utiliza un algoritmo pseudoaleatorio para elegir entre conjuntos de palabras predefinidas. La URL final está en el siguiente formato. (e.g. www{host}.com/data/tmp/sokakeme.jpg):

Figura 2 Formato de las URLs conectadas por GandCrab v4.1

Después de conectarse correctamente a una URL, este malware envía datos cifrados (y codificados en base a 64) de las víctimas, que contienen la siguiente información del sistema infectado y de GandCrab:

– Dirección IP

– Nombre de usuario

– Nombre del ordenador

– Red DOMINIO

– Lista de AVs instalados (si los hay)

– Localización del sistema por defecto

– Teclado Russian Layout Flag (0=Sí/1=No)

– Sistema Operativo

– Arquitectura del procesador

– ID de rescate ({crc del número de serie del volumen} {volumen del número de serie})

– Red y unidades locales

– Información interna de GandCrab:

  • id
  • sub_id
  • versión
  • acción

Sin embargo, no encontramos pruebas definitivas de que los sitios web con código duro incluidos en el malware hayan sido comprometidos para actuar como servidores o sitios de descarga para GandCrab. Aún más curioso, el hecho es que el envío de información sobre las víctimas a todos los anfitriones vivos de la lista es ilógico en un sentido práctico, dado que un solo envío con éxito habría sido suficiente para sus propósitos. Con estos puntos en mente, hemos empezado a pensar que esta función es experimental, o simplemente para desviar el análisis y que las URLs incluidas en la lista son sólo víctimas de un mal humor.

Procesos de eliminación para garantizar el cifrado

Nuestro análisis también descubrió que para asegurar la encriptación completa de los archivos objetivo, GandCrab puede matar los siguientes procesos:

– msftesql.exe

– sqlagent.exe

– sqlbrowser.exe

– sqlwriter.exe

– oracle.exe

– ocssd.exe

– dbsnmp.exe

– synctime.exe

– agntsvc.exeisqlplussvc.exe

– xfssvccon.exe

– sqlservr.exe

– mydesktopservice.exe

– ocautoupds.exe

– agntsvc.exeagntsvc.exe

– agntsvc.exeencsvc.exe

– firefoxconfig.exe

– tbirdconfig.exe

– mydesktopqos.exe

– ocomm.exe

– mysqld.exe

– mysqld-nt.exe

– mysqld-opt.exe

– dbeng50.exe

– sqbcoreservice.exe

– excel.exe

– infopath.exe

– msaccess.exe

– mspub.exe

– onenote.exe

– outlook.exe

– powerpnt.exe

– vapor.exe

– thebat.exe

– thebat64.exe

– thunderbird.exe

– visio.exe

– winword.exe

– wordpad.exe

 

La eliminación de estos procesos permite que la rutina de encriptación cumpla con éxito su objetivo sin interrupciones indeseables. Además, estos tipos de archivos específicos a menudo contienen datos que son valiosos para la víctima y, por lo tanto, aumentan la probabilidad de que la víctima considere la posibilidad de realizar un pago para recuperar sus archivos.

Especulación de GandCrab SMB Exploit Spreader

En los últimos días, numerosos informes han estado circulando afirmando que esta versión del malware GandCrab puede autopropagarse a través de un “exploit SMB” – una frase que se ha convertido en el terror (como debería ser) de la industria de la ciberseguridad tras los ataques globales de WannaCry y Petya/NotPeta en el segundo trimestre del año pasado. Por lo tanto, no es de extrañar que la noticia de que otro software de rescate utilizara este método de difusión causara un gran revuelo.

Como no habíamos visto ningún informe técnico para la reclamación, decidimos investigar y confirmar este rumor, ya que esta funcionalidad no se observó durante nuestro análisis anterior. Sin embargo, esto fue en vano.

Según los informes, un módulo que ahora se llama “network f**ker” se supone que es el responsable de realizar dicha explotación. Esto se hace evidente en la siguiente cadena de depuración que se encuentra en el binario del malware:

Figura 3 Depurar cadenas en GandCrab v4.0 binario

Sin embargo, a pesar de esta cadena, no pudimos encontrar ninguna función real que se asemeje a la capacidad de explotación reportada. (También puede ser relevante reportar que esta cadena fue encontrada por primera vez en v4.0 y no en v4.1, al menos en las muestras que hemos analizado.) Dado que esta cadena no está conectada a ninguna función de propagación de exploits que podamos descubrir, parece mucho más probable que se refiera simplemente a la encriptación de las redes compartidas, y no a ningún tipo de propagación de exploit.

Conclusión

Hemos proporcionado este análisis para ayudar a prevenir la posibilidad de pánico innecesario en la comunidad. No se pretende desacreditar ningún informe o personalidad, pero hasta que no tengamos una evidencia concreta de su existencia, actualmente consideramos que la propagación de la explotación de las PYMES de GandCrab es sólo especulativa.

Si la función existe (sinceramente esperamos que no), nos aseguraremos de proporcionar actualizaciones. Sin embargo, con el rápido desarrollo de GandCrab durante la semana pasada, y la especulación pública de esta funcionalidad de propagación de explotación, no sería una sorpresa si los actores de la amenaza decidieran agregarla en una futura actualización.

En cualquier caso, esta vulnerabilidad ha sido parcheada durante mucho tiempo por la actualización MS17-010 de Microsoft. Así que asegúrese de que sus sistemas han sido actualizados adecuadamente. Mientras tanto, FortiGuard Labs estará atento a cualquier novedad.

 

Nota: Gracias a David Maciejak, Jasper Manuel, Artem Semenchenko, Val Saengphaibul y Fred Gutiérrez por sus ideas adicionales.

-= Equipo FortiGuard Lion =-

Solución

Los clientes de Fortinet están protegidos por lo siguiente:

– Las muestras son detectadas por las firmas W32/Gandcrab.IV!tr y W32/GandCrypt.CHT!tr

– FortiSandbox califica el comportamiento del GandCrab como de alto riesgo

CPI

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *