Análisis de LooCipher, una nueva familia de ransomware observada este año


Descubrimiento inicial

Este año parece ser nuevamente el año del ransomware. Se hicieron ataques notorios usando ransomware y se están detectando nuevas familias casi semanalmente.

El equipo de McAfee ATR ahora ha analizado una nueva familia de ransomware con algunas características especiales que nos gustaría mostrar. LooCipher representa cómo un nuevo actor en una etapa temprana de desarrollo utilizó las mismas técnicas de distribución que otros actores en el panorama del ransomware. El diseño de la nota de ransomware nos recordó los viejos tiempos del ransomware Cerber, un diseño muy bien impactado para obligar al usuario a pagar el rescate.

Gracias a iniciativas como el proyecto "No más rescate", uno de los socios involucrados ya ha proporcionado un descifrador válido para restaurar archivos cifrados por LooCipher.

McAfee Telemetry

Según los datos que administramos, detectamos infecciones de LooCipher en las siguientes regiones:

Análisis de campaña:

Según el análisis que realizamos, este ransomware se entregó a través de un archivo DOC. El contenido y las técnicas utilizadas con este MalDoc son bastante simples en comparación con otros archivos de documentos utilizados para propagar malware, como Emotet. No se aplicaron técnicas especiales de ingeniería social; los autores solo le ponen un mensaje simple: "Habilitar macros".

El archivo está preparado para descargar LooCipher desde un servidor remoto al abrir el archivo. Podemos ver la función Sub AutoOpen como una macro en el documento:

LooCipher comenzará su rutina de encriptación usando un conjunto predefinido de caracteres, creando un bloque de 16 bytes y usando la hora del sistema local:

El ransomware utilizará el algoritmo de cifrado AES-ECB en el proceso y la clave es la misma para todos los archivos, lo que facilita el proceso de recuperación de archivos. Otras familias de ransomware usan una clave diferente para cada archivo para evitar la posibilidad de que un ataque de fuerza bruta descubra la clave utilizada durante la infección.

En el proceso de encriptación, el ransomware evitará 3 carpetas especiales en el sistema para no romper su funcionalidad.

Cifrar archivos y carpetas clave fue uno de los errores que destacamos en nuestro análisis de LockerGoga; ese ransomware estaba rompiendo completamente la funcionalidad del sistema. Algunos archivos binarios encontrados estaban encriptando todo el sistema, incluido el archivo binario LockerGoga.

Con respecto a las extensiones que LooCipher buscará y cifrará en el sistema, la lista está codificada dentro del binario:

Es bastante interesante ver cómo LooCipher busca extensiones que no están presentes en los sistemas Windows como ".dmg". Esto sugiere que los autores pueden estar yendo a sitios de código para encontrar listas de extensiones.

En el análisis encontramos una referencia PDB:

\ Usuarios \ Usuario \ Documentos \ Proyectos \ sher.lock \ Debug \ LooCipher.pdb

Es interesante notar que la referencia encontrada contiene palabras en español, como si el usuario estuviera usando carpetas nombradas en español, sin embargo, el sistema está configurado en inglés. Actualmente no tenemos idea de por qué es así, pero es curioso.

El pago BTC es el método elegido por los autores de LooCipher para obtener dinero de las víctimas. Entonces, al final del cifrado del archivo, el ransomware mostrará una nota de rescate al usuario:

El descifrador LooCipher aparecerá también en el sistema con una cuenta regresiva específica:

En la nota de rescate, LooCipher dice que la dirección BTC se genera específicamente para el usuario, pero eso no es cierto; Todas las direcciones BTC que hemos visto están codificadas en el binario:

Esta es otra característica especial de este ransomware. Normalmente, este flujo de trabajo proporciona una dirección de correo electrónico para contactar a los autores para que puedan proporcionar las instrucciones a la víctima, o al menos una dirección BTC para realizar el pago (si no se proporciona una dirección BTC única a cada víctima), algo que es La principal diferencia entre las campañas RaaS y One-Shot.

Si aplicamos el análisis estático en los archivos binarios que tenemos, el mismo paquete de direcciones BTC se incluye en la mayoría de los que vemos en la naturaleza:

Ninguna de las direcciones BTC encontradas con respecto a LooCipher mostró ninguna transacción, por lo que creemos que los autores no monetizaron la campaña con los binarios que analizamos.

LooCipher y tráfico de red:

En el proceso de cifrado, LooCipher se pondrá en contacto con el servidor C2 y enviará información sobre la víctima:

Los datos enviados al servidor son:

Aquí, una copia del tráfico de red podría ayudar al usuario a conocer la clave de cifrado utilizada.

Decryptor Fallback Mechanism implementado por LooCipher

Los autores de LooCipher proporcionan un mecanismo de respaldo para ayudar a las víctimas a acceder a las instrucciones y al descifrador nuevamente, en caso de que cierren la ventana de LooCipher cuando aparece en el sistema después de cifrar los archivos:

El mecanismo ve el binario LooCipher cargado en la plataforma Mega. En caso de que el usuario desee obtener la dirección BTC o descifrar los archivos después de realizar el pago, puede descargar este binario y usarlo. Si los archivos fueron previamente encriptados por LooCipher, no serían encriptados nuevamente de acuerdo con los autores del ransomware.

Estoy infectado por LooCipher. ¿Cómo puedo recuperar mis archivos?

McAfee es uno de los fundadores y colaboradores del proyecto "No More Ransom". Una de nuestras partes interesadas creó un descifrador para todos los archivos cifrados por LooCipher:

Entonces, si está infectado con LooCipher, es posible recuperar sus archivos.

Conclusiones:

Los autores de LooCipher no son un actor sofisticado en comparación con otras familias como Ryuk, LockerGoga o REVil. Intentaron difundir su ransomware combinando la infección con un archivo de Office con una macro simple.

Será imposible para los autores volver a la escena si no cambian el funcionamiento del ransomware.

El equipo McAfee ATR desaconseja pagar las demandas de ransomware y, en cambio, recomienda:

  • Guardar una copia de sus archivos cifrados: a veces en el futuro se puede liberar un descifrador
  • Tener un flujo de trabajo de respaldo sólido en la empresa
  • Implementación de mejores prácticas en términos de Ciberseguridad

Regla de YARA

Subimos un Regla de YARA para detectar casi todas las muestras observadas en la naturaleza.

MITRE ATT & CK Cobertura:

  • Enganche
  • Evasión de defensa
  • Escaneo de servicios de red
  • Descubrimiento de información del sistema
  • Datos comprimidos

Cobertura de McAfee:

  • Artemis! 02ACC0BC1446
  • Artemis! 12AA5517CB7C
  • Artemis! 1B1335F20CD0
  • Artemis! 362AB3B56F40
  • Artemis! 64FCC1942288
  • Artemis! 8F421FE340E7
  • Artemisa 983EF1609696
  • Artemis! A11724DBE1D6
  • Artemis! A7ABF760411F
  • Artemis! B9246AA9B474
  • Artemis! F0D98A6809C1
  • McAfee-Ransom-O
  • Ransomware-GNY! 3B9A8D299B2A
  • Ransomware-GNY! 66571E3C8036
  • Ransomware-GNY! 9CF3C9E4A9B5
  • Ransomware-GNY! A0609D7AD404
  • Ransomware-GNY! A77FDEFE40BE
  • Ransomware-GNY! A9B6521FF980
  • Ransomware-GNY! D3CE02AD4D75
  • Ransomware-GNY! DC645F572D1F
  • RDN / Generic Downloader.x
  • RDN / Generic.ole

COI

7720aa6eb206e589493e440fec8690ceef9e70b5e6712a9fec9208c03cac7ff0

35456dc5fdaf2281aad4d8f0441dcd0c715164e9d2ca6412380c2215ed2eab9c

3e8660f0d2b5b4c1c7dfb0d92f1198b65f263d36cd9964505f3a69150a729f6f

2ca214c271920c7261fc0009971961fa6d2ee4bd23820899f4d6e0679739bf2e

2ef92ced4c009fc20645c5602f0b1f2ddca464365b73b62eb0b7217f422590d5

77766f7f78e13dce382aeb4f89c13b9de12a2fa85f0a7550f4239dfe385a6fb5

8834001d7420d8caaa20cd429130249db30c81f0c5da92a2cb2da4dee6669c87

242f9a9cb23c87b6a5913731bce3f4e565f0393d95f2f9a78d675ef481578a61

7db9491697847dd0a65b719b0d836aeb28dec22a9deed57aa601f23a5b32214a

1f5d310da6f3f3a89e22fc86acb71741db56cbe85fbacc43822bec344cbe4058

893c4f7e3d8e9dc6757becbf2f20e81ec09557fc8e6ea72353c7b8984068f145

242198732eecc9c2d07d1db612b6084ece3a8d1d1b337554a7bef4216cbebccf

e209d7003a5d3674ab90fd1d082266a4aaa1bee144b04371abba0c358e95fd03

2a4ce9877a743865d6c11c13aa45da3683af223c196086984f57f3eff07cd3ea

0d72eab82635df496d20a8fb3921e33ed3aac597496cf006322eed48deb2c068

a6d23f11692e23a6c2307b9f5dd660bca3423f2f0202aa398325345f906b07b5

079d555a4935a6748d92e8bd9856ae11ecf4fd5293ed41cf318a407f9aaa6b2d

387be2e56804ed02ed6d4611d82c6f4b88953761d3961a33017adfb274e6cbfa

3e1d8a5faaa35e7f72ecad5f91644efd5bf0d92fdb0341c48a236c843c697196

0c42641fcc805c049883b9617082a8ac6d538fd87cfa371e3fef6114aff71c2a

b31d3de8ffd2b2dce2b570c0172f87a6719f01d4424a7a375bbb249cd15c1157

23b949ed81925ea3c10fa6c74b0d066172409e6a38023bd24672cc4efb47dd64

6987933482f12f0e1301bb0509a46f5889802fe481be160da9a29985acbabbd9

77d5586bc259e944634cff99912779fabfb356f6f840ea5afd6514f52562879d

177e91b5ac698542b5488a95a60816347fcba118f0ad43473aa7d2d5c9223847

0ffeb5639da6e77dfb241f1648fa8f9bac305335f7176def2b17e1b08706d49a

ad7eebdf328c7fd273b278b0ec95cb93bb3428d52f5ff3b69522f1f0b7e3e9a1

hxxps: // hcwyo5rfapkytajg (.) tor2web (.) xyz / d (.) php

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) sh / d (.) php

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) ws / d (.) php

hxxps: // hcwyo5rfapkytajg (.) tor2web (.) xyz / k (.) php

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) ws / k (.) php

hxxps: // hcwyo5rfapkytajg (.) darknet (.) to / d (.) php

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) sh / k (.) php

hxxp: // hcwyo5rfapkytajg (.) cebolla (.) pet / k (.) php

hxxps: // hcwyo5rfapkytajg (.) darknet (.) a / k (.) php

hxxp: // hcwyo5rfapkytajg (.) cebolla (.) pet / d (.) php

924cc338d5d03f8914fe54f184596415563c4172679a950245ac94c80c023c7d

e824650b66c5cdd8c71983f4c4fc0e1ac55cd04809d562f3b6b4790a28521486

hcwyo5rfapkytajg (.) darknet (.) a

hcwyo5rfapkytajg (.) cebolla (.) sh

hcwyo5rfapkytajg (.) cebolla (.) ws

hcwyo5rfapkytajg (.) tor2web (.) xyz

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) sh / 3agpke31mk (.) exe

hxxp: // hcwyo5rfapkytajg (.) cebolla (.) pet / 2hq68vxr3f (.) exe

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) sh / info_bsv_2019 (.) docm

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) ws / 3agpke31mk (.) exe

hxxps: // hcwyo5rfapkytajg (.) darknet (.) a / 2hq68vxr3f (.) exe

hxxp: // hcwyo5rfapkytajg (.) cebolla (.) pet / info_project_bsv_2019 (.) docm

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) ws / info_bsv_2019 (.) docm

hxxps: // hcwyo5rfapkytajg (.) tor2web (.) xyz / 3agpke31mk (.) exe

hxxps: // hcwyo5rfapkytajg (.) tor2web (.) xyz / info_bsv_2019 (.) docm

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) sh / 2hq68vxr3f (.) exe

hxxp: // hcwyo5rfapkytajg (.) cebolla (.) pet / info_bsv_2019 (.) docm

hxxp: // hcwyo5rfapkytajg (.) cebolla (.) pet / 3agpke31mk (.) exe

hxxps: // hcwyo5rfapkytajg (.) darknet (.) a / info_bsv_2019 (.) docm

hxxps: // hcwyo5rfapkytajg (.) tor2web (.) xyz / 2hq68vxr3f (.) exe

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) ws / 2hq68vxr3f (.) exe

hxxps: // hcwyo5rfapkytajg (.) darknet (.) to / 3agpke31mk (.) exe

43cfb0a439705ab2bd7c46b39a7265ff0a14f7bd710b3e1432a9bdc4c1736c49

ff24d9575694ae2a1e6a6101a2dbaa95dd1ab31b44a3931f6d6a62bbf5be2cbd





Enlace a la noticia original