El último esquema de cifrado utilizado por el ransomware DeathRansom
Imagen: Fortinet
Una cepa de ransomware conocida como DeathRansom, una vez considerada una broma, ahora es capaz de encriptar archivos usando un esquema de encriptación sólido, informó hoy la firma de ciberseguridad Fortinet.
Para empeorar las cosas, el ransomware ha sido respaldado por una sólida campaña de distribución, y ha estado haciendo víctimas regulares a diario durante los últimos dos meses.
Las primeras versiones de DeathRansom no cifraron nada
Las primeras infecciones de DeathRansom se informaron en noviembre de 2019. Las versiones iniciales de este ransomware se consideraron una broma. En ese momento, DeathRansom simplemente imitaba ser un ransomware sin cifrar ninguno de los archivos de un usuario.
Estas primeras versiones agregarían una extensión de archivo a todos los archivos de un usuario y dejarían una nota de rescate en la computadora del usuario pidiendo dinero.
Todo esto se hizo en un intento de engañar a una víctima para que pague una demanda de rescate, sin que el usuario se dé cuenta de que sus archivos no estaban encriptados.
Como se informó en ese momento (1, 2), todo lo que un usuario tenía que hacer para recuperar el acceso a sus archivos cifrados era eliminar la segunda extensión de cualquier archivo.
Nueva versión lanzada con un esquema de cifrado sólido
Sin embargo, el trabajo en el código DeathRansom continuó, y las versiones más nuevas ahora funcionan como ransomware actual.
Según Fortinet, las nuevas cepas de DeathRansom utilizan una combinación compleja del algoritmo «Curve25519 para el esquema de intercambio de claves Elliptic Curve Diffie-Hellman (ECDH), Salsa20, RSA-2048, AES-256 ECB y un easy algoritmo XOR de bloque para encriptar archivos «. (ver imagen arriba)
Si bien los investigadores de seguridad aún están analizando el esquema de cifrado de DeathRansom para detectar fallas de implementación, el ransomware parece estar usando un esquema de cifrado sólido.
Fortinet rastrea al autor de DeathRansom
Pero la investigación de Fortinet sobre DeathRansom no se limitó a analizar el código fuente de este nuevo malware. Los investigadores también buscaron pistas sobre el autor del ransomware.
Al extraer las cadenas del código fuente de DeathRansom y los sitios website que distribuyen las cargas útiles del ransomware, el equipo de Fortinet pudo vincular con éxito el ransomware DeathRansom a un operador de malware responsable de una amplia gama de campañas de cibercrimen que datan de años atrás.
Fortinet dijo que antes de crear y distribuir DeathRansom, este operador de malware había pasado su tiempo infectando a los usuarios con múltiples ladrones de contraseñas (Vidar, Azorult, Evrial, 1ms0rryStealer) y mineros de criptomonedas (SupremeMiner).
El autor de DeathRansom parece haber pasado años infectando a los usuarios con malware, extrayendo nombres de usuario y contraseñas de sus navegadores, y vendiendo las credenciales robadas en línea, según varios anuncios que Fortinet encontró en foros clandestinos de piratería.
Estas campañas de malware anteriores dejaron un rastro substantial de pistas que recopilaron los analistas de Fortinet. Estos incluyen los apodos scat01 y SoftEgorka, la dirección de correo electrónico vitasa01 (@) yandex.ru, un número de teléfono ruso y el sitio net gameshack (.) Ru (que parece haber sido propiedad y operado por el autor de DeathRansom en lugar de ser pirateado) sitio).
Utilizando estos indicadores, los investigadores encontraron perfiles en Iandex.Marketplace, YouTube, Skype, VK, Instragram y Fb. Todo esto se relaciona con un joven ruso llamado Egor Nedugov, que vive en Aksay, un pequeño pueblo ruso cerca de Rostov-on-Don.
Publicaciones anteriores en foros de piratería revelan que Nedugov, actuando bajo el nombre de usuario Scat01, había publicado revisiones de cepas de malware que estaba usando en ese momento, y que Fortinet luego rastreó y documentó en su informe, como Vidar, Evrial y SupremeMiner.
Imagen: Fortinet
En un expansivo dos–serie Informe publicado hoy, Fortinet enumera todas las cuentas en línea de Nedugov y la obvia malla de conexiones entre ellas.
Fortinet dijo que está muy seguro de que encontraron al hombre adecuado detrás de DeathRansom, y que encontraron aún más perfiles en línea del mismo actor que no incluyeron en su informe.
Además, el autor de DeathRansom también parece haber roto una de las reglas no escritas de la escena del cibercrimen clandestino al «phishing y estafar a sus compañeros en el foro».
«Es por eso que casi todas sus cuentas en foros clandestinos fueron finalmente prohibidas», dijo Fortinet.
Actualmente, DeathRansom se distribuye a través de campañas de correo electrónico de phishing. El informe Fortinet contiene indicadores de compromiso que las empresas pueden incluir en sus productos de seguridad y evitar que los sistemas corporativos se infecten. Fortinet también dijo que todavía está trabajando en analizar el esquema de cifrado del ransomware para detectar posibles fallas, que esperan usar para crear un descifrador gratuito para ayudar a las víctimas pasadas.
