Ako Ransomware dirigido a empresas que usan RaaS

Ako Ransomware dirigido a empresas que usan RaaS

Investigadores de seguridad de Fast Recover recientemente observaron ransomware que united states RaaS (Ransomware como servicio), que es una subparte de MaaS (Malware como servicio). Antes de profundizar en el ransomware AKO o RaaS, uno debe entender lo que significa Malware as a Company, ya que se ve que muchas familias de malware en estos días están utilizando MaaS para infectar a más y más usuarios.

Qué es MaaS: –

En el mundo empresarial legítimo, el término Computer software-as-a-Provider es más útil para el Application que se controla centralmente y se pone a disposición del usuario al proporcionar la licencia. Ahora en el negocio de malware, existe el término Maas (Malware-as-a-Service) que proporciona un servicio ilegal para los atacantes. El servicio del mercado negro Malware-as-a-Provider proporciona malware como virus, gusanos, troyanos bancarios, ransomware que los compradores pueden adquirir y ganar dinero a través de él.

El cliente prison debe pagar el alquiler del malware y el desarrollador debe mantener actualizado su Malware-as-a-Service explorando nuevas vulnerabilidades para que puedan atacar a muchas víctimas. La tendencia reciente muestra que el uso de la nube en las tareas del día a día y en los negocios está en aumento, y los autores de malware están muy interesados ​​en explotar esta base de datos de usuarios vendiendo el malware como servicios en la nube.

Malware-as-a-Service es un modelo de servicio administrado que consta de tres niveles:

1. En el primer nivel, el desarrollador experto construye el malware explotando vulnerabilidades conocidas, cargas maliciosas a través de correos electrónicos, phishing y otras técnicas.
2. El segundo nivel de distribuidores alojará sistemas informáticos.
3. El tercer nivel es el tesorero para transferir el fondo.

La compra y venta de malware, como ransomware, and many others. se lleva a cabo durante el darknet Darknet a menudo se conoce como la parte de la Deep World-wide-web que está oculta para el público en general. Es la parte encriptada de World-wide-web donde no solo se realiza el comercio de malware, sino también varias actividades ilegales como el intercambio de datos de tarjetas de crédito o cualquier otra PII (información de identificación personal). El desarrollador utiliza esta plataforma como medio para vender su malware.

Hemos visto que muchos autores de ransomware usan Darknet para intercambiar su ransomware con potenciales clientes criminales. Estos autores luego venden ransomware con la condición de obtener una parte justa del rescate que obtiene el comprador, extendiéndolo a varias redes. Este escenario se denomina como Ransomware como servicio.

Ako Ransomware: –

El ransomware recientemente observado llamado Ako también se basa en Ransomware-as-a-Support. Como la mayoría de los demás, en lugar de apuntar a individuos, el ransomware Ako apunta a empresas y se propaga a través de redes. Utiliza correos electrónicos como mecanismo de propagación. El correo electrónico contiene un archivo adjunto que es un archivo zip protegido con contraseña denominado «acuerdo.zip». Tras la extracción de este archivo zip, se elimina «Agreement.scr», que es un archivo ejecutable responsable de la actividad del ransomware.

Este ransomware está escrito en Microsoft Visual C / C ++.

Análisis binario del ransomware Ako: –

Al analizar el ransomware Ako, encontramos una lista de extensiones de archivos en la lista negra y en la lista blanca.

La lista se puede ver a continuación en las figuras 1a y 1b.

fig.1a Lista de extensiones en la lista negra.

Fig.1b Rutas de archivos en la lista negra

Fig.2 Extensiones de la lista blanca

Flujo de ejecución:

• Al comienzo de la ejecución, deshabilita el entorno de recuperación de Home windows. Además, elimina todas las instantáneas de volumen y las copias de seguridad recientes.

Fig.3 Comando utilizado para eliminar las instantáneas.

Fig.4 Comandos para deshabilitar el entorno de recuperación

• El ransomware crea un nuevo valor. EnableLinkedConnections bajo la clave de registro HKEY_Neighborhood_Machine Computer software Microsoft Windows CurrentVersion Procedures Technique Usando RegCreateKeyA Y establece el valor de HKEY_Regional_Equipment Software package Microsoft Home windows CurrentVersion Procedures TechniqueEnableLinkedConnectionsa 1 usando RegSetValueExW.

Fig.5 Adición de clave de registro

• Este valor se establece para que el ransomware pueda obtener acceso a los procesos que requieren Manage de acceso de usuario (UAC). En caso de que no tenga permisos UAC, no podrá propagarse a través de unidades de crimson mapeadas.
• Comienza el cifrado de acuerdo con las extensiones de archivo en la lista negra y en la lista blanca y evita los archivos de los archivos del programa, los datos del sistema. Se asegura de que los archivos cifrados tengan datos importantes de los usuarios, como documentos, bases de datos, hojas de cálculo, archivos, presentaciones, imágenes y otros tipos de archivos. De esta manera, el usuario se ve obligado a pagar el rescate. Después del cifrado, agrega la extensión generada aleatoriamente que contiene seis dígitos alfanuméricos como se muestra a continuación.

Fig.6 Archivos cifrados

• También agrega un marcador de archivo ‘CECAEFBE » valor hexadecimal al remaining de cada archivo cifrado. El marcador se agrega como una indicación de que el archivo ya está encriptado y de esta manera ahorrará mucho tiempo. El marcador se muestra a continuación en la fig.

Fig.7 Marcador de archivo

• Después de encriptar un sistema completo, escanea la crimson en busca de otros sistemas que puedan encriptarse. Utiliza la función «IcmpSendEcho» para buscar otras direcciones IP en el dominio. Sigue buscando nuevos sistemas después de encriptar un sistema accesible.

Fig.8 Bucle utilizado para escanear Ip uno por uno

• Utiliza el algoritmo AES para el cifrado de los archivos y la clave para descifrar los archivos también está presente en el sistema de la víctima en un formato cifrado, por lo que es difícil descifrar los archivos.

Nota de rescate: –

Ako suelta una nota de rescate «ako-readme.txt» en cada carpeta que contiene un archivo infectado. Junto con la nota de rescate, también suelta un archivo &#39id.important&#39. A través de la nota de rescate, informa a las víctimas que su red ha sido bloqueada. Al igual que otros ransomware, no proporciona a la víctima una identificación de correo electrónico. Por el contrario, les proporciona un enlace a un sitio net al que se puede acceder a través del «Navegador Tor» e incluso los guía sobre cómo descargarlo.

Fig.9 Nota de rescate

La identificación individual en ako-readme.txt es un texto codificado en Foundation64. Cuando decodificamos el texto, obtenemos el texto con formato JSON que contiene una extensión que se agregará después del cifrado, una clave cifrada que es la misma que la clave en el archivo &#39id.vital&#39. Además de la clave, también contiene información sobre la configuración de la purple, la versión del ransomware y la subidificación.

Fig.10 ID particular decodificada

Al visitar el sitio world-wide-web, solicita ingresar la clave de descifrado única que se encuentra en la nota de rescate. Luego le pide a la víctima que transfiera el rescate a una billetera bitcoin.

Medidas de seguridad:

1. Parchee su Pc y servidor temprano y con frecuencia.
2. Tenga cuidado al descargar archivos de direcciones de correo electrónico no identificadas.
3. No habilite MACRO mientras visualiza archivos de documentos recibidos a través de correos electrónicos.
4. Realice copias de seguridad de sus Personal computer y servidores regularmente y recuerde guardar una copia en alguna unidad de almacenamiento externa.

Porque se dice:

¡¡¡Es mejor prevenir que curar!!!

Expertos en la materia: – Shivani Mule, Lavisha Mehndiratta | Laboratorios de seguridad de curación rápida