Análisis de LooCipher, una nueva familia de ransomware observada este año


Descubrimiento inicial

Este año parece ser nuevamente el año del ransomware. Se hicieron ataques notorios con ransomware y se detectan nuevas familias casi semanalmente.

El equipo de McAfee ATR ahora ha analizado una nueva familia de ransomware con algunas características especiales que nos gustaría mostrar. LooCipher representa cómo un nuevo actor en una etapa temprana de desarrollo utilizó las mismas técnicas de distribución que otros actores en el panorama del ransomware. El diseño de la nota de ransomware nos recordó los viejos tiempos del ransomware Cerber, un diseño muy bien impactado para obligar al usuario a pagar el rescate.

Gracias a iniciativas como el proyecto "No More Ransom", uno de los socios involucrados ya ha proporcionado un descifrador válido para restaurar archivos cifrados por LooCipher.

McAfee Telemetry

Según los datos que administramos, detectamos infecciones de LooCipher en las siguientes regiones:

Análisis de campaña:

Según el análisis que realizamos, este ransomware se entregó a través de un archivo DOC. El contenido y las técnicas utilizadas con este MalDoc son bastante simples en comparación con otros archivos doc utilizados para propagar malware, como Emotet. No se aplicaron técnicas especiales de ingeniería social; los autores solo le ponen un mensaje simple: "Habilitar macros".

El archivo está preparado para descargar LooCipher desde un servidor remoto al abrir el archivo. Podemos ver la función Sub AutoOpen como una macro en el documento:

LooCipher comenzará su rutina de encriptación usando un conjunto predefinido de caracteres, creando un bloque de 16 bytes y usando la hora del sistema local:

El ransomware utilizará el algoritmo de cifrado AES-ECB en el proceso y la clave es la misma para todos los archivos, lo que facilita el proceso de recuperación de archivos. Otras familias de ransomware usan una clave diferente para cada archivo para evitar la posibilidad de que un ataque de fuerza bruta descubra la clave utilizada durante la infección.

En el proceso de cifrado, el ransomware evitará 3 carpetas especiales en el sistema para no romper su funcionalidad.

Cifrar archivos y carpetas clave fue uno de los errores que destacamos en nuestro análisis de LockerGoga; ese ransomware estaba rompiendo completamente la funcionalidad del sistema. Algunos archivos binarios encontrados estaban encriptando todo el sistema, incluido el archivo binario LockerGoga.

Con respecto a las extensiones que LooCipher buscará y cifrará en el sistema, la lista está codificada dentro del binario:

Es bastante interesante ver cómo LooCipher busca extensiones que no están presentes en sistemas Windows como ".dmg". Esto sugiere que los autores pueden estar yendo a sitios de código para buscar listas de extensiones.

En el análisis encontramos una referencia PDB:

\ Usuarios \ Usuario \ Documentos \ Proyectos \ sher.lock \ Debug \ LooCipher.pdb

Es interesante notar que la referencia encontrada contiene palabras en español, como si el usuario estuviera usando carpetas nombradas en español, sin embargo, el sistema está configurado en inglés. Actualmente no tenemos idea de por qué es así, pero es curioso.

El pago BTC es el método elegido por los autores de LooCipher para obtener dinero de las víctimas. Entonces, al final del cifrado del archivo, el ransomware mostrará una nota de rescate al usuario:

El descifrador LooCipher aparecerá también en el sistema con una cuenta regresiva específica:

En la nota de rescate, LooCipher dice que la dirección BTC se genera específicamente para el usuario, pero eso no es cierto; Todas las direcciones BTC que hemos visto están codificadas en el binario:

Esta es otra característica especial de este ransomware. Normalmente, este flujo de trabajo proporciona una dirección de correo electrónico para contactar a los autores para que puedan proporcionar las instrucciones a la víctima, o al menos una dirección BTC para realizar el pago (si no se proporciona una dirección BTC única a cada víctima), algo que es La principal diferencia entre las campañas RaaS y one-shot.

Si aplicamos el análisis estático en los archivos binarios que tenemos, el mismo paquete de direcciones BTC se incluye en la mayoría de los que detectamos en la naturaleza:

Ninguna de las direcciones de BTC encontradas con respecto a LooCipher mostró ninguna transacción, por lo que creemos que los autores no monetizaron la campaña con los binarios que analizamos.

LooCipher y tráfico de red:

En el proceso de encriptación, LooCipher se pondrá en contacto con el servidor C2 y enviará información sobre la víctima:

Los datos enviados al servidor son:

Aquí, una copia del tráfico de red podría ayudar al usuario a conocer la clave de cifrado utilizada.

Decryptor Fallback Mechanism implementado por LooCipher

Los autores de LooCipher proporcionan un mecanismo de respaldo para ayudar a las víctimas a acceder a las instrucciones y al descifrador nuevamente, en caso de que cierren la ventana de LooCipher cuando aparece en el sistema después de cifrar los archivos:

El mecanismo ve el binario LooCipher cargado en la plataforma Mega. En caso de que el usuario desee obtener la dirección BTC o descifrar los archivos después de realizar el pago, puede descargar este binario y usarlo. Si los archivos fueron previamente encriptados por LooCipher, no serían encriptados nuevamente de acuerdo con los autores del ransomware.

Estoy infectado por LooCipher. ¿Cómo puedo recuperar mis archivos?

McAfee es uno de los fundadores y colaboradores del proyecto "No More Ransom". Una de nuestras partes interesadas creó un descifrador para todos los archivos cifrados por LooCipher:

Entonces, si está infectado con LooCipher, es posible recuperar sus archivos.

Conclusiones:

Los autores de LooCipher no son un actor sofisticado en comparación con otras familias como Ryuk, LockerGoga o REVil. Intentaron difundir su ransomware combinando la infección con un archivo de Office con una macro simple.

Será imposible que los autores regresen a la escena si no cambian la forma en que funciona el ransomware.

El equipo McAfee ATR desaconseja pagar las demandas de ransomware y, en cambio, recomienda:

  • Guardar una copia de sus archivos cifrados: a veces en el futuro se puede liberar un descifrador
  • Tener un flujo de trabajo de respaldo sólido en la empresa
  • Implementación de mejores prácticas en términos de Ciberseguridad

Regla de YARA

Subimos un Regla de YARA para detectar casi todas las muestras observadas en la naturaleza.

MITRE ATT & CK Cobertura:

  • Enganche
  • Evasión de defensa
  • Escaneo de servicios de red
  • Descubrimiento de información del sistema
  • Datos comprimidos

Cobertura de McAfee:

  • Artemis! 02ACC0BC1446
  • Artemis! 12AA5517CB7C
  • Artemis! 1B1335F20CD0
  • Artemis! 362AB3B56F40
  • Artemis! 64FCC1942288
  • Artemis! 8F421FE340E7
  • Artemisa 983EF1609696
  • Artemis! A11724DBE1D6
  • Artemis! A7ABF760411F
  • Artemis! B9246AA9B474
  • Artemis! F0D98A6809C1
  • McAfee-Ransom-O
  • Ransomware-GNY! 3B9A8D299B2A
  • Ransomware-GNY! 66571E3C8036
  • Ransomware-GNY! 9CF3C9E4A9B5
  • Ransomware-GNY! A0609D7AD404
  • Ransomware-GNY! A77FDEFE40BE
  • Ransomware-GNY! A9B6521FF980
  • Ransomware-GNY! D3CE02AD4D75
  • Ransomware-GNY! DC645F572D1F
  • RDN / Generic Downloader.x
  • RDN / Generic.ole

COI

e1200cb52d52855abfbc0c2dddefdf737fe187a8

b4380cc94fa7319877c381f76c260fcc4e3a7078

3aa1a0fa9db50294873335144b42562af23d7b27

7e1dc07f454cc615e36830a29e82694934840af0

bd430b7387f38c7126cd6e69fa638b437101f7de

49b86dd0a20e9a1c6ed5fd310507f4c3fe3930e0

86e72cfefde89c074f7ea5593818bc70e836ea4a

dc92d7fe3638632819b5895a7be9d474cfc90bd7

b11898dec3bcb95e0e152e938896be59ebf19544

35a91e97fc73c15d686ad78e05eff37eee7d25d3

2c781a50102725d42e7c61e56f336fc070f8f8d1

5e06c80c56e080f93d16edb7c0bed4b8aea8de2b

3d84f4091946b95ef1e9adb78b8c109925a31d32

50c4d99icsoft76f843833114887da4585563dd852f

674da4f22fcbbc28d8bb4c7f15b07a7ad3e32785

da1237ded3073e4c2e9ac840def641a37a3d13e5

365943cf84c05a8ff2f9b12fc1b79e4676914df0

3396d8f3195175196ba642c1d82b431ed2d9461a

10ce0d2f2cd0351ef6cac4b690c46b45b27652a1

44fccc7fac106aa8ff9e4244a255de9f55023da2

102318b5c8cd5464bfdd43c7108020e21f009c78

19d4708a9cd411c283992adf26ddf14a0c27e924

1e99e83d78df1bf1eeeb1d0df24a4680333c0ef7

0920d949ace0e1259bd0e035f450f9475c9f3a05

082e8ee73b6b1a828a299941bd1d65a259dbb71f

82c4bb136c75ec4e3a01693f0d1a930b4bf596e0

ecbee10531ab298a56606216d5a43078f7537c25

7720aa6eb206e589493e440fec8690ceef9e70b5e6712a9fec9208c03cac7ff0

35456dc5fdaf2281aad4d8f0441dcd0c715164e9d2ca6412380c2215ed2eab9c

3e8660f0d2b5b4c1c7dfb0d92f1198b65f263d36cd9964505f3a69150a729f6f

2ca214c271920c7261fc0009971961fa6d2ee4bd23820899f4d6e0679739bf2e

2ef92ced4c009fc20645c5602f0b1f2ddca464365b73b62eb0b7217f422590d5

77766f7f78e13dce382aeb4f89c13b9de12a2fa85f0a7550f4239dfe385a6fb5

8834001d7420d8caaa20cd429130249db30c81f0c5da92a2cb2da4dee6669c87

242f9a9cb23c87b6a5913731bce3f4e565f0393d95f2f9a78d675ef481578a61

7db9491697847dd0a65b719b0d836aeb28dec22a9deed57aa601f23a5b32214a

1f5d310da6f3f3a89e22fc86acb71741db56cbe85fbacc43822bec344cbe4058

893c4f7e3d8e9dc6757becbf2f20e81ec09557fc8e6ea72353c7b8984068f145

242198732eecc9c2d07d1db612b6084ece3a8d1d1b337554a7bef4216cbebccf

e209d7003a5d3674ab90fd1d082266a4aaa1bee144b04371abba0c358e95fd03

2a4ce9877a743865d6c11c13aa45da3683af223c196086984f57f3eff07cd3ea

0d72eab82635df496d20a8fb3921e33ed3aac597496cf006322eed48deb2c068

a6d23f11692e23a6c2307b9f5dd660bca3423f2f0202aa398325345f906b07b5

079d555a4935a6748d92e8bd9856ae11ecf4fd5293ed41cf318a407f9aaa6b2d

387be2e56804ed02ed6d4611d82c6f4b88953761d3961a33017adfb274e6cbfa

3e1d8a5faaa35e7f72ecad5f91644efd5bf0d92fdb0341c48a236c843c697196

0c42641fcc805c049883b9617082a8ac6d538fd87cfa371e3fef6114aff71c2a

b31d3de8ffd2b2dce2b570c0172f87a6719f01d4424a7a375bbb249cd15c1157

23b949ed81925ea3c10fa6c74b0d066172409e6a38023bd24672cc4efb47dd64

6987933482f12f0e1301bb0509a46f5889802fe481be160da9a29985acbabbd9

77d5586bc259e944634cff99912779fabfb356f6f840ea5afd6514f52562879d

177e91b5ac698542b5488a95a60816347fcba118f0ad43473aa7d2d5c9223847

0ffeb5639da6e77dfb241f1648fa8f9bac305335f7176def2b17e1b08706d49a

ad7eebdf328c7fd273b278b0ec95cb93bb3428d52f5ff3b69522f1f0b7e3e9a1

hxxps: // hcwyo5rfapkytajg (.) tor2web (.) xyz / d (.) php

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) sh / d (.) php

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) ws / d (.) php

hxxps: // hcwyo5rfapkytajg (.) tor2web (.) xyz / k (.) php

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) ws / k (.) php

hxxps: // hcwyo5rfapkytajg (.) darknet (.) to / d (.) php

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) sh / k (.) php

hxxp: // hcwyo5rfapkytajg (.) cebolla (.) pet / k (.) php

hxxps: // hcwyo5rfapkytajg (.) darknet (.) a / k (.) php

hxxp: // hcwyo5rfapkytajg (.) cebolla (.) pet / d (.) php

hcwyo5rfapkytajg (.) darknet (.) a

hcwyo5rfapkytajg (.) cebolla (.) sh

hcwyo5rfapkytajg (.) cebolla (.) ws

hcwyo5rfapkytajg (.) tor2web (.) xyz

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) sh / 3agpke31mk (.) exe

hxxp: // hcwyo5rfapkytajg (.) cebolla (.) pet / 2hq68vxr3f (.) exe

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) sh / info_bsv_2019 (.) docm

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) ws / 3agpke31mk (.) exe

hxxps: // hcwyo5rfapkytajg (.) darknet (.) a / 2hq68vxr3f (.) exe

hxxp: // hcwyo5rfapkytajg (.) cebolla (.) pet / info_project_bsv_2019 (.) docm

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) ws / info_bsv_2019 (.) docm

hxxps: // hcwyo5rfapkytajg (.) tor2web (.) xyz / 3agpke31mk (.) exe

hxxps: // hcwyo5rfapkytajg (.) tor2web (.) xyz / info_bsv_2019 (.) docm

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) sh / 2hq68vxr3f (.) exe

hxxp: // hcwyo5rfapkytajg (.) cebolla (.) pet / info_bsv_2019 (.) docm

hxxp: // hcwyo5rfapkytajg (.) cebolla (.) pet / 3agpke31mk (.) exe

hxxps: // hcwyo5rfapkytajg (.) darknet (.) a / info_bsv_2019 (.) docm

hxxps: // hcwyo5rfapkytajg (.) tor2web (.) xyz / 2hq68vxr3f (.) exe

hxxps: // hcwyo5rfapkytajg (.) cebolla (.) ws / 2hq68vxr3f (.) exe

hxxps: // hcwyo5rfapkytajg (.) darknet (.) to / 3agpke31mk (.) exe





Enlace a la noticia original