Nueva variante de ransomware desarrollada completamente como Shellcode



PwndLocker es más difícil de detectar que otros cripto-malware, dice Crypsis Group.

Los investigadores han descubierto una nueva variante de ransomware que dicen que tiene un comportamiento y características significativamente diferentes a la mayoría de los otros tipos de ransomware.

El ransomware, llamado PwndLocker, fue encontrado por The Crypsis Group en febrero durante un compromiso con el cliente. El análisis posterior mostró que se desarrolló completamente como shellcode, algo que los autores de malware tradicionalmente han reservado para fines más especializados.

El malware también implementó un algoritmo de encriptación personalizado que los investigadores descubrieron que era potencialmente rompible, y de hecho ya se ha roto. Sin embargo, según Crypsis, los autores de malware pueden cambiar fácilmente el algoritmo de cifrado existente por uno más fuerte en cualquier momento.

Matt Thaxton, consultor senior de The Crypsis Group, dice que el uso de Shellcode de PwndLocker, o código independiente de la ubicación, lo convierte en una variante de ransomware más compleja y difícil de detectar que otros. "La razón por la que estos tipos de código son más difíciles de detectar para las herramientas automatizadas es porque generalmente no residen en el disco y porque a menudo se inyectan en otros procesos legítimos, como procesos nativos y firmados de Windows", dice.

Shellcode a veces se puede clasificar como malware sin archivos. Pero en el caso de PwndLocker, no se clasificaría como sin archivo porque se carga desde un archivo avi falso, señaló Thaxton.

Muchos exploits usan shellcode para obligar a los procesos legítimos vulnerables a usar o ejecutar código ilegítimo. Pero, por lo general, los autores de malware han usado shellcode solo en descargadores de malware secundarios e implantes sofisticados debido a lo complejo y lento que puede ser crear e implementar dicho código. Sin embargo, esta es la primera vez que el ransomware se ha desarrollado utilizando shellcode, dice Thaxton.

"No estoy seguro de por qué este actor de amenaza decidió escribir su ransomware de esta manera", dice. "Mi única suposición sería que querían que fuera muy singular para que sea más difícil detectar los métodos habituales". Además, es posible que los autores de malware quisieran ser distintivos simplemente por el hecho de diferenciarse de otras variantes.

Otra característica notable con PwndLocker es su uso de un algoritmo de cifrado desarrollado a medida relativamente débil en lugar de la API criptográfica de Windows más robusta, señala Thaxton. No hay una razón real por la que no podrían haber utilizado la API como lo hace casi cualquier otro ransomware en la naturaleza, dice. "Puede haber habido una razón para crearlo de esta manera que aún no se ha determinado. Pero en este momento, no está claro", dice Thaxton.

En una alerta el viernes, el proveedor de seguridad Emsisoft dijo que ha desarrollado una forma de descifrar archivos que PwndLocker podría haber cifrado. Sin embargo, cada descifrador requiere personalización antes de su uso. Eso significa que las víctimas de PwndLocker que quieran descifrar sus archivos deberán enviar el ejecutable del ransomware que se utilizó en el ataque particular, Emsisoft dijo. "Si bien el ransomware elimina automáticamente el ejecutable, a menudo es posible recuperarlo usando herramientas de recuperación de archivos", dijo el proveedor.

Según Emsisoft, se ha observado que PwndLocker apunta principalmente a organizaciones comerciales y gubernamentales y exige un rescate de más de $ 500,000. El malware tiene numerosas variantes, todas diseñadas para eliminar instantáneas de datos, lo que dificulta la recuperación.

"Siempre habrá una mezcla de antiguas y nuevas variantes de ransomware a medida que los actores de amenazas trabajen para ganar dinero rápido o poner su sello único en un panorama de amenazas en evolución", dice Thaxton. "Las empresas no pueden" adivinar "lo que vendrá después".

El mejor enfoque es adherirse a las mejores prácticas en toda la empresa y prestar atención a la capacitación del usuario final dentro del programa de seguridad, dice.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más ideas





Enlace a la noticia original