Nemty Ransomware – Aprendiendo haciendo

Resumen Ejecutivo

El Equipo de investigación de amenazas avanzadas (ATR) de McAfee observó una nueva familia de ransomware llamada "Nemty" el 20 de agosto de 2019.

Estamos en una era en la que los desarrolladores de ransomware enfrentan múltiples dificultades, desde el gran trabajo realizado por la comunidad de seguridad para protegerse contra su malware, hasta iniciativas como la No más proyecto de rescate que ofrecen a algunas víctimas una forma de descifrar sus archivos. No solo eso, sino que la comunidad criminal clandestina en torno a tales desarrolladores de ransomware también puede ser hipercrítica, llamando al código incorrecto y eligiendo no comprar ransomware que no está desarrollado profesionalmente.

Después de que uno de esos desarrolladores, llamado jsworm, anunciara a Nemty en foros clandestinos, notamos que algunos usuarios de la comunidad criminal no recibieron bien el ransomware. Ciertos sectores de ese foro comenzaron a reprender a jsworm por las decisiones técnicas tomadas sobre las funciones del ransomware, así como el mecanismo de cifrado utilizado.

Jsworm respondió a todos los comentarios, agregando evidencia sobre cómo las declaraciones críticas hechas estaban equivocadas y mostró el valor de sus nuevas versiones. También corrigieron algunos errores feos revelados por los usuarios en el foro:

Uno de los usuarios en el foro destacó una función de cómo Nemty detecta duplicados de extensión en un sistema, que el autor tenía que volver a escribir:

A pesar de las deficiencias en su ransomware, los desarrolladores de Nemty todavía están en el foro subterráneo, lanzando nuevas muestras e infectando a los usuarios a través de su programa de afiliados.

Telemetría

Según nuestra telemetría, hemos visto actividad de Nemty en estas ubicaciones:

FIGURA 1. Mapa de telemetría

Análisis técnico de Nemty

Nemty se ejecuta en un modelo Ransomware-as-a-Service (RaaS). Hemos observado que se entrega utilizando:

• RIG Exploit Kit en septiembre de 2019
• Sitios ficticios de PayPal
• Ataques RDP a través de afiliados en sus campañas
• Botnet: distribuido a través de la botnet Phorpiex en noviembre de 2019
• Cargador: SmokeBot

FIGURA 2. Anuncio de ransomware Nemty

En el anuncio de lanzamiento, los desarrolladores de Nemty ofrecieron dos tipos de colaboración: afiliación o asociación privada. Encontramos dos alias que anuncian Nemty, uno de los cuales es jsworm, que es bastante activo en los foros y anuncia todas las noticias y actualizaciones allí.

Esta es la línea de tiempo de las operaciones realizadas por el equipo de Nemty:

Observamos cómo los desarrolladores de Nemty adoptaron algunas características de otras antiguas familias de ransomware como el desaparecido Gandcrab. Un ejemplo de esto es la reutilización y la referencia a una URL que conduce a una imagen con texto en ruso y una imagen del presidente ruso, como Gandcrab tenía en su código.

FIGURA 3. URL codificada dentro del ransomware Nemty que apunta a la misma imagen que GandCrab

Los autores de Nemty lanzaron diferentes versiones de su ransomware. En este artículo de investigación destacaremos cómo funciona la primera versión y los cambios significativos agregados en versiones posteriores.

Hash: 505c0ca5ad0552cce9e047c27120c681ddce127d13afa8a8ad96761b2487191b

Tiempo de compilación: 2019-08-20 19:13:54

Versión: 1.0

La muestra de malware es un binario de 32 bits. El empaquetador y el malware están escritos en el lenguaje C / C ++ como anunció el autor en el foro subterráneo.

La fecha de compilación en el encabezado PE es el 20 de agosto de 2019.

FIGURA 4. Imagen EXEInfo

Nemty usa RunPE en la ejecución, lo que significa que se descomprime en la memoria antes de la ejecución.

Analizando la muestra, podríamos encontrar cómo el desarrollador agregó ciertas protecciones a su código, como:

• Descifrar cierta información en la memoria solo si el proceso de cifrado funciona según lo previsto
• Borrar la memoria después de terminar algunas operaciones
• Intercambio de información entre diferentes direcciones de memoria, limpiando el espacio de memoria anterior utilizado

Proceso de creación de notas de ransomware

Para crear la nota de ransomware, Nemty toma cada cadena y la guarda en la memoria. Cuando el ransomware compila todas las cadenas necesarias, las unirá para crear toda la nota de ransomware. En esta operación, Nemty descifrará línea por línea, moverá los datos a otra dirección de memoria y limpiará la anterior para dejar la información solo en el nuevo espacio de memoria.

Para la primera versión de Nemty, el método de cifrado no se aplicó de manera consistente a todas las cadenas, por lo que es posible ver algunas cadenas y detectar parte de las funcionalidades o archivos jugosos de ellas.

FIGURA 5. Borrar cadenas en Nemty

Nemty y las unidades lógicas

En ejecución, Nemty verificará todas las unidades lógicas disponibles en el sistema, guardando la información sobre ellas en una lista estática con la siguiente información:

• Tipo de unidad
• Espacio libre disponible

Mediante el uso de la API de Windows, "GetDriveTypeA", el ransomware diferenciará las unidades entre:

FIGURA 6. Comprobación del tipo de unidades lógicas

Para verificar el espacio libre disponible en el sistema, Nemty usará "GetDiskFreeSpaceExA", nuevamente a través de la API de Windows:

FIGURA 7. Comprobación del espacio libre en disco

Extracción de la dirección IP pública de la víctima

Desde la primera versión, Nemty ha implementado una funcionalidad para extraer la dirección IP pública de la víctima. La información se extrae mediante una solicitud al servicio IPIFY en http://api.ipify.org. RaaS utiliza con frecuencia este tipo de servicios para verificar la ubicación donde la víctima estaba infectada.

FIGURA 8. Nemty obteniendo la IP pública

El agente de usuario para algunas de las versiones de Nemty era la cadena "Chrome". El agente de usuario está codificado como una sola cadena en el ransomware en lugar de usar un agente de usuario original.

FIGURA 9. Obtener la dirección IP de la máquina víctima

El servicio IPIFY se utiliza para recuperar la dirección IP pública de la víctima y, con los datos extraídos, Nemty realiza otra conexión a http://api.db-api.com/v2/free/countryName utilizando los datos obtenidos previamente como argumento. La dirección IP extraída y los datos del país se utilizan más tarde como parte de la creación de la nota de ransomware.

FIGURA 10. Obtener las cadenas del nombre del país en función de la dirección IP

Extracción de información de la víctima

Nemty extraerá la siguiente información de la víctima:

• Nombre de usuario
  • Uso de la API de Windows GetUserNameA
• Nombre del computador
  • Uso de la API de Windows GetComputerNameA
• Perfil de hardware
  • Uso de la API de Windows GetCurrentHwProfileA

Con estos datos, los autores se aseguran de que la víctima infectada sea única, lo que ayuda a los operadores de RaaS a cuantificar cuántas víctimas pudieron infectarse o mediante el uso de afiliados.

FIGURA 11. Obtenga el nombre de usuario, el nombre de la computadora y el perfil de hardware de la máquina víctima

Nemty 1.0, aplicación incorrecta de la protección del país

Las familias RaaS generalmente aplican algunas protecciones para evitar infectar ciertas regiones geográficas. En la primera versión, Nemty todavía tenía esta característica en desarrollo, ya que nuestro análisis mostró que el ransomware no verificaba si la víctima pertenecía a alguno de los supuestos países incluidos en la lista negra. Durante nuestro análisis de ransomware es bastante habitual encontrar funciones que aún están en desarrollo y luego se incorporan en futuras versiones.

Si el país detectado está en la lista negra, Nemty devuelve la cadena "verdadero" y la mantiene en la configuración. Si no se encuentra el país, el valor del campo será falso.

FIGURA 12. Verifique el nombre del país y devuelva una cadena verdadera o falsa

Claves de cifrado Nemty

Inmediatamente después de hacer esta verificación, Nemty decodificará, desde base64, el valor de la clave maestra y la mantendrá en una dirección de memoria para usar más tarde. Paralelamente, preparará una cadena aleatoria con un tamaño fijo de 7 caracteres y la usará con la cadena "_NEMTY_" para crear la nota de ransomware con la extensión específica utilizada en los archivos cifrados. Nemty creará un par de claves RSA, una pública y otra privada, en este proceso.

FIGURA 13. Exportar RSA público y claves privadas

Dentro de esta operación, Nemty codificará esas claves en base64:

FIGURA 14. Codificación de claves RSA generadas

Después de esta codificación, Nemty decodificará nuevamente la clave pública RSA de la víctima y la importará para su uso posterior.

FIGURA 15. Decodificación de la clave pública RSA para uso posterior

Se vuelve a utilizar la misma operación, pero esta vez con la clave pública maestra RSA de los desarrolladores de ransomware.

Claves de cifrado Nemty

En el proceso de cifrado, con todos los datos recopilados del usuario, Nemty creará su archivo de configuración, todo en la memoria. El archivo de configuración es un archivo estructurado JSON con todos los datos recopilados y la clave AES creada previamente. Con respecto a la clave utilizada, es la misma para todos los archivos, sin embargo, Nemty usa un IV diferente para cada archivo.

Archivo de configuración de Nemty:

A continuación se puede encontrar un ejemplo de la información recopilada por Nemty y luego utilizada en el archivo de configuración:

Este es un archivo de configuración Nemty de ejemplo:

FIGURA 16. Archivo de configuración de Nemty

Los diferentes campos para el archivo de configuración son:

El archivo de configuración se guardará en el disco cifrado con una clave pública RSA de 8192 bits y codificado en base64.

FIGURA 17. Cifrar el archivo de configuración y codificar en base64

Nemty obtendrá el nombre de usuario registrado en el sistema a través de "SHGetFolderPathW" y lo guardará y cifrará con la extensión .nemty en esa carpeta.

FIGURA 18. Obtener la carpeta raíz del usuario

FIGURA 19. Creación del archivo de configuración en el disco.

Hilos de cifrado Nemty

Para el cifrado, Nemty creará un nuevo subproceso por cada unidad lógica que se encuentre en el sistema para cifrar los archivos.

El método utilizado para cifrar los archivos es similar a otras familias RaaS, obteniendo todos los archivos utilizando las funciones "FindFirstFileW" y "FindNextFileW". Nemty evitará encriptar carpetas con los siguientes nombres:

El proceso de cifrado también evitará el uso de archivos con los siguientes nombres:

FIGURA 20. Verificación de la carpeta en la lista negra y los nombres de archivo

Esta comprobación se realiza utilizando la función insensible "lstrcmpiW". Cuando Nemty esté encriptando un archivo, intentará dos combinaciones, una en minúscula y otra en mayúscula.

Las extensiones marcadas son:

FIGURA 21. Verificación de las extensiones de archivo

Si Nemty tiene comprobaciones exitosas, creará un IV aleatorio y encriptará parte del archivo con las claves AES generadas previamente. Luego comienza el IV usando la clave pública RSA de la víctima y lo agrega al archivo encriptado.

FIGURA 22. Escriba el archivo encriptado y coloque el IV en él

Nemty pondrá la información requerida para descifrar el archivo en la parte encriptada y luego agregará la extensión ".nemty" y continuará con la siguiente carpeta o archivo.

FIGURA 23. Cambio de nombre del nuevo archivo con la extensión Nemty

Después de finalizar el proceso de cifrado, Nemty usará la función "WaitForSingleObjects" y esperará todos los hilos pendientes. También descargará el navegador Tor y abrirá una conexión en el bucle de retorno con el archivo de configuración.

Como acción final, Nemty ejecutará el símbolo del sistema de la máquina con la palabra codificada "cmd.exe" y abrirá la nota de ransomware.

FIGURA 24. Apertura de la nota de rescate

El estilo de la nota de ransomware cambió a través de las diferentes versiones que lanzaron los desarrolladores de Nemty.

FIGURA 25. Diferentes notas de rescate entre versiones

En el lado izquierdo, podemos ver la versión 1.4 de Nemty. En el lado derecho, la nota de ransomware pertenece a Nemty versión 1.0.

Al igual que otras familias de ransomware, Nemty realizará estas acciones al final:

• Eliminar las instantáneas con vssadmin
• Deshabilite las protecciones de arranque con bcedit y wbadmin
• Elimine el catálogo de Windows con WMIC usando la clase sombra

Todas estas llamadas se realizan con la función "ShellExecuteA" con la cadena "cmd.exe" como programa principal y la otra como argumento.

FIGURA 26. Eliminación de los volúmenes de sombra, desactivando las protecciones de arranque y eliminando el catálogo

Mutex

Nemty creará un mutex específico en el sistema cada vez que infecte un sistema:

El ransomware verificará la existencia del mutex utilizando la función "GetLastError".

FIGURA 27. Creación del mutex codificado

Si el sistema se infectó previamente con Nemty y contiene el mutex, el ransomware finalizará la ejecución utilizando la función "ExitThread". Esta llamada finalizará el hilo principal del malware, finalizando la ejecución y devolviendo el control al sistema operativo.

La función "ExitProcess" a menudo se usa para evitar la supervisión simple de la API.

Nemty usa RC4 para cifrar sus cadenas y, en ejecución, se descifrarán y decodificarán desde base64 y luego se usarán como parte de la nota de ransomware.

FIGURA 28. Cálculo del tamaño de la memoria para decodificar desde base64

La clave RC4 utilizada para Nemty 1.0 es "f * ckav". Otras familias de malware también suelen usar nombres o expresiones ofensivas con respecto a la industria de la seguridad en sus implementaciones.

Para el descifrado, los desarrolladores implementaron una función a través de la API para reservar el espacio necesario con "malloc" y luego decodificar la cadena en la memoria. Como protección, si el ransomware no puede obtener el tamaño o en la operación de decodificación, la ejecución finalizará utilizando "ExitThread".

FIGURA 29. Descifrar los datos con RC4

Nemty – Aprendiendo haciendo

Desde que se lanzó la primera versión de Nemty, los autores comenzaron a desarrollar su ransomware agregando nuevas capacidades y arreglando aspectos de su código.

Analizando las primeras versiones de Nemty, podemos afirmar que eran más avanzadas en técnicas y ofuscación en comparación con otras familias RaaS, pero la primera versión todavía contenía funciones con algunos errores, como referencias a llamadas API que el ransomware no usaba.

En el momento en que escribimos este artículo, los desarrolladores detrás del ransomware han lanzado 9 versiones diferentes:

Changelog Nemty 1.4

Hemos observado cambios en las diferentes versiones de Nemty. Para la versión 1.4, los desarrolladores aplicaron los siguientes cambios:

• El ransomware recopilará información sobre las unidades lógicas después de verificar si la víctima tiene el mutex Nemty.
• Comprobación de lenguaje
  • En esta versión, Nemty respetará y evitará cifrar archivos para víctimas dentro de los países de la CEI.

FIGURA 30. Verifique para evitar cifrar si el idioma está en la lista negra

CAMBIOS EN LA VERSIÓN 1.5

En comparación con Nemty 1.4, esta versión más nueva fue una versión importante, agregando los siguientes cambios:

• Información de la víctima almacenada en el registro
• Persistencia
• Capacidad para matar procesos y servicios.
• Nuevo mutex
• Cambio de imagen codificado
• Panel C2 de acceso público
• 4 nuevos países en la lista negra

Información de la víctima almacenada en el registro

El primer cambio importante en esta versión de Nemty fue el uso del registro de Windows para almacenar información sobre la máquina infectada. La colmena utilizada es HKCU con el identificador NEMTY.

FIGURA 31. Información guardada en el registro

Capacidad para matar procesos y servicios

La segunda característica agregada es la posibilidad de eliminar ciertos procesos para facilitar el cifrado de archivos en el sistema, algo que comúnmente implementan otras familias RaaS.

Para eliminar esos procesos, Nemty usará taskkill / im PROCESSNAME.

FIGURA 32. Terminación de procesos.

Entre ciertos procesos de eliminación, Nemty detendrá ciertos servicios en el sistema con los mismos objetivos:

Para detener los servicios Nemty, utilizará "net stop" y el nombre del servicio.

FIGURA 33. Parada de servicios en la máquina víctima

Persistencia

Las primeras versiones de Nemty no tenían ninguna técnica de persistencia, por lo que el autor decidió agregarlo en la versión 1.5. La persistencia se realiza a través de una tarea programada, "crear / sc onlogon". El binario se copia en el directorio principal de usuarios con el nombre codificado (esto se puede adaptar para cada binario lanzado) "AdobeUpdate.exe" y la tarea se inicia usando "ShellExecute".

FIGURA 34. Creación de una tarea programada para la persistencia.

Cambio de imagen codificado

Con respecto a la imagen codificada en las primeras versiones, para esta versión, Nemty decidió cambiarla e incluir una nueva.

FIGURA 35. Nueva imagen referenciada en el malware

Panel C2 de acceso público

El autor decidió cambiar TOR por un panel público C2 donde Nemty enviará los datos de la víctima.

https://nemty.hk/public/gate?data=

4 nuevos países en la lista negra

Para esta versión, el autor agregó cuatro nuevos países a la lista negra:

Cambios en la versión 1.6

En comparación con la versión anterior, Nemty en la versión 1.6 solo implementó un solo cambio. El autor usó su propia implementación del algoritmo AES en lugar de usar CryptoAPI.

La forma en que el malware generó previamente la clave aleatoria se basó en funciones de tiempo, pero con la versión 1.6 usó principalmente algún otro valor para generar la clave aleatoria.

FIGURA 36. Cambios en la función de generación de claves

Uno de los socios en el No más proyecto de rescate, Tesorion, decidió publicar un descifrador gratuito para las víctimas infectadas por Nemty. Después del anuncio, los autores de Nemty lanzaron una nueva versión utilizando una función AES adecuada usando CryptoAPI.

FIGURA 37. Nueva implementación de la criptografía AES usando CryptoAPI

Como en un juego de gato y ratón, Tesorion lanzó un nuevo descifrador para esta versión específica. Los autores de Nemty respondieron incluyendo un mensaje codificado a Tesorion en las muestras:

Tesorion "tesorion, gracias por tu artículo".

Segunda versión de 1.6

En lugar de cambiar el número de versión de Nemty en este nuevo binario, los autores lanzaron una nueva versión de 1.6 con algunos cambios.

Los cambios agregados para esta versión son:

• Nueva utilidad vssadmin utilizada
• Nuevos procesos y servicios para matar
• Función FakeNet

Esta nueva versión se lanzó solo 2 días después del lanzamiento de la primera versión 1.6; Esto significa que el actor es bastante activo en el desarrollo de este ransomware.

Nueva utilidad Vssadmin utilizada

El primer cambio para esta versión es cómo se enumeraron las unidades lógicas. El autor de Nemty implementó el uso de la utilidad "vssadmin" y también redujo la capacidad de los volúmenes sombra a 401MB. Este cambio probablemente ayudó al ransomware en términos de rendimiento.

FIGURA 38. Cambiar el tamaño de los volúmenes sombra en la unidad lógica objetivo

La idea de este cambio era permanecer más sigiloso contra los productos de seguridad de punto final, en lugar de simplemente eliminar la instantánea y ejecutar consultas a través de WMI, BCEDIT, etc. El autor cambió su enfoque para usar vssadmin con el indicador de eliminación.

Nuevos procesos y servicios para matar

Los autores de Nemty agregaron nuevos procesos para matar a fin de facilitar el cifrado de archivos:

Además de los nuevos procesos, el autor también incluyó nuevos servicios:

Característica FakeNET

Para esta versión, los autores de Nemty decidieron agregar una característica interesante. El ransomware en ejecución había implementado una función para recuperar la dirección IP pública de la víctima. En el caso de que Nemty no pueda conectarse con la dirección IP externa, el ransomware agregará datos falsos para continuar el proceso de cifrado. Los datos falsos serán:

FIGURA 39. Nemty usa la dirección IP falsa y la información del nombre del país si no puede conectarse a la URL para obtener una IP WAN

Esta característica implementada por Nemty expondrá a los usuarios en los países protegidos, ya que cifrará el sistema, incluso si el usuario pertenece a uno de los países especificados en la lista negra estática.

Versión 2.0

En esta versión, los desarrolladores decidieron eliminar ciertas funciones y agregaron un nuevo proceso de cifrado:

• La función FakeNet se eliminó y Nemty solo usó el mecanismo anterior para verificar la región de la víctima.
• Una función inicial que prepara un contenedor para usar el algoritmo RC4 con el nombre "rc4" y obtener una clave basada en la cadena codificada (puede cambiar en otras muestras) "sosorin :)". Esta clave se utiliza para descifrar parte de la nota de rescate y ciertas cadenas. Cambia el uso de la propia implementación RC4 de los autores para usar ahora el algoritmo RC4 con CryptoAPI.
• Una nueva generación de contenedores de claves RSA, mejorando el proceso de generación de claves.
• El texto de la nota de rescate incluía "NEMTY REVENGE" en lugar de "NEMTY PROJECT" y también agregó la frase: "No confíes en nadie. Incluso tu perro ".

FIGURA 40. Nota de ransomware Nemty

Version 2.2

Para esta versión, los desarrolladores de Nemty solo hicieron dos cambios menores:

• Cambio del nombre mutex
• Una nueva nota de rescate:

FIGURA 41. Ejemplo de la nueva nota de rescate

Versión 2.3

En esta versión, encontramos cambios importantes en comparación con la versión anterior:

• Un nuevo valor mutex
• El servicio utilizado para cambiar la IP pública de https://api.ipify.org a https://www.myexternalip.com/raw
  • En caso de que falle la búsqueda, la dirección externa cambia de NINGUNO a NOT_DEFINED.
• La verificación del sistema operativo Windows para XP fue engañada en versiones anteriores y ahora solo tiene una verificación específica.
• Los campos de configuración cambiaron, se eliminaron ciertos campos y se agregaron otros nuevos.
  • Este es un ejemplo para el nuevo archivo de configuración:

{

"Fileid": "NEMTY_E1EIVPU",

"Configid": "mArJi2x3q3yFrbvL8EYkKezDeGPgWeOG",

"Compid": "a3cande1-f85f-1341-769f-806d6172f54544",

"Ip": "NINGUNO",

“Country”: ”” “errorCode” “:” “INVALID_ADDRESS” “,” “error” “:” “invalid addr” “,” “version” “:” 2.3 “,” “computer_name” “:” “USERPC ”‘’‘nombre de usuario’‘:’‘usuario’‘’‘os’‘:’‘Windows XP’‘’‘pr_key’‘:’BwIAAACkAABSU0EyAAgAAAEAAQDdTDOyFDw4 + kjmmP2epZ / 484E7PLyyZ5W1obSZSHWPirGeobWwqnoVTXLPbKVYXZ4qszCzO71hwFKcKjeYjX1dVzSlonqpWlU5d2XLtM + 6oN9PTUIv2Fp8Quf8w3FU + 0OmmS9A0s3n6cnvpA8oIJTZFgYurYDs78Gv3dt4dUkQioqyT / kWBOTZMBARqjiN6JwCCZDU4moRm + 9IcqiXzUydebF99EoHxKcJrAekIHuHbHzZq / FcVogFSHT + 4aV2 / NTrESiNLeLYWv0S / GJrYs2xoLLe3NpdW7disE / PY1yn4flWGPU931AWy4 / ba8 + bjRXr1UPCKFk370oqWesemfK8j694toexJlRYc8s1mql2T6gq / NnqsWIxgR2B4Esn3xMzXcGZD86mA + XO / gZWgZw9kyJ4rzonWiF8OMWznKgmC0n4rxoOh70eE0m15LPkJOJwmBcVoHE189R71titoNMEYZsK8 / WE0x8YJjAAdxmI4ATufV1ZUDbO7yOf5Tc5UuHTxu5iUOL0dO004Hh0t6SZIxbjU btlHhJTiUULL + TpyG9YP1LyNMhKDE80viN9Co / a6xbs6IRhxhRRFthtHE / kRBeYfhptCblWOStLebtrNgwfe8f3AR2XdH6uESiQ8rTXG / dSgXOfmUQzuvSbxdL4aQ5docbtjQlMEl / FqYqs1pGTEB + cBATRoeY97LSCr / ZvhQPUVPyAD0NHKPOUawrGtXyiAYP3WWhKOQFM1nqQ1E9Mf38NHbaQtNJ8s / BOvMxra2Q9AaCd34IGz3uZuEZIqqXx2qqchHoHPFvopBnkCiJThmb0PoUHsA4keC7EIv3To038Wg2GYhfzy6 + vwEIx01F02xhZSHjSUlSmYM2YiS4FZu2F02L49tUPIueqo3ON2ts + G / z36kkaBFocPRJjQGL2cUmG0jI0kdahL6uNYfUL3Cu261bmxewxS1eSk + cb2zC5OckuwxoT66ZddRF + Ud2K2SIPV3oMy3D / 4oUtsrAEUv2inEthtwvY8FdzzsM1KlcvLszggKHRdTe4a3hf9ALU7omy3avhGaCtznhRnZvD0W1QNKyKRYBCtHc7e30EpbYtQ8kxRBrrQfySsQMDPfagETSDQMRdD0lLmNCsaJJqS9s7CnsXuTedTiOZA7Nddrc / qUceeZ7ZXMvwhpQJ6TglLJ / qCMFz6u63biGhCi38BxVRhrFzMIV4wEHlmw / 7ZKiIsE49XvWzJJH3J6cgvw8XGysgS29w8McqSVaucPhw + lONwc8SLTqDwZ78ozJmr3Hq4bWFjlMSeo / H8tzr ++ eVMAwNiiECWo2 / i2WwraBG7 / jpwtedjQF576tBE6TEvriVjohjyhAYj0SprtJoqS5kX6NVM8c8GaeVKbcUp6bPqZLlGi1yfP0dhgpnR81SfDVuv / RaLPedYPfKL3hK1g6UbRJvENVgrr5tik8TLley6v73MI1pbWmEnr48Zk8Y6bb4fm0H9OvkiDYmDDTh4I49TNEyuw8eD8auJ6CsapZUTmvqMlrGI3rnjueTdjQ = “,” “Unidades” “: (” “tipo de unidad” “:” “FIJO” “,” “letra_unidad” “:” “C”: ”/” “,” “tamaño_total” “:” 9GB “,” “ used_size ”“: ”9GB“, ”“ drive_type ”“: ”“ NETWORK ”“, ”“ drive_letter ”“: ”“ E ”:” / ”“, ”“ total_size ”“: ”9GB“, ”“ used_size ”“: ”9GB“ ”)”

• El agente de usuario cambió a uno nuevo, "Naruto Uzumake".
• Concatenando muchos comandos taskkill mediante el uso de "ShellExecuteA"; Esta versión de Nemty mata muchos procesos nuevos.

FIGURA 42. Procesos de matanza con CMD

• Para esta versión, los autores agregaron ejecuciones de PowerShell utilizando un símbolo del sistema con la función "ShellExecuteA":

FIGURA 43. Lanzamiento de un comando de PowerShell

• Esta versión agregó una nueva subclave en la clave de registro "Ejecutar" en la sección HKEY_CURRENT_USER con el nombre "daite drobovik":

FIGURA 44. Crear persistencia

• La nota de rescate fue cambiada nuevamente para esta versión:

FIGURA 45. Ejemplo de la nota de rescate en la versión 2.3

Versión 2.4

Esta versión fue una versión menor como Nemty 2.2. En nuestro análisis solo notamos cambios para la nota de rescate:

FIGURA 46. Ejemplo de la nota de rescate en la versión 2.4

Versión 2.5

Esta es la última versión de Nemty que descubrimos. Este representa un lanzamiento menor y solo vimos dos cambios para esta versión:

• Un nuevo valor mutex
• Una nueva nota de rescate:

FIGURA 47. Ejemplo de la nota de rescate en la versión 2.5

Relación entre JSWORM y Nemty

Nuestro equipo de Advanced Threat Research (ATR) siguió la actividad del usuario jsworm en los foros subterráneos y descubrió otra pieza de su ransomware, llamado ransomware JSWORM. A continuación se muestra un anuncio que hicieron en el mismo foro en el que presentaron Nemty:

FIGURA 48. JSWORM ransomware y anuncio de Nemty

Analizamos todas las muestras que teníamos de JSWORM y Nemty y no pudimos encontrar ninguna relación en la base de código entre ellas, pero está claro que ambas piezas de ransomware pertenecen al mismo nombre.

Algunas de las muestras publicadas contienen empacadores personalizados, por lo que la marca de tiempo de compilación no es precisa para esos casos.

Según los datos de los binarios que encontramos, podemos ver cómo comenzó la actividad de Nemty algún tiempo después de que desapareciera el ramsomware JSWORM. Esto podría indicar que el actor de amenaza jsworm estaba desarrollando ambas piezas de ransomware al mismo tiempo.

Descifrador gratuito disponible a través de No más rescate

Uno de los socios de NoMásRansom fue capaz de lanzar una versión funcional de un descifrador Nemty. Si alguien se ve afectado por este ransomware, es posible contactarlos a través de NoMoreRansom para obtener un descifrador.

Nemty publica los datos del cliente públicamente

En nuestro análisis del ransomware Nemty, detectamos una nueva tendencia en cómo sus autores manejan los datos de sus víctimas.

En este caso, al igual que hemos visto con otras familias de ransomware como Maze, Nemty tiene su propio sitio web en el que se divulgan públicamente los datos de los clientes.

Fuente de la imagen: Bleeping Computer

Conclusión

A pesar de la cantidad de familias RaaS que aparecieron este año, Nemty representa otra pieza para observar y seguir. Desde que comenzamos a observar las actividades de este ransomware, los delincuentes detrás de él han lanzado múltiples versiones nuevas con correcciones de errores y mejoras. Dicha actividad sugiere que los autores de ransomware sienten presión por el gran trabajo realizado por los investigadores y organizaciones de seguridad, y en el caso de Nemty, incluso por parte de la comunidad criminal clandestina, que rápidamente criticó algunas de sus funciones e implementaciones.

Tesorion, ahora socio en No más rescate, lanzó un descifrador de trabajo para Nemty y ahora esperamos que el autor cambie el ransomware nuevamente para continuar con sus actividades. La última acción que observamos de este grupo fue el sitio web que se muestra arriba, creado para filtrar datos de clientes.

Mitre ATT y CK

La muestra utiliza las siguientes técnicas MITER ATT & CK ™:

Cobertura

Trojan.si genérico

GenericRXIS-SF! 348C3597C7D3

Genérico RXIS-SF! 37AABA6B18C9

GenericRXIS-SF! 5CC1BF6122D3

GenericRXIU-OJ! 0B33471BBD9F

¡Rescate-Nemty! 09F3B4E8D824

Ransom-Nemty! 2FAA102585F5

Ransom-Nemty! 65B07E2FD628

Ransom-Nemty! 9D6722A4441B

RDN / GenDownloader.alr

RDN / Generic.fps

RDN / Generic.fqr

RDN / Generic.fry

RDN / Generic.ftv

RDN / Generic.fxs

RDN / Generic.fyy

RDN / Ransom.gg

RDN / Ransom.gn

Trojan-FRGK! 484036EE8955

Indicadores de compromiso