De cerca con una amenaza en evolución


Un investigador de seguridad detalla cómo ha cambiado RobbinHood y por qué sigue siendo una amenaza para las empresas.

Ha pasado más de un año desde que el ransomware como servicio RobbinHood apareció en un ataque importante contra el gobierno de la ciudad de Baltimore. Si bien inicialmente se lo describió como aficionado y poco sofisticado entre los profesionales de la seguridad cibernética, el ransomware ha cambiado desde entonces de manera que es una amenaza para los usuarios.

James Jackson, un investigador independiente que ayudó a una empresa de envío world después de NotPetya y actualmente trabaja para un negocio multinacional de inteligencia y consultoría, ha estado analizando RobbinHood para rastrear su evolución. Descubrió 19 binarios de RobbinHood y relacionó seis con ataques confirmados. La investigación lo llevó a identificar cuatro versiones distintas del ransomware RobbinHood, cada una de las cuales demuestra crecimiento en funcionalidad y madurez.

«En un período de tiempo muy corto, (RobbinHood) ha avanzado rápidamente», dice Jackson. «El hecho de que hayan intensificado y refinado su ataque en un período de tiempo muy corto, y que hayan desarrollado un exploit con un controlador malicioso, indica experiencia y preparación».

La versión .1 de RobbinHood, utilizada para apuntar a las ciudades de Baltimore y Greenville, se considera la más simplista y poco sofisticada. Funciona para detener los servicios informáticos que podrían impedir que se ejecute, encriptar archivos locales y desplegar una nota de rescate exigiendo el pago a cambio de la devolución de los archivos. Jackson dice que es ruidoso y notable, y los atacantes solo implementaron medios crudos para evitar que los investigadores de seguridad analicen el malware en una caja de arena.

«El tema principal de la versión uno del malware es que era increíblemente simplista y estaba lleno de problemas y errores», explica. A pesar del daño que causó a Baltimore, los primeros análisis de RobbinHood revelaron «ingenuidad juvenil que era difícil de ignorar», escribió en un entrada en el website. A partir de ahí, RobbinHood experimentó una serie de cambios menores y significativos.

Hay muchas razones por las cuales los atacantes de RobbinHood pueden haber estado motivados para mejorar. Un controlador puede haber sido la facilidad de recuperación. «Se han dado cuenta de que el ransomware no solo es poco sofisticado y aficionado, sino que está teniendo un impacto directo en la rentabilidad de esta empresa», dice Jackson. De las seis direcciones de Bitcoin que descubrió, cinco pertenecían a v0.1 y ninguna había contenido fondos. Esto podría indicar que las primeras versiones no tuvieron éxito.

La versión .2 apareció a mediados de junio de 2019, un poco más avanzada que su predecesora. En esta edición, los atacantes dificultaron la extracción de texto incrustado desde el interior del malware. Los nombres de las funciones se ofuscaron y se codificaron los servicios de listado de texto para detener. La segunda versión también trató de eliminar los procesos en ejecución antes del cifrado y tenía una función para borrar los registros de eventos de Windows, aunque Jackson señala que esto nunca parece ejecutarse en ataques de ransomware.

Los operadores de RobbinHood esperaron más tiempo para lanzar la versión .3, que llegó a fines de enero de 2020 con una referencia a una carpeta «RobinHood2» y descartó la ofuscación, aunque el texto incrustado todavía estaba codificado. Esta versión se creó para borrar los registros de eventos y utilizar la coincidencia de patrones para buscar y detener servicios, lo que lo hizo más eficaz para encontrar y deshabilitar el software program de seguridad.

Jackson señala que borrar los registros de eventos es interesante, ya que hay artefactos forenses más importantes que no eliminan. Esto podría indicar que están eliminando evidencia intencionalmente y que son malos, o están eliminando evidencia para obstaculizar la respuesta. Ambas posibilidades podrían ser significativas para perfilar el grupo: la primera indica baja sofisticación el último, un fuerte rasgo «incendiario», agrega.

Trayendo cambios más grandes: v0.3 a v0.4
La versión .4 apareció solo unos meses después, a fines de abril, pero trajo el mayor cambio a RobbinHood desde su lanzamiento en 2019. Como Jackson señala en su escrito, una comparación de las funciones internas en v0.1 y v0.4 reveló que las dos versiones comparten solo el 23% del mismo código.

Esta versión hace referencia a una carpeta denominada «RobbinHood6.1» y trajo funciones adicionales y mejoras de diseño. Vuelve a usar una lista codificada de servicios y procesos para bloquear sin embargo, la lista se ajustó para detener los servicios que constantemente escriben datos en una computadora. Esto aumenta la confiabilidad del cifrado, señala, y minimiza la probabilidad de pérdida de datos. Las versiones .3 y .4 también intentan cambiar todas las contraseñas de las cuentas de usuario en el sistema.

Entre v0.3 y v0.4, los operadores de RobbinHood se preocuparon más por los servicios que podrían comprometer el proceso de cifrado, dice Jackson. También crearon y armaron un controlador malicioso para manejar esto por ellos. Los ataques de RobbinHood vistos durante este tiempo explotan un controlador de hardware legítimo y firmado digitalmente para eliminar herramientas de seguridad antes de cifrar archivos.

El grupo ha demostrado la capacidad de descifrar datos, agrega. Sin embargo, existe una mayor probabilidad de que el descifrado no sea posible incluso con la asistencia grupal. El proceso de cifrado de RobbinHood implica el uso de claves públicas para cifrar una clave AES generada aleatoriamente y atacar esos datos en el archivo de destino. Si ocurrió un error, la clave AES puede no ser recuperable.

Una característica maliciosa en v0.4 es su capacidad para identificar y eliminar archivos antes del cifrado. La lógica aparentemente apunta a las copias de seguridad sin embargo, puede capturar datos que las víctimas pueden querer descifrar. Los atacantes de ransomware Ryuk utilizan tácticas manuales para eliminar copias de seguridad, señala Jackson como un ejemplo de la estrategia de otro grupo. La táctica automatizada aquí es comparativamente menos efectiva: RobbinHood busca archivos con extensiones específicas, lo que dice que tiene pocas posibilidades de funcionar. Si mejoran en el manejo de las copias de seguridad, puede haber más personas obligadas a pagar el rescate.

«La ejecución de los atacantes es interesante porque no reemplaza lo que hacen los atacantes de Ryuk cuando atacan y destruyen manualmente los servicios de respaldo, lo que siempre será mucho más efectivo», explica. Los atacantes de RobbinHood «tienen algunas habilidades bajo la manga, pero la forma en que ejecutan es relativamente ineficaz». Jackson no ha visto evidencia que indique que los atacantes de RobbinHood hayan intentado identificar y eliminar manualmente las copias de seguridad. Señala que el grupo demuestra preocupación por dejar evidencia forense.

Por el momento, no hay pruebas suficientes para concluir quién está detrás de RobbinHood o dónde se encuentran, dice Jackson. Si bien hay algunos indicios sobre cómo se lanzan estos ataques, es fácil para los operadores ajustar los componentes y las técnicas para engañar a los investigadores de seguridad.

«Uno de los grandes problemas con la atribución es … es muy fácil poner esos detalles allí a propósito o ejecutar una operación de bandera negra y hacer que parezca que un malware sale del país X cuando sale del país Y», dijo. dice.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de private de Dark Studying, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance plan & Technological innovation, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia original