El siguiente post es una traducción de la publicación Filecoder: Holding your Data to Ransom escrita por Robert Lipovsky y disponible en We Live Security.

Los troyanos que cifran la información de los usuarios e intentan extorsionar a la víctima ofreciéndoles un “rescate” (descifrador) por los datos a cambio de dinero no son nada novedoso. De hecho, esta categoría de código malicioso existe hace varios años. Estos “Filecoders”, como los denominamos nosotros, son uno de los tipos de ransomware más prolífico. Otro tipo de ransomware son los “LockScreen”, troyanos que en vez de cifrar la información, bloquean el escritorio y muestran un mensaje en pantalla que simula provenir de la policía o alguna autoridad, y en donde se solicita dinero a cambio del acceso al sistema.

El motivo por el cual estamos hablando de este tipo de troyano es porque en los últimos meses, hemos notado un incremento significativo en la actividad de Filecoder. Por lo mismo, este post busca responder aquellas interrogantes que se han recibido por parte de los usuarios. Este tipo de malware suele ser detectado por los productos de ESET como Win32/Filecoder, Win32/Gpcode, y en algunos casos otros nombres.

Estadísticas

El sistema de alerta temprana ESET Live Grid muestra que el número de detecciones semanales de Win32/Filecoder ha crecido sobre un 200% a partir de julio de 2013. Esto en comparación al número promedio registrado entre enero y junio del mismo año (hacer clic para agrandar el gráfico)

Gráfico propagación Filecoder

El país más afectado por esta familia de malware es Rusia, sin embargo, existen campañas de propagación activas en diferentes partes del mundo:

Países más afectados por Filecoder

Vectores de infección

Al igual que en otros casos de troyanos, los cibercriminales que utilizan el ransomware Filecoder poseen diferentes métodos para propagar esta amenaza:

  • A través de sitios maliciosos y ataques drive-by-download.
  • Mediante archivos adjuntos en correo electrónico
  • Utilizando otros troyanos de los tipos Downloader o Backdoor (ver el primer ejemplo que se muestra abajo).
  • Instalación manual del atacante infiltrándose por RDP (ver segundo ejemplo más abajo).
  • Otros vectores de infección típicos.

En un escenario de infección, vimos la propagación de Win32/Filecoder.Q (y después Win32/Filecoder.AA y Win32/Filecoder.W) a través del troyano tipo backdoor Poison-Ivy R.A.T. En este escenario, las víctimas recibieron un archivo adjunto por correo electrónico que contenía este backdoor. En el caso de las personas que ejecutaron la amenaza, el troyano procedía a contactarse a un Centro de Comando y Control (C&C) a la espera de comandos remotos. Posteriormente el atacante envió una variante de Win32/Filecoder a los equipos infectados. Esta acción permitió infectar esos sistemas sin la necesidad de copiar el troyano al disco y solamente cargándolo en memoria RAM.

También hemos visto casos distintos en donde el atacante logró instalar este ransomware de forma manual a través de credenciales comprometidas de Remote Desktop Protocol (RDP). No tenemos información suficiente para describir cómo ocurrió dicha infiltración (puertos RDP expuestos), sin embargo, es posible que una infección anterior con un keylogger, o la vulneración de contraseñas débiles mediante fuerza bruta expliquen cómo sucedió este caso en particular. Cabe destacar que en esta situación el atacante pudo tener acceso total al equipo comprometido, del mismo modo que un sujeto sentado detrás del escritorio. Perfectamente pudo desactivar soluciones de seguridad y realizar una amplia gama de acciones como la instalación de malware. En otros casos, la instalación manual también es necesaria debido a que algunas variantes requieren de cierta intervención por parte de una persona, por ejemplo, para establecer la contraseña de cifrado (encriptado).

Técnicas de cifrado (encriptación)

Como se mencionó en la introducción, este tipo de ransomware es más peligroso que la categoría a la cual pertenece el prolífico “malware de la policía”, pues Filecoder posee la particularidad de poder cifrar los archivos de la víctima (generalmente fotos, documentos, música y archivos). A lo largo del tiempo se han observado distintas técnicas y niveles de sofisticación en diferentes variantes:

  • El cifrado puede estar implementado en el código del troyano o utilizando herramientas legítimas de terceros (LockDir, archivos comprimidos con WinRAR y protegidos por contraseña, etc.).
  • Algunas variantes cifran el archivo completo, otras solo parte del fichero (por ejemplo, cuando se utiliza un RSA más lento).
  • Varios métodos han sido utilizados para borrar los archivos “secuestrados”: en algunos casos, el fichero limpio es eliminado de forma estándar y puede ser recuperado utilizando herramientas para dicho propósito. En otros casos el archivo es eliminado de forma segura, es decir, utilizando herramientas como Microsoft SysInternals SDelete, o sobrescribiendo el fichero.

Asimismo, se utilizan distintos métodos de cifrado:

Por otro lado, las llaves de cifrado pueden ser:

  • Incluidas dentro del mismo código de la amenaza (hard coded).
  • Escritas manualmente (a través de línea de comandos o una caja de diálogo en caso que el atacante tenga acceso RDP a la máquina infectada).
  • Generadas aleatoriamente utilizando distintas funciones.

Ejemplos activos

Existe una familia de Filecoder que se ha estado propagando vía RDP y que ha mejorado sus tácticas en el tiempo. Ahora utilizan la técnica de scareware (asustar al usuario) y se presentan como mensajes provenientes de dos instituciones que por supuesto no existen; “Anti-Child Porn Spam Protection” y “ACCDFISA” (“Anti Cyber Crime Department of Federal Internet Security Agency”). Esta familia en particular es detectada por los productos de ESET como Win32/Filecoder.NAC. En la actualidad continúa propagándose activamente.

Este malware también ha prevalecido en el tiempo debido a la suma de dinero que pide. Mientras otras muestras pertenecientes a esta categoría solicitan sumas de 100 a 200 euros, Win32/Filecoder.NAC ha llegado a extorsionar por sumas que asciendes hasta los 3.000 euros. Este monto alto se condice con el hecho que este código malicioso usualmente ataca a negocios que pueden pagar dichas cantidades en comparación a una persona natural.

Otro ejemplo interesante es Win32/Filecoder.BH (también conocido como DirtyDecrypt). Este malware utiliza un interesante método visual de extorsión hacia la víctima. Durante el ciclo de cifrado de imágenes y documentos, el contenido de ambos tipos de archivos es sobrescrito con el siguiente mensaje seguido de los bytes originales del cifrado:

Ejemplo de extorsión de Filecoder.BH

Otra variante reciente, Win32/Filecoder.BQ, intenta presionar a la víctima utilizando una cuenta regresiva del tiempo que resta para que la llave del cifrado sea eliminada definitivamente y los datos no puedan ser recuperados. Interesantemente, ahora las víctimas también pueden pagar utilizando Bitcoin y los métodos comunes de envío de dinero. Algunas variantes de Filecoder incluso son armadas utilizando un constructor similar al de troyanos bancarios que se venden en mercados ilegales. El constructor le permite al atacante seleccionar qué tipo de archivos serán cifrados, el método de cifrado preferido, el mensaje extorsionador a mostrar, etc.:

Constructor de Filecoder

Algunos consejos

En algunos casos, cuando Filecoder utiliza un algoritmo de cifrado débil o almacena la contraseña de cifrado en algún lugar donde sea posible recuperarla, los archivos pueden ser descifrados. Desafortunadamente, en la mayoría de los casos actuales los atacantes han mejorado sus técnicas y recuperar los archivos cifrados sin la contraseña o llave maestra es casi imposible.

Si se requiere acceso remoto a un computador, se deben adoptar las medidas de seguridad necesarias. Por ejemplo, RDP no debe estar abierto para redes públicas (Internet) y en caso de utilizar redes VPN, implementar tecnología de doble autenticación. También es una buena idea proteger la configuración de la solución de seguridad con una contraseña para evitar que un atacante pueda alterar los parámetros de protección:

eset-01

Los consejos de ser cauteloso y mantener el antivirus actualizado siguen estando vigentes en este caso, sin embargo, frente a estos ataques mantener un respaldo (backup) actualizado es fundamental.

Traducido y adaptado por André Goujon
Especialista de Awareness & Research