El ransomware GandCrab apareció por primera vez en enero y su constante evolución con nuevas actualizaciones, sumada a los diferentes métodos de distribución, lo han convertido en el ransomware más prolífico de 2018.
Como parte de mi trabajo diario en el equipo de “Malware Intelligence Analyst” en Malwarebytes… me ha tocado el monitoreando y análisis de una avalancha de actualizaciones de GandCrab como resultado de su método de desarrollo ágil. Algunas de estas actualizaciones incluyeron cambios importantes, mientras que otras solo tuvieron alguno mínimo…
En esta publicación, destacare las novedades algunas novedades de cada versión, incluidos algunos consejos de prevención y cómo se distribuye el ransomware. Pero primero, echemos un vistazo rápido a la cronología de GandCrab:
Cronología de actualizaciones principales de GandCrab.
Gandcrab versión 1
GandCrab v1 apareció por primera vez a fines de enero, el ransomware tuvo éxito casi de inmediato, infectando a más de 50,000 víctimas en menos de un mes . Sin embargo, el éxito también atrajo la atención de las autoridades, y a fines de febrero una colaboración entre Bitdefender, Europol y la policía rumana resultó en la incautación de servidores de comando y control y el lanzamiento de una herramienta de descifrado que las víctimas podrían usar Para recuperar sus archivos encriptados. (Nuevo descifrador: BDGandCrabDecryptTool.exe)
- Extension: “.GDCB”
- Nota de rescate: GDCB-DECRYPT.txt
Gandcrab versión 2
Lamentablemente, este fue sólo un pequeño contratiempo y una semana después, el 5 de Marzo se lanzó GandCrab v2, lo que hace que la herramienta de descifrado ya no sea más efectiva.
Al analizar esta versión del ransomware, me lleve una sorpresa al encontrar que sus creadores me incluyeron un saludo que decía: “Hello, Marcelo ” en el cargador de GandCrab v2.1 de la versión interna 2.3.2
Gandcrab versión 3
El 23 de Abril apareció GandCrab v3 en la naturaleza, que como cambio mas notorio ahora comenzaba a cambiar también el fondo de pantalla.
- Extension: “.CRAB”
- Nota de rescate: CRAB-DECRYPT.txt
Gandcrab versión 4
La versión 4.0 de GandCrab apareció en la naturaleza el 1 de julio y había traído muchos cambios con respecto a las versiones anteriores, incluidas las modificaciones que reemplazan la mayor parte del código y se centran en el cifrado rápido ahora utilizando el algoritmo de cifrado Salsa20.
- Extension: “.KRAB”
- Nota de rescate: KRAB-DECRYPT.txt
Gandcrab versión 5
GandCrab v5 se descubrió el 24 de septiembre, y fiel a su forma, sus autores pasaron la próxima semana resolviendo en 5.0.1 problemas y haciendo pequeños cambios, lo que provocó que la liberación de otras versiones internas 5.0.2, 5.0.3, 5.0.4 que hasta hoy es la ultima encontrada.
- Extension: “. 5 Letras aleatorias.”
- Nota de rescate: [extensión en mayúsculas]-DECRYPT.txt
Entre los cambios principales, GandCrab v5 ahora agregada extensión dinámica a los archivos cifrados, por lo que hacen única cada extensión para cada usuarios infectado. Así mismo, se descubrieron la utilización de algunas vulnerabilidades como CVE-2018-8440 y CVE-2018-8120. Se volvió a agregar la modificaciones del fondo de pantalla y en la primera nota de rescate en .html de v5 que se mostraba rota en Chrome, sus autores tienen la idea de utilizar esta a futuro que la nota de rescate se muestre en el idioma que está instalado en el sistema.
Vectores de entrada
GandCrab usa varios vectores de entrada:
-
Malvertising en sitios web previamente infectado con Kits de exploits: como RigEK, MagnitudeEK o FalloutEK.
-
Programas legítimos troyanos que contienen el malware, o que lo descargan y ejecutan.
-
Vía conexiones de escritorio remotas con seguridad débil (ataque RDP) o compradas en foros clandestinos.
-
Vía botnets (Necurs, Phorpiex/Triketc) que envían mal-spam con archivos adjuntos: documentos de Microsoft Word o Excel con macros, Droppers de JavaScript, falsos PDFs, o scripts tipo VBS o PowerShell
El objetivo de GandCrab -como el de otros ransomware- es cifrar todos o muchos archivos en un sistema infectado e insistir en el pago para desbloquearlos. GandCrab es el primer ransomware que requiere el pago en criptomoneda, principalmente Dash (también Bitcoin), porque es complejo de rastrear y rápido para recibir el pago.
Los autores de GandCrab también se han caracterizado por incluir mensajes mezclados dentro de su código dirigidos a empresas de seguridad, malware researchers y agencias de la ley: (1) - (2) - (3)
Prevención
Desafortunadamente, no hay ningún método conocido en este momento (Ya existe desde el 25 de Octubre, un descifrador universal) para descifrar los archivos cifrados por GandCrab v1, v4 y v5…
Aunque la prevención/detección, sigue siendo muy importante…
Hacer copias de seguridad externas de nuestra data más importante, mantener nuestro sistema y programas siempre actualizados y contar con una solución de seguridad o antivirus con protección pro-activa como Malwarebytes v3.x que es capaz de detectar tanto las cadenas de entrega del ransomware (exploits) como el intento de cifrado de los archivos, gracias a su escudo anti-ransomware.
Continuara…
Por: Marcelo Rivero