Una variante de ransomware que puede dejar su huella en la temporada navideña es una relativamente nueva llamada Buran.
Buran fue descubierto en mayo por el investigador de seguridad nao_sec . Sus operadores se apresuraron a elegir un camino que, si se hacía correctamente, les proporcionaría mucho más efectivo que si distribuyeran el ransomware ellos mismos. Al adoptar un modelo de negocio de ransomware como servicio (RaaS), los operadores buscan crear un ejército de afiliados para distribuir el ransomware, con la esperanza de obtener una buena cantidad de Bitcoin en el proceso. RaaS tiende a operar permitiendo que los afiliados distribuyan el ransomware, mientras que los creadores del ransomware toman un porcentaje de los rescates extorsionados por los afiliados.
VegaLocker
El análisis realizado por investigadores de seguridad reveló que Buran no es una amenaza completamente nueva; más bien, el código comparte varios artefactos con una familia de ransomware anterior, Jumper o Jamper, que es en sí misma una evolución de VegaLocker. Los investigadores observaron otras similitudes, como cómo se almacenan los archivos en la carpeta temporal y cómo el ransomware modifica el registro. Sin embargo, estos factores solo indican una relación; Una de las pruebas clave que vinculan a las familias anteriores es cómo todas utilizan los mismos métodos para eliminar instantáneas, copias de seguridad y la copia de seguridad del sistema.
Una de las últimas campañas conocidas que se vieron cuando se distribuyó VegaLocker ocurrió a fines de 2018 hasta abril de 2019. El ransomware se eliminó como carga después de que una campaña de publicidad maliciosa comprometiera con éxito las máquinas. VegaLocker no fue la única carga útil: la campaña también buscó difundir troyanos bancarios y spyware. Se creía que las cargas posteriores de ransomware distribuidas por la campaña de publicidad maliciosa eran Buran; sin embargo, más tarde se demostró que eran VegaLocker, su abuelo. Esta puede haber sido la canción del cisne del ransomware, solo para dar paso a los operadores que dedican su tiempo a Buran. Esto también le da crédito a la idea de que Buran sea una evolución de VegaLocker.
Buran
Buran se anuncia en foros clandestinos como una variedad estable de malware que cuenta con un componente criptográfico fuera de línea, soporte 24/7, claves globales y de sesión y sin dependencias de terceros como bibliotecas. En su mayor parte, los investigadores están de acuerdo con el anuncio. Descubrieron además que el ransomware es capaz de escanear unidades locales y rutas de red. Buran también puede encriptar archivos sin cambiar la extensión del archivo, eliminar puntos de recuperación, eliminar registros y eliminar catálogos de respaldo. También es capaz de borrarse a sí mismo.
Buran ransomware archivos cifrados
Donde los operadores de Buran pueden haber fibrado un poco es que afirman que el ransomware es compatible con todas las versiones de Windows. La investigación encontró que este no es el caso, ya que Windows XP parece ser inmune. Al igual que con Sodinokibi , otro ransomware popular que se ofrece como RaaS, el kit de explotación RIG parece ser el método preferido de distribución actual. En particular, el ransomware aprovecha CVE-2018-8174para permitir el compromiso inicial de las máquinas.
La vulnerabilidad también se conoce con el nombre de Vulnerabilidad de ejecución remota de código del motor de Windows VBScript y se clasifica como una vulnerabilidad de ejecución remota de código que permite la ejecución de código malicioso al abusar de la forma en que el motor VBScript maneja los objetos en la memoria. La vulnerabilidad afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10.
Actualmente, hasta ahora se han detectado dos versiones de Buran, ambas escritas en Delphi. La segunda versión muestra mejoras sobre la primera. Es necesario mejorar el código para que los afiliados busquen distribuir malware, ya que querrán mejoras para evitar la detección e infectar máquinas. Este también es un sello distintivo de los modelos RaaS, ya que el ransomware en sí mismo debe atraer afiliados y es poco probable que se registren si se percibe que el malware está desactualizado. Una vez que Buran se deje caer en un sistema vulnerable, verificará si la máquina está registrada en Bielorrusia, Rusia o Ucrania. Si el cheque devuelve verdadero, Buran saldrá.
Otra característica del malware que vale la pena señalar es que es capaz de crear archivos y almacenarlos en carpetas temporales. Buran también buscará mantener la persistencia en la computadora infectada mediante la creación de claves de registro. Esta táctica de mantener la persistencia también se encontró en Jumper y VegaLocker. El hecho de que el código esté escrito en Delphi también es interesante, ya que el código se enseñó predominantemente en América Latina y en los antiguos países que formaron la Unión Soviética. Dado que el código excluye las máquinas registradas en Rusia, Bielorrusia y Ucrania, algunos han especulado que los operadores del ransomware pueden estar operando en uno de esos tres países.
Buran se dirige a las empresas alemanas
En octubre, surgieron informes de que las empresas alemanas estaban siendo atacadas activamente en una campaña de distribución de Buran. Las organizaciones estaban siendo atacadas a través de una campaña de malspam usando un señuelo eFax junto con un documento malicioso de Word. La nota de rescate también se tradujo al alemán y contenía la palabra alemana para datos: "daten". El correo electrónico no deseado contenía enlaces a una página PHP que servía los documentos maliciosos de Word que descargarían el ransomware, presumiblemente mediante el uso de macros habilitadoras. Al usar hipervínculos en lugar de archivos adjuntos, se cree que los que están detrás de la campaña intentaron evitar ser detectados por escáneres de malware configurados para bloquear correos electrónicos no deseados.
Esta focalización de las organizaciones alemanas, así como otras campañas, muestra que Buran no se distribuye de manera hiper-focalizada. Más bien, el malware se adapta a la necesidad de los afiliados detrás de una determinada campaña. El malware utilizado de esta manera a menudo se conoce como malware básico, ya que ningún objetivo específico moldea su desarrollo.
El objetivo principal de los desarrolladores es ganar dinero. Para seguir ganando dinero, Buran realiza varias funciones anti forenses para evitar la detección y el análisis por parte de los investigadores de seguridad. Por ejemplo, Buran elimina los registros de conexión RDP, aunque el ransomware no se distribuye a través de conexiones RDP. Estas medidas anti forenses son ruidosas y alertan a las redes defensoras, pero parece que los desarrolladores están más preocupados por eliminar evidencia en lugar de la detección temprana del ransomware.
Socavando la competencia
Buran no es la primera, ni la última pieza de ransomware que se ofrece como RaaS. Actualmente, Sodinokibi sigue un modelo comercial similar, y GandCrab prácticamente perfeccionó el modelo comercial. Para obtener una ventaja sobre la competencia, los desarrolladores de Buran están empleando una táctica comercial antigua en lugar de un código y tecnologías novedosos o nuevos: socavar a sus rivales.
Normalmente, los desarrolladores de RaaS cobran entre el 30% y el 40% de las infecciones exitosas que resultan en el pago del rescate. Los operadores de Buran están cobrando solo el 25%, ahorros sustanciales para aquellos que buscan extorsionar fondos, pero no pueden molestarse en desarrollar el ransomware. Eso no es todo lo que los desarrolladores de Buran están dispuestos a negociar sobre su porcentaje de participación: algunas almas afortunadas podrían obtener ahorros aún mayores. Dado que Buran ha recibido una actualización desde que se lanzó al mercado y que los desarrolladores están dispuestos a socavar a su competencia, es seguro asumir que están a largo plazo. Quizás, esperan que al atraer afiliados a un precio más bajo, puedan atraer más que sus competidores, ganando así cantidades similares o más de efectivo obtenido ilegalmente que sus rivales.
Otro indicador de que los desarrolladores de Buran están en el juego largo es que el ransomware no infectará máquinas en ciertas regiones. Una posible razón es evitar la atención de la policía local para que puedan operar por períodos más largos.
Fecha actualización el 2021-11-27. Fecha publicación el 2019-11-27. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: securityboulevard Version movil