Se ha descubierto un nuevo malware con asociaciones extrañas al Ryuk Ransomware para buscar y robar archivos confidenciales financieros, militares y policiales.
Si bien Ryuk Ransomware encripta los archivos de una víctima y luego exige un rescate, no es conocido por robar archivos de una computadora infectada. Una nueva infección descubierta hoy por MalwareHunterTeam hace exactamente eso buscando archivos confidenciales y cargándolos en un sitio FTP bajo el control del atacante.
Para hacer esta muestra aún más interesante, este malware que filtra datos también contiene algunas referencias extrañas a Ryuk dentro del código.
Buscando archivos confidenciales
En conversaciones con el ingeniero inverso y el investigador de seguridad Vitali Kremez , tenemos una idea de cómo funciona el ladrón de archivos. Cuando se ejecuta, el ladrón realizará un análisis recursivo de todos los archivos en una computadora y buscará los archivos Word .docx y Excel .xlsx para robar.
Al buscar archivos, si encuentra carpetas o archivos que coinciden con ciertas cadenas, dejará de verificar el archivo y pasará al siguiente, de forma similar a cómo funcionaría el ransomware.
Una lista completa de los archivos y carpetas en la lista negra se encuentra al final de este artículo, incluidos los estándares como "Windows", "Intel", "Mozilla", "Público", etc.
Además, también omite los archivos asociados con Ryuk, como "RyukReadMe.txt" y los archivos con la extensión ".RYK".
Cuando se encuentra un archivo .docx o .xlsx, el ladrón usará libzip y las funciones zip_open y zip_trace para verificar si el archivo es un documento válido de Word o Excel. Para ello, verifica y valida la presencia de los archivos word / document.xml (word) o xl / worksheets / sheet (excel) en el documento de Office.
Si es un archivo válido, comparará el nombre del archivo con una lista de 77 cadenas. Todas las cadenas se enumeran al final del documento e incluyen entradas como "marketwired", "10-Q", "fraude", "pirateo", "tanque", "defensa", "militar", "control", "clasificado", "secreto", "clandestino", encubierto "," federal ", etc.
Como puede ver, el actor está buscando secretos militares confidenciales, información bancaria, fraude, documentos de investigación criminal y otra información confidencial.
Curiosamente, también busca archivos que contengan los nombres "Emma", "Liam", "Olivia", "Noah", "William", "Isabella", "James", "Sophia" y "Logan". Se sospecha que estos nombres provienen de los principales nombres de bebés de 2018 que figuran en el departamento de Seguridad Social de EE. UU.
Después de escanear la máquina local, el malware obtendrá una lista de direcciones IP de la tabla ARP de la computadora. Luego procede a buscar archivos en cualquier recurso compartido disponible.
No se sabe cómo se está instalando este malware, pero BleepingComputer, Kremez y MalwareHunterTeam teorizaron que esta infección podría ejecutarse antes de infectar una máquina para recolectar archivos interesantes antes de que se cifren.
Lazos extraños con Ryuk Ransomware
Como ya comentamos, este ladrón omite a propósito los archivos asociados con el Ryuk Ransomware, como RyukReadMe.txt, UNIQUE_ID_DO_NOT_REMOVE y cualquier archivo que tenga la extensión .RYK.
Además, hay similitudes de código que el ladrón y Ryuk Ransomware comparten en común. Por ejemplo, el ladrón contiene una función que crea un nuevo archivo y agrega la extensión .RYK como si estuviera encriptando el archivo. Esta función no es utilizada por el ladrón.
Si bien existen vínculos definitivos entre este ladrón y Ryuk, no se sabe si realmente el mismo grupo o alguien obtuvo acceso al código y lo utilizó en su propio programa.
"Podría indicar que alguien con acceso de origen al ransomware Ryuk simplemente copia / pega y modifica el código para que sea un ladrón o se vea así", dijo Kremez a BleepingComputer en una conversación sobre este malware.
Además, Ryuk se ejecuta sin ninguna dependencia cuando BleepingComputer lo probó en el pasado, mientras que este ladrón parece ser un ejecutable de MingW que requiere la presencia de numerosas DLL para ejecutarse correctamente.
Esto podría indicar que el ladrón se está instalando manualmente o se ha eliminado como un paquete con todos los componentes necesarios.
Fecha actualización el 2021-09-12. Fecha publicación el 2019-09-12. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil