QNAPCrypt continúa propagándose a través de ataques de fuerza bruta.
Se ha detectado una rara instancia de ransomware dirigida a sistemas de almacenamiento de archivos basados en Linux (servidores de almacenamiento conectados a la red, específicamente), que se propagan a través de 15 campañas separadas pero relacionadas. Según los investigadores, los adversarios detrás del esfuerzo continúan sus depredaciones de manera continua, por lo que se espera que los objetivos proliferen.
Los investigadores de Intezer Labs denominaron el malware “QNAPCrypt”, después de QNAP, uno de los proveedores de servidores NAS más grandes que existen.
"Los servidores NAS normalmente almacenan grandes cantidades de datos y archivos importantes, lo que los convierte en un valioso objetivo para los atacantes y, especialmente, en un objetivo viable para las campañas de ransomware", dijo el investigador de Intezer, Ignacio Sanmillan, en un análisis del malware, publicado esta semana. Sin embargo, señaló que "es raro que se use el ransomware para apuntar al sistema operativo Linux".
Los investigadores dijeron que QNAPCrypt tiene algunos atributos que difieren de la bolsa de trucos de ransomware estándar. Al igual que muchos ransomwares, es una variante ARM que cifra todos los archivos, pero la nota de rescate se entrega únicamente como un archivo de texto que se deja en la máquina, sin ningún mensaje en la pantalla. "Naturalmente, porque es un servidor y no un punto final", señaló Sanmillan.
Además, a cada víctima se le proporciona una billetera Bitcoin única y diferente, un aspecto que ayuda a los atacantes a evitar que se rastree a través de los flujos de dinero, al ser rastreado. Una vez que la víctima está comprometida, el malware solicita una dirección de cartera y una clave RSA pública del servidor de comando y control (CC2) antes del cifrado de archivos.
Es esta función de billetera la que ha demostrado ser un talón de Aquiles para los atacantes. Los investigadores determinaron un par de lo que el investigador dijo que son "fallas de diseño importantes" que les permiten bloquear temporalmente las operaciones de los actores de amenazas.
En primer lugar, la lista de carteras bitcoin era estática y se creó antes de la campaña.
"Por lo tanto, no crea una nueva billetera para cada nueva víctima en tiempo real, sino que extrae una dirección de billetera de una lista fija y predeterminada", explicaron los investigadores.
En segundo lugar, la lista, al ser estática, también es finita. "Una vez que todas las carteras se asignan (o se envían), el ransomware no podría continuar su operación maliciosa en la máquina de la víctima", dijeron.
Esto abrió la puerta para que Intezer pudiera montar lo que era esencialmente un ataque de denegación de servicio (DoS) simulando la infección de más de 1,091 víctimas, lo que obligó a los atacantes a revisar su lista de billeteras únicas de Bitcoin para abastecer a sus víctimas. .
"Al investigar la instancia ARM del malware, observamos que había una solicitud a través de su API REST para recuperar las nuevas claves de configuración de víctimas", explicó Sanmillan, y agregó que esto se realiza a través de una conexión a un proxy SOCKS5. Aquí se encuentra un tercer defecto de diseño. Esa conexión, a un proxy SOCKS5, se completa sin ninguna autenticación forzada, por lo que cualquier persona tendría la capacidad de conectarse a ella.
"Esta idea simplemente abusa del hecho de que no se aplica ninguna autenticación para conectarse al proxy SOCKS5", explicó Sanmillan. “Dado que los autores detrás de este ransomware entregaron una billetera Bitcoin por víctima de un conjunto estático de billeteras ya generadas, podríamos replicar los paquetes de infección para recuperar todas las billeteras hasta que no tuvieran más billeteras bajo su control. Por lo tanto, cuando se produjera una infección genuina, el cliente de rescate no podría recuperar los artefactos de configuración ".
Los atacantes se dieron cuenta y no pasó mucho tiempo hasta que Intezer detectó variantes de QNAPCrypt actualizadas.
"Como resultado ... los autores detrás de este malware se vieron obligados a actualizar sus implantes para evitar esta falla de diseño en su infraestructura para continuar con sus operaciones maliciosas", dijo Samillan. "Después de varios días de hacer continuamente clientes QNAPCrypt, nos encontramos con otra muestra de QNAPCrypt, pero esta vez apuntando a sistemas x86".
Este nuevo implante reutiliza una gran parte del código con las instancias antiguas de x86 Linux.Rex, un malware que apareció en los titulares en 2016 como un troyano autorreplicante que utiliza máquinas infectadas para crear una red de bots de igual a igual, para llevar a cabo el ransomware y operaciones DDoS.
"Interpretamos que el descubrimiento de estas instancias más nuevas con configuración codificada es una respuesta de los actores de amenazas detrás de esta campaña para intentar eludir el DoS", dijo Sanmillan. "Esto implicó que se vieron obligados a cambiar sus implantes y a centralizar sus billeteras de bitcoin, haciendo que el seguimiento de sus ingresos a través de sus campañas de ransomware sea más conveniente".
Intezer determinó que el vector de ataque inicial para las campañas son los ataques de fuerza bruta SSH, por lo que los administradores deben actualizar sus credenciales con contraseñas seguras para evitar una infección.
En cuanto a la decisión de apuntar al NAS, Chris Morales, jefe de análisis de seguridad de Vectra, dijo a Threatpost que no es tan común implementar el monitoreo de puntos finales en un servidor de archivos de red dedicado de Linux. Por lo tanto, el malware QNAPCrypt representa la evolución y adaptación de Un ataque para eludir los controles de seguridad.
"Lo que sucede a menudo en un ataque de ransomware es que una máquina de escritorio, que es Windows o OS X, se vea comprometida a través de una vulnerabilidad existente o una campaña de phishing", explicó. “Una vez que el host está infectado, el malware está diseñado para propagarse a través de los sistemas de usuario y cifrar los servidores de archivos de red que están conectados a esos sistemas. "Al dirigirse directamente al servidor de archivos de la red, es muy probable que el ataque sea eludir la detección mediante herramientas de seguridad de puntos finales que estén monitoreando los comportamientos de cifrado locales".
Web de la herramienta: https://threatpost.com/
No olvides Compartir...
Siguenos en twitter: @disoftin
0 Comentarios