Los investigadores de Trend Micro han detectado una nueva familia de ransomware, a la que han decidido llamar PyLocky,
que ha sido utilizada en diversos ataques llevados a cabo entre los
meses de julio y agosto del presente año. Esta familia de malware se
hacía pasar por el conocido ransomware Locky, ya que utilizaba su misma nota de rescate, aunque técnicamente no tienen nada que ver.
Como bien indica su nombre, PyLocky está escrito en el conocido lenguaje de programación Python
y está empaquetado con la herramienta PyInstaller, que normalmente es
utilizada para congelar programas escritos en Python en ejecutables
independientes. Como características destacadas, PyLocky destaca por sus
capacidades contra el aprendizaje automático y se apoya en el script de
código abierto Setup Installer. Su esparcimiento se realiza utilizando
el ya clásico spam a través de email, con los países europeos como objetivo general y Francia en particular.
Lo descrito en el párrafo anterior convierte a PyLocky y sus variantes en un malware muy peligroso, ya que es capaz de saltarse los métodos de análisis estáticos gracias a la combinación de Inno Setup y PyInstaller.
A pesar de que la intensidad de la campaña de spam ha bajado en
volumen, el número total de correos no deseados enviados aumentó con el
tiempo.
Como la mayoría de servicios de correo electrónico lo
ponen difícil para la distribución de binarios ejecutables e incluso de
scripts en muchos casos, el ransomware no se encuentra adjuntado en los
propios correos electrónicos, sino que las potenciales víctimas reciben
un correo bajo técnicas de ingeniería social con un enlace en el
contenido del mensaje hacia un fichero ZIP
(Facture_23100.31.07.2018.zip) que contiene el ejecutable malicioso
(Facture_23100.31.07.2018.exe). El ejecutable se encarga de soltar
algunas bibliotecas de Python y C++, además del DLL de Python 2.7 Core.
Una
vez que el proceso de infección se ha iniciado, PyLocky intenta cifrar
una gran cantidad de contenidos almacenados en el ordenador, como
ficheros de vídeo, imágenes, documentos, sonido, programas, juegos,
bases de datos, etc. La campaña de spam y el hecho de ir contra bases de
datos deja entrever que va sobre todo contra empresas, pero que tampoco
descarta a los usuarios comunes en caso de poder infectar a alguno al
abarcar todo tipo de ficheros correspondientes al ocio. Además, también
abusa del Windows Management Instrumentation (WMI) para comprobar las propiedades del sistema afectado.
Para esquivar herramientas de análisis y protección como los sandboxes, PyLocky se queda “dormido” durante 999.999 segundos, lo que vienen a ser 11 días y medio, en caso de tener el sistema atacado 4GB de RAM.
Las rutinas de encriptación están implementadas en la biblioteca
PyCrypto y se apoya en el cifrador 3DES. Por otro lado, se encarga de
enumerar las unidades lógicas del host y genera una lista de archivos
con el fin de sobreescribirlos por versiones cifradas de los mismos,
dejando en el proceso una notificación en inglés, francés, coreano o
italiano. Otra de sus característica es la de comunicarse con un
servidor de mando y control para enviar información del sistema
infectado.
En MuySeguridad recomendamos eliminar cualquier correo
electrónico de procedencia sospechosa en caso de no poderse verificar su
origen (en el ejemplo que nos ha ocupado en esta ocasión, una factura).
Aunque los ransomware hayan desaparecido, al menos aparentemente, del
primer plano informativo frente a los mineros maliciosos,
esto no quiere decir que su peligrosidad haya disminuido, sino que van
incluyendo capacidades cada vez más avanzadas para saltarse las barreras
más complejas que las empresas van incorporando en sus ciberdefensas.
0 Comentarios