Un nuevo ransomware llamado Cr1ptT0r creado para sistemas integrados apunta al equipo de almacenamiento conectado en red (NAS) expuesto a Internet para cifrar los datos disponibles en él.
Cr1ptT0r se descubrió por primera vez en los foros de BleepingComputer, donde los usuarios declararon que sus dispositivos D-Link DNS-320 estaban infectados por el ransomware. D-Link ya no vende el gabinete DNS-320, pero la página del producto indica que aún está disponible. Sin embargo, la nueva revisión de firmware salió en 2016 y hay muchos errores conocidos que pueden aprovecharse para comprometer el equipo
Los detalles son escasos en este momento, pero los miembros del foro ofrecieron información que sugiere que el vector de ataque es más probable que sea una vulnerabilidad en el firmware antiguo. Un miembro del equipo de Cr1ptT0r lo confirmó y dijo que existen tantas vulnerabilidades en los modelos D-Link DNS-320 NAS que deberían crearse desde cero para mejorar las cosas.
Aunque se sabe que las versiones anteriores del firmware para DNS-320 son vulnerables a al menos un error que conduce a la ejecución remota de código, en 2018 se publicó un backdoor para ShareCenter DNS-320L.
Algunos usuarios afectados por Cr1ptT0r admitieron que tenían instalada una versión de firmware obsoleta y que su dispositivo estaba expuesto a Internet en el momento del ataque.
El malware suelta dos archivos de texto plano en los dispositivos infectados. Una es la nota de rescate llamada "_FILES_ENCRYPTED_README.txt", que brinda información a la víctima sobre cómo obtener más detalles sobre lo que sucedió y cómo comunicarse con los operadores de ransomware para pagar el rescate a cambio de la clave de descifrado de archivos.
La nota de rescate apunta a la víctima al servicio de descifrado Cr1ptT0r, que contiene los mismos detalles de contacto y los pasos para obtener la clave de desbloqueo.
Para verificar que pueden descifrar los datos, los operadores ofrecen desbloquear el primer archivo de forma gratuita.
El otro archivo de texto tiene el nombre "_cr1ptt0r_support.txt" y almacena la dirección de un sitio web en la red Tor. Esta es una URL de soporte que las víctimas pueden proporcionar si no saben qué hacer; habilita un shell remoto en un dispositivo infectado si está en línea. El miembro del grupo Cr1ptT0r agregó que las direcciones URL y las direcciones IP no están registradas, por lo que no existe una correlación entre los datos y la víctima.
Aunque el miembro de Cr1ptT0r dice que solo está interesado en que les paguen y que el espionaje no está en su agenda, no pueden garantizar la privacidad.
Las claves para desbloquear archivos se venden a través del mercado OpenBazaar, por BTC 0.30672022 (aproximadamente $ 1,200 al precio actual de Bitcoin). También hay una opción para pagar menos por el descifrado de archivos individuales. El costo de esto es de $ 19.99 y usted tiene que enviar el archivo cifrado para recibirlo descifrado.
Ninguna extensión agregada a archivos bloqueados
El ransomware, que es un binario de ELF ARM, no agrega una extensión específica a los datos cifrados, pero el investigador de seguridad Michael Gillespie hizo un breve análisis del malware y los archivos que cifra y encontró que agregó el marcador de fin de archivo " _Cr1ptT0r_ "
También dice que las cadenas que notó sugieren que esta variedad de ransomware usa la biblioteca de criptografía de Sodium y que usa el algoritmo "curve25519xsalsa20poly1305" para el cifrado asimétrico.
La clave pública (256 bits) utilizada para cifrar los datos está disponible en un archivo separado llamado "cr1ptt0r_logs.txt", que también almacena una lista de los archivos cifrados, y también se adjunta al final de los archivos cifrados. Justo antes del marcador. Gillespie dice que coincide con el algoritmo de cifrado que anotó anteriormente.
En este momento, el controlador de ransomware parece estar interesado en apuntar a dispositivos NAS, que son populares entre las pequeñas empresas para almacenar y compartir datos internamente. Esta es probablemente la razón de la fuerte demanda de rescate.
Cr1ptT0r es nuevo en el mercado, pero parece que está planeando una larga estadía. Está construido para sistemas Linux, con un enfoque en dispositivos integrados, pero también puede adaptarse a Windows, según su fabricante. El juego final es ganar dinero y, como nos dijo alguien familiarizado con este tipo de negocios, puede tener un retorno de la inversión casi infinito. El malware no tiene una presencia significativa en este momento, pero podría convertirse en una amenaza desagradable.
IOC
Fuente:https://www.bleepingcomputer.com/news/security/cr1ptt0r-ransomware-infects-d-link-nas-devices-targets-embedded-systems/
Cr1ptT0r se descubrió por primera vez en los foros de BleepingComputer, donde los usuarios declararon que sus dispositivos D-Link DNS-320 estaban infectados por el ransomware. D-Link ya no vende el gabinete DNS-320, pero la página del producto indica que aún está disponible. Sin embargo, la nueva revisión de firmware salió en 2016 y hay muchos errores conocidos que pueden aprovecharse para comprometer el equipo
Los detalles son escasos en este momento, pero los miembros del foro ofrecieron información que sugiere que el vector de ataque es más probable que sea una vulnerabilidad en el firmware antiguo. Un miembro del equipo de Cr1ptT0r lo confirmó y dijo que existen tantas vulnerabilidades en los modelos D-Link DNS-320 NAS que deberían crearse desde cero para mejorar las cosas.
Aunque se sabe que las versiones anteriores del firmware para DNS-320 son vulnerables a al menos un error que conduce a la ejecución remota de código, en 2018 se publicó un backdoor para ShareCenter DNS-320L.
Algunos usuarios afectados por Cr1ptT0r admitieron que tenían instalada una versión de firmware obsoleta y que su dispositivo estaba expuesto a Internet en el momento del ataque.
El malware suelta dos archivos de texto plano en los dispositivos infectados. Una es la nota de rescate llamada "_FILES_ENCRYPTED_README.txt", que brinda información a la víctima sobre cómo obtener más detalles sobre lo que sucedió y cómo comunicarse con los operadores de ransomware para pagar el rescate a cambio de la clave de descifrado de archivos.
La nota de rescate apunta a la víctima al servicio de descifrado Cr1ptT0r, que contiene los mismos detalles de contacto y los pasos para obtener la clave de desbloqueo.
Para verificar que pueden descifrar los datos, los operadores ofrecen desbloquear el primer archivo de forma gratuita.
El otro archivo de texto tiene el nombre "_cr1ptt0r_support.txt" y almacena la dirección de un sitio web en la red Tor. Esta es una URL de soporte que las víctimas pueden proporcionar si no saben qué hacer; habilita un shell remoto en un dispositivo infectado si está en línea. El miembro del grupo Cr1ptT0r agregó que las direcciones URL y las direcciones IP no están registradas, por lo que no existe una correlación entre los datos y la víctima.
Aunque el miembro de Cr1ptT0r dice que solo está interesado en que les paguen y que el espionaje no está en su agenda, no pueden garantizar la privacidad.
Las claves para desbloquear archivos se venden a través del mercado OpenBazaar, por BTC 0.30672022 (aproximadamente $ 1,200 al precio actual de Bitcoin). También hay una opción para pagar menos por el descifrado de archivos individuales. El costo de esto es de $ 19.99 y usted tiene que enviar el archivo cifrado para recibirlo descifrado.
Ninguna extensión agregada a archivos bloqueados
El ransomware, que es un binario de ELF ARM, no agrega una extensión específica a los datos cifrados, pero el investigador de seguridad Michael Gillespie hizo un breve análisis del malware y los archivos que cifra y encontró que agregó el marcador de fin de archivo " _Cr1ptT0r_ "
También dice que las cadenas que notó sugieren que esta variedad de ransomware usa la biblioteca de criptografía de Sodium y que usa el algoritmo "curve25519xsalsa20poly1305" para el cifrado asimétrico.
La clave pública (256 bits) utilizada para cifrar los datos está disponible en un archivo separado llamado "cr1ptt0r_logs.txt", que también almacena una lista de los archivos cifrados, y también se adjunta al final de los archivos cifrados. Justo antes del marcador. Gillespie dice que coincide con el algoritmo de cifrado que anotó anteriormente.
En este momento, el controlador de ransomware parece estar interesado en apuntar a dispositivos NAS, que son populares entre las pequeñas empresas para almacenar y compartir datos internamente. Esta es probablemente la razón de la fuerte demanda de rescate.
Cr1ptT0r es nuevo en el mercado, pero parece que está planeando una larga estadía. Está construido para sistemas Linux, con un enfoque en dispositivos integrados, pero también puede adaptarse a Windows, según su fabricante. El juego final es ganar dinero y, como nos dijo alguien familiarizado con este tipo de negocios, puede tener un retorno de la inversión casi infinito. El malware no tiene una presencia significativa en este momento, pero podría convertirse en una amenaza desagradable.
IOC
9a1de00dbc07271a27cb4806937802007ae5a59433ca858d52678930253f42c1Fuente:https://www.bleepingcomputer.com/news/security/cr1ptt0r-ransomware-infects-d-link-nas-devices-targets-embedded-systems/
