Los investigadores de Intezer e IBM X-Force se han topado con una forma no convencional de ransomware que se está implementando en ataques dirigidos contra servidores empresariales. El nuevo malware se ha denominado PureLocker porque está escrito en el lenguaje de programación PureBasic, que es inusual para el ransomware. Además, PureLocker también parece tener enlaces con el proveedor de malware como servicio (MaaS) que ha sido utilizado por la pandilla Cobalt, FIN6 y otros grupos de amenazas.
PureLocker viene con métodos de evasión y características de diseño que han permitido que el ransomware permanezca sin ser detectado durante meses. El uso del lenguaje de programación PureBasic también brinda a los atacantes la capacidad de portar fácilmente el malware a Windows, Linux y macOS, expandiendo así la lista de plataformas específicas.
La muestra analizada de Windows se hizo pasar por la biblioteca de criptografía C ++ llamada Crypto ++, y logró permanecer sin ser detectada por los motores antivirus VirusTotal durante más de tres semanas. Además, cuando se ejecutó en una caja de arena, el archivo no mostró un comportamiento malicioso o sospechoso, anotaron los investigadores.
Un análisis posterior mostró que el archivo no estaba relacionado con Crypto ++, pero sí incluía código reutilizado de varias familias de malware, principalmente de binarios de pandillas Cobalt. Sin embargo, la mayoría del código parecía ser único, lo que indica que es probable que sea un malware nuevo o altamente modificado.
El malware ejecutado como una DLL del servidor COM por regsrv32.exe, que invocará la exportación DllRegisterServer, donde reside el código del malware. Las cadenas de malware están codificadas y almacenadas como cadenas hexadecimales Unicode. Cada cadena se decodifica bajo demanda llamando a una función de decodificación de cadena.
El malware comprueba si se ejecutó según lo previsto o si se está analizando o depurando, y sale inmediatamente si las comprobaciones fallan (aunque probablemente no se elimine solo para no levantar sospechas). El malware se elimina solo después de que se haya ejecutado con éxito.
Los investigadores creen que el malware es parte de un ataque dirigido y de múltiples etapas, dado que verifica si los argumentos "/ s / i" se utilizan en la ejecución, para garantizar que no se muestren diálogos al usuario. Comprueba si es ejecutado por "regsrv32.exe" y si su extensión de archivo es ".dll" o ".ocx". También verifica que el año actual en la máquina es 2019, y que tiene derechos de administrador. Si alguna de estas comprobaciones falla, el malware dejará de funcionar sin realizar ninguna acción maliciosa.
El malware PureLocker utiliza una técnica anti-enganche al cargar manualmente otra copia de "ntdll.dll" y resolver las direcciones API manualmente desde allí en un intento de evadir el enganche en modo de usuario de las funciones ntdll. Si bien es un truco conocido, es inusual encontrar una técnica de este tipo en un ransomware, dijeron los investigadores.
El malware encripta los archivos en la máquina de la víctima con la combinación estándar AES + RSA, usando una clave RSA codificada y agregando la extensión ".CR1" a cada archivo encriptado. PureLocker encripta principalmente archivos de datos y elimina de forma segura los archivos originales para evitar la recuperación. Una vez que se completa el cifrado, el malware presenta una nota de rescate que indica a la víctima que se ponga en contacto con el atacante a través del servicio de correo electrónico Proton cifrado, con los atacantes utilizando diferentes direcciones de correo electrónico para cada ataque.
Otra cosa notable es que la cadena "CR1" aparece en las direcciones de correo electrónico del atacante, la extensión de archivo cifrado y la nota de rescate. Los investigadores creen que esta cadena (ya que es RaaS) probablemente sea el identificador de los operadores de estas muestras específicas.
“PureLocker es un ransomware poco ortodoxo. En lugar de tratar de infectar a tantas víctimas como sea posible, fue diseñado para ocultar sus intenciones y funcionalidades a menos que se ejecute de la manera prevista. Este enfoque ha funcionado bien para los atacantes que han logrado usarlo con éxito para ataques dirigidos, mientras permanecen sin ser detectados durante varios meses ”, concluyó el equipo de investigación .
https://www.intezer.com/blog-purelocker-ransomware-being-used-in-targeted-attacks-against-servers/
