febrero 9, 2025

EMPREFINANZAS

ABRIENDO NUEVOS CAMINOS HACIA LA INFORMACION

Hafnium se aprovecha de las vulnerabilidades de Microsoft

Ciudad de México, 19 de marzo de 2021.

«Nuestro análisis de muestras de ransomware DearCry ha descubierto un comportamiento de ataque de cifrado poco común: un enfoque «híbrido». El único otro ransomware que he investigado a lo largo de los años que empleaba un enfoque híbrido era WannaCry, y se trataba de una propagación automática en lugar de un ataque operado por humanos como DearCry. Ambos primero crean una copia cifrada del archivo atacado, un enfoque que llamamos cifrado de «copia», y luego sobrescriben el archivo original para evitar la recuperación, lo que llamamos cifrado «en el lugar». El ransomware de «copia» permite a las víctimas recuperar potencialmente algunos datos. Sin embargo, con el cifrado «en el lugar», la recuperación mediante herramientas es imposible. El ransomware notorio operado por humanos, como Ryuk, REvil, BitPaymer, Maze y Clop solo usa cifrado «en el lugar».

“Hay varias otras similitudes entre DearCry y WannaCry, incluidos los nombres y el encabezado agregado a los archivos cifrados. Estos no vinculan automáticamente a DearCry con el creador de WannaCry. El código, el enfoque y las habilidades de DearCry difieren significativamente de WannaCry; ya que no utiliza un servidor de comando y control, tiene una clave de cifrado RSA incorporada, no muestra una interfaz de usuario con un temporizador y, lo que es más importante, no se propaga a otras máquinas de la red.

“Encontramos una serie de otras características inusuales de DearCry, incluido el hecho de que el operador del ransomware ha estado creando nuevos binarios para nuevas víctimas. La lista de tipos de archivos objetivo también ha evolucionado de víctima a víctima. Nuestro análisis muestra además que el código no viene con el tipo de características anti-detección que normalmente esperarías con ransomware, como empaque u ofuscación. Estos y otros signos sugieren que DearCry puede ser un prototipo, posiblemente puesto en uso para aprovechar la oportunidad que presentan las vulnerabilidades de Microsoft Exchange Server, o creado por desarrolladores menos experimentados.

“Los encargados deben tomar medidas urgentes para instalar los parches de Microsoft para evitar la explotación de su servidor Exchange. Si esto no es posible, el servidor debe ser desconectado de Internet o monitoreado de cerca por un equipo de respuesta a amenazas».– Mark Loman, Director de la oficina de tecnología de ingeniería de Sophos. 

Mario García, mario@another.co