GrandCrab: historia del ransomware de principio a fin

Fue en enero de 2018 cuando se detectaron las primeras muestras de un Ransomware-as-a-Service (RaaS), que llamaron GrandCrab. No solo fue uno de los primeros en ser ofrecido como servicio, sino que también fue en cobrar usando DASH, una de las criptomonedas que se han diseñado pensando en mejorar el anonimato y la privacidad de sus usuarios.

Estas características fueron las que rápidamente hicieron que GrandCrab pasara a ser uno de los ransomware con mayor numero de detecciones en el mundo, logrando en dos meses cerca de 50.000 víctimas y más de 600.000 dolares cobrados en rescates.

Sin embargo, errores en la programación del malware permitían recuperar los datos secuestrados usando una copia de la llave de descifrado que, por error, el desarrollador dejaba en el equipo víctima, con lo que se generó la primera herramienta pública para la recuperación de los datos. Esto no sirvió durante mucho tiempo, pues el equipo de desarrollo de GrandCrab, realizó unas actualizaciones al código e inutilizaron esta herramienta.

Este nivel de gestión por parte de los cibercriminales, significó una especial atención de varias empresas de anti-malware, que empezaron una carrera para detectar todas las variaciones y mecanismos de evasión de anti-malware. De esta manera, se han generado más de 5 versiones del malware hasta la fecha, donde los delincuentes declaran que ya no mantendrán las actualizaciones en el sistema y el FBI hace públicas las llaves maestras de descifrado, ganando esta guerra.

Evolución de las versiones

En la primera versión, los desarrolladores de GrandCrab usaban una única llave de cifrado y varios “exploits kits” para distribuirse. Cuando llegaban a una maquina víctima, se copiaban a si mismos en el folder %appdata%| Microsoft inyectando el comando nslookup.exe para generar una conexión con el C&C en los dominios grandcrab.bit.

Ese dominio, al no ser controlado por la ICANN, entregaba un nivel superior de privacidad al atacante, que en conjunto con su fácil uso, lo convirtió rápidamente en el RaaS preferido en DarkNet, no obstante, su reinado duro solo un par de meses, cuando investigadores descubrieron que copiaba la llave de descifrado en la misma maquina víctima.

Esto generó que, una semana después de publicar la herramienta de descifrado, se lanzara la segunda versión con un nuevo y mejorado algoritmo de cifrado, colocando .CRAB como extensión a los archivos secuestrados.

Pero no fue la única mejora, pues los dominios del C&C fueron modificados y aunque el dominio superior continuaba siendo .bit, estos cambiaban en varias muestras. Además, el método de propagación usado en esta versión fue a través de correos SPAM, aumentando así el numero de víctimas.

Un mes después, se publicó la versión 3 con dos mejoras significativas. La primera generaba una presión sicológica más fuerte a sus víctimas, al cambiar el fondo de escritorio por un mensaje donde le avisaba que su información había sido secuestrada. La segunda mejora, fue colocar una llave en el registry de windows que le permitía auto-ejecutarse y ganar así persistencia en la maquina.

Pero en Julio de 2018, a tan solo 6 meses de su detección inicial, se hizo publica la cuarta versión, que sin duda era la que mejores avances técnicos demostraba, pues incluía uno de los algoritmos de cifrado más eficiente y rápido que se ha desarrollado, llamado Tiny Encryption Algorithm (TEA) y volvio a cambiar su mecanismo de dispersión, usando falsos sistemas de crackeo de software. Así cuando un usuario descargaba un mecanismo para quitar la seguridad de algún software, realmente estaba descargando la nueva versión de este ransomware.

En noviembre se detectó la versión denominada 5.0.4, la cual cambio la forma de propagación, usando campañas de SPAM, ataques de fuerza bruta al servicio de RPD, aprovechando fallos en los sitios web y usando kit de exploits. Además, crea un archivo de instrucciones que la víctima debe seguir para pagar el rescate.

Para celebrar el aniversario, se hizo pública la versión 5.1, que modificaba el procedimiento del pago, pues en el archivo que se creaba se solicitaba instalar el navegador TOR y acceder a una URL especifica, donde se encontraba la billetera a la que se tenia que hacer el pago del rescate. Pero esta versión no duro mucho y a menos de un mes fue actualizado por la versión 5.2.

Versión que mejoraba el proceso de cifrado y que, en el fondo de escritorio, además de colocar su tradicional fondo negro con letras rojas para indicar la ruta del documento donde estaba el proceso, se colocaba un mensaje que decía “Atrápame si puedes”.

La solución encontrada

Tras un año y medio de funcionamiento y más de 1,2 millones de víctimas en todo el mundo, especialmente en América Latina, en junio de 2019 los desarrolladores de GrandCrab publicaron en un foro de DarkNet que difunde RaaS, que ya no iban a continuar con el proyecto y que todas las víctimas tenian dos meses para pagar, sino iban a perder sus archivos para siempre, pues iban a borrar todas las llaves.

Pero el 15 de Julio el FBI hizo publicó que tenía las llaves maestras de descifrado de las versiones 4 y superiores de este malware, a través de un comunicado oficial que indica que las llaves se trabajaron en colaboración con BitDefender y que iban a ser publicadas en el proyecto nomoreransom.org.

Este fue un trabajo en conjunto de más de nueve fuerzas de gobiernos, quienes, como indico el FBI en su comunicado, pusieron a disposición las llaves maestras  en la página web de NoMoreRansom para que cualquier usuario afectado por alguna versión de este ransomware pueda recuperar sus archivos.

Sin embargo, la afectación ya ha sido de mucho tiempo para estas víctimas, por lo que se deben continuar con medidas que permitan salvaguardar información sensible y con los respaldos verificados para poder restaurar en caso de un incidente, sin pagar a los secuestradores.