GandCrab: historia del ransomware de principio a finDiego Samuel Espitia 25 julio, 2019 Fue en enero de 2018 cuando se detectaron las primeras muestras de un Ransomware-as-a-Service (RaaS), que llamaron GrandCrab. No solo fue uno de los primeros en ser ofrecido como servicio, sino que también fue en cobrar usando DASH, una de las criptomonedas que se han diseñado pensando en mejorar el anonimato y la privacidad de sus usuarios. Estas características fueron las que rápidamente hicieron que GandCrab pasara a ser uno de los ransomware con mayor numero de detecciones en el mundo, logrando en dos meses cerca de 50.000 víctimas y más de 600.000 dolares cobrados en rescates. Sin embargo, errores en la programación del malware permitían recuperar los datos secuestrados usando una copia de la llave de descifrado que, por error, el desarrollador dejaba en el equipo víctima, con lo que se generó la primera herramienta pública para la recuperación de los datos. Esto no sirvió durante mucho tiempo, pues el equipo de desarrollo de GandCrab, realizó unas actualizaciones al código e inutilizaron esta herramienta. Este nivel de gestión por parte de los cibercriminales, significó una especial atención de varias empresas de anti-malware, que empezaron una carrera para detectar todas las variaciones y mecanismos de evasión de anti-malware. De esta manera, se han generado más de 5 versiones del malware hasta la fecha, donde los delincuentes declaran que ya no mantendrán las actualizaciones en el sistema y el FBI hace públicas las llaves maestras de descifrado, ganando esta guerra. Evolución de las versiones En la primera versión, los desarrolladores de GandCrab usaban una única llave de cifrado y varios “exploits kits” para distribuirse. Cuando llegaban a una maquina víctima, se copiaban a si mismos en el folder %appdata%| Microsoft inyectando el comando nslookup.exe para generar una conexión con el C&C en los dominios gandcrab.bit. Ese dominio, al no ser controlado por la ICANN, entregaba un nivel superior de privacidad al atacante, que en conjunto con su fácil uso, lo convirtió rápidamente en el RaaS preferido en DarkNet, no obstante, su reinado duro solo un par de meses, cuando investigadores descubrieron que copiaba la llave de descifrado en la misma maquina víctima. Esto generó que, una semana después de publicar la herramienta de descifrado, se lanzara la segunda versión con un nuevo y mejorado algoritmo de cifrado, colocando .CRAB como extensión a los archivos secuestrados. Pero no fue la única mejora, pues los dominios del C&C fueron modificados y aunque el dominio superior continuaba siendo .bit, estos cambiaban en varias muestras. Además, el método de propagación usado en esta versión fue a través de correos SPAM, aumentando así el numero de víctimas. Un mes después, se publicó la versión 3 con dos mejoras significativas. La primera generaba una presión sicológica más fuerte a sus víctimas, al cambiar el fondo de escritorio por un mensaje donde le avisaba que su información había sido secuestrada. La segunda mejora, fue colocar una llave en el registry de windows que le permitía auto-ejecutarse y ganar así persistencia en la maquina. Pero en Julio de 2018, a tan solo 6 meses de su detección inicial, se hizo publica la cuarta versión, que sin duda era la que mejores avances técnicos demostraba, pues incluía uno de los algoritmos de cifrado más eficiente y rápido que se ha desarrollado, llamado Tiny Encryption Algorithm (TEA) y volvio a cambiar su mecanismo de dispersión, usando falsos sistemas de crackeo de software. Así cuando un usuario descargaba un mecanismo para quitar la seguridad de algún software, realmente estaba descargando la nueva versión de este ransomware. En noviembre se detectó la versión denominada 5.0.4, la cual cambio la forma de propagación, usando campañas de SPAM, ataques de fuerza bruta al servicio de RPD, aprovechando fallos en los sitios web y usando kit de exploits. Además, crea un archivo de instrucciones que la víctima debe seguir para pagar el rescate. Para celebrar el aniversario, se hizo pública la versión 5.1, que modificaba el procedimiento del pago, pues en el archivo que se creaba se solicitaba instalar el navegador TOR y acceder a una URL especifica, donde se encontraba la billetera a la que se tenia que hacer el pago del rescate. Pero esta versión no duro mucho y a menos de un mes fue actualizado por la versión 5.2. Versión que mejoraba el proceso de cifrado y que, en el fondo de escritorio, además de colocar su tradicional fondo negro con letras rojas para indicar la ruta del documento donde estaba el proceso, se colocaba un mensaje que decía “Atrápame si puedes”. La solución encontrada Tras un año y medio de funcionamiento y más de 1,2 millones de víctimas en todo el mundo, especialmente en América Latina, en junio de 2019 los desarrolladores de GandCrab publicaron en un foro de DarkNet que difunde RaaS, que ya no iban a continuar con el proyecto y que todas las víctimas tenian dos meses para pagar, sino iban a perder sus archivos para siempre, pues iban a borrar todas las llaves. Pero el 15 de Julio el FBI hizo publicó que tenía las llaves maestras de descifrado de las versiones 4 y superiores de este malware, a través de un comunicado oficial que indica que las llaves se trabajaron en colaboración con BitDefender y que iban a ser publicadas en el proyecto nomoreransom.org. Este fue un trabajo en conjunto de más de nueve fuerzas de gobiernos, quienes, como indico el FBI en su comunicado, pusieron a disposición las llaves maestras en la página web de NoMoreRansom para que cualquier usuario afectado por alguna versión de este ransomware pueda recuperar sus archivos. Sin embargo, la afectación ya ha sido de mucho tiempo para estas víctimas, por lo que se deben continuar con medidas que permitan salvaguardar información sensible y con los respaldos verificados para poder restaurar en caso de un incidente, sin pagar a los secuestradores. Yamila Levalle y su equipo de #MujeresHacker, ganadoras del CTF “CyberWomen Challenge Argentina 2019”Descubriendo APTualizador: el APT que parchea Windows
Roberto García Esteban ChatGPT y Cloud Computing: un matrimonio bien avenido ChatGPT (quizá no sepas que son las siglas de Chat Generative Pre-Trained Transformer) está en boca de todos por su impresionante habilidad para generar textos que parecen escritos por...
David Prieto Marqués La importancia del control de acceso: ¿está tu empresa protegida? Por David Prieto y Rodrigo Rojas En un mundo cada vez más digitalizado y complejo, la seguridad de la información es fundamental para las empresas. A medida que las empresas...
Telefónica Tech Boletín semanal de Ciberseguridad, 22 – 26 de mayo GitLab parchea una vulnerabilidad crítica GitLab ha abordado una vulnerabilidad crítica que afecta a GitLab Community Edition (CE) y Enterprise Edition (EE) en la versión 16.0.0. En concreto, dicho fallo...
David García ¿Salvará Rust el mundo? (II) Segunda entrega en la que descubrimos cómo Rust, el lenguaje de programación de código abierto centrado en la seguridad, mejora el panorama en cuanto a vulnerabilidades basadas en errores...
Sergio de los Santos Cuatro hitos en Ciberseguridad que marcaron el futuro del malware Un recorrido por los 15 años que ha dedicado Microsoft para consolidar una estrategia que ha repercutido en la Ciberseguridad a nivel global
Telefónica Tech Boletín semanal de Ciberseguridad, 15 – 19 de mayo Vulnerabilidades en plataformas cloud El equipo de investigadores de Otorio descubrió 11 vulnerabilidades que afectan a diferentes proveedores de plataformas de administración de cloud. En concreto, se tratan de Sierra...
El artículo está muy bien pero está escrito «GrandCrab» y en realidad se escribe «GandCrab» Responder