Ya hemos tenido varias consultas de nuestros clientes respecto a estos nuevos ransomware llamados Locky y TeslaCrypt. Locky se esconde detrás de un «inocente» archivo de Office, de ahí la enorme posibilidad de que usted pueda ser infectado. TeslaCrypt utiliza el típico archivo comprimido para intentar convencerle que lo ejecute.
Locky es un Troyano que utiliza una técnica que se pensaba extinguida: el uso de macros maliciosas en documentos de Microsoft Office, algo que se consideraba más que superado desde hace años pero que se ha demostrado estar aún vigente a día de hoy. Una vez el usuario abre el fichero ofimático en forma de archivo de Word o Excel, se le solicita que permita la ejecución de macros para ver su contenido. Si el usuario accede, entonces el malware ejecuta su código malicioso, infecta el sistema y lo incluye dentro de una botnet controlada por los atacantes.
TeslaCrypt por otro lado también aumenta sus ataques y a través de un mensaje de correo que adjunta un archivo comprimido e intenta convencer al usuario indicándole que hay un problema con un pedido, una factura impagada o cualquier otra excusa.
Su objetivo es la obtención de dinero fácil por parte de los delincuentes, lo cual se ha estado incrementando durante los últimos meses. Esta es una nueva variante que ha ido acompañada de una importante campaña de propagación para intentar obtener el mayor número de víctimas posible.Es por ésto que nos hacemos eco de un artículo publicado en el Blog de Ontinet (representante del fabricante ESET en España) y que explica en detalle el funcionamiento de este nuevo ransomware:
Locky: nuevo ransomware con características comunes al troyano bancario Dridex
Propagación por email de un documento malicioso
Una de estas campañas se está produciendo durante esta semana, concretamente desde el martes 16 de febrero, a través de mensajes de correo electrónico en inglés que nos hablan de una supuesta factura. Esta factura viene adjunta al mensaje en forma de un documento de Microsoft Word, tiene como nombre InvoiceXXXXXX.doc (donde XXXXXX es un número aleatorio).
Imagen1 – Ejemplo de correo con adjunto malicioso
Los remitentes pueden ser usuarios de cualquier parte del mundo, por lo que estamos ante una campaña global, aunque, como veremos más adelante, su éxito depende del país o región que analicemos.
Si descargamos el fichero adjunto y lo descomprimimos, observaremos que aparentemente se trata de un inofensivo documento de Microsoft Word, el conocido procesador de textos de la suite de Office.
Imagen 2 – Ejemplo de documento Word malicioso
La trampa se encuentra dentro de ese documento, puesto que los delincuentes utilizan macros maliciosas para descargar y ejecutar el ransomware. Estas macros vienen desactivadas por defecto como medida de seguridad, y es que esta técnica de ejecución de malware es algo que viene existiendo desde hace casi 20 años.
Locky en acción
Si hemos sido lo suficientemente desprevenidos para descargar este documento, abrirlo y permitir la ejecución de macros, nos encontraremos con que, al cabo de unos minutos, gran parte de los ficheros de nuestro sistema estarán cifrados y aparecerá una imagen como la que vemos a continuación sustituyendo nuestro fondo de pantalla:
Imagen 3 – Fondo de pantalla avisando del secuestro de nuestros ficheros
Si nos fijamos, este tipo de instrucciones es muy similar a variantes anteriores de ransomware. En esta pantalla se nos proporcionan varios enlaces donde se explica el tipo de cifrado usado, una dirección desde donde poder recibir la clave privada correspondiente a los ficheros cifrados en nuestro sistema, e instrucciones para descargar Tor y acceder a un sitio en esta red desde donde proceder a pagar el rescate.
En este punto, los ficheros que no sean esenciales para el funcionamiento del sistema ya estarán cifrados. Los tipos de ficheros que busca Locky en nuestro sistema van desde las imágenes a los documentos y abarcan prácticamente cualquier archivo que pueda tener un mínimo valor para el usuario. Sin embargo, se cuida mucho de no cifrar aquellos archivos que resulten esenciales para el funcionamiento del sistema, de forma que la víctima pueda seguir las instrucciones.
Además, Locky no se centra únicamente en cifrar los ficheros del sistema que infecta, sino que también buscará unidades de red, aunque estas no se encuentren mapaeadas, para proceder a cifrarlas. Esta técnica se está volviendo cada vez más común, por lo que los administradores de sistemas de pequeñas y grandes empresas harían bien en revisar a qué usuarios conceden permisos de acceso a los recursos compartidos de red y bloquear lo antes posible a aquellos que ejecuten comandos de cifrados desde su sistema.
Otra característica que dificulta la recuperación de los datos es la eliminación de las Shadow Copies en el sistema. Si bien esta técnica se viene realizando desde hace tiempo, no deja de ser un problema no poder contar con las copias de seguridad generadas de forma automática por Windows.
Por último, en cada una de las carpetas donde se haya cifrado al menos un fichero, el ransomware deja un fichero de texto con instrucciones para recuperar la información, instrucciones que dirigen a la víctima a la siguiente página web para que realice el pago del rescate.
Imagen 4 – Instrucciones para proceder al pago del rescate
Propagación de Locky a nivel mundial
Como hemos indicado anteriormente, nos encontramos ante una campaña de propagación que está afectando notablemente a varios países de todo el mundo. Los países en los que se han detectado el mayor número de muestras coinciden con algunas de las zonas más desarrolladas y encontramos, por ejemplo, a Canadá, Estados Unidos, Nueva Zelanda, Australia, Japón o buena parte de la Unión Europea.
Imagen 5 – Niveles de propagación de Locky en el mundo
En lo que respecta a España, el documento de Word con las macros maliciosas que descarga el ransomware (detectado por las soluciones de ESET como VBA/TrojanDownloader.Agent.ASL) ha obtenido elevados ratios de detección tanto el miércoles 17 como el jueves 18 de febrero. Nuestra previsión es que permanezca unos días más en el puesto número 1 de las amenazas más detectadas, por lo que recomendamos tomar medidas de protección para evitar vernos afectados.
Imagen 6 – Porcentaje de detección de Locky en España
Conexiones con otras familias de malware
Debido al diseño de este ransomware y su similitud con otras variantes avanzadas, se ha especulado mucho sobre quién podría estar detrás de esta campaña de propagación. Algunos expertos apuntan a que detrás de Locky podría estar la misma organización criminal que tanto daño ha causado con el troyano bancario Dridex.
Si bien es cierto que utiliza uno de los métodos de propagación que tan buenos resultados le ha dado a los creadores de Dridex, también hay que decir que hay muchas otras familias de malware que utilizan documentos de Microsoft Office con macros maliciosas para infectar a sus víctimas.
Además, algunos investigadores han descubierto que Locky también se está propagando usando los mismos identificadores que utiliza el kit de exploits Neutrino para propagar amenazas como Necurs. Por si fuera poco, en ambos casos los rescates apuntan a la misma cartera de Bitcoin y parece que utilizan la misma infraestructura.
Estas coincidencias pueden significar que ambas amenazas están siendo gestionadas y manejadas por el mismo grupo de delincuentes o que se está utilizando una distribución por medio de afiliados, algo bastante más probable viendo ejemplos recientes.
TESLACRYPT.
El email, de nuevo el principal vector de ataque
A pesar de que existen métodos automatizados que permiten infectar a usuarios con sistemas y aplicaciones vulnerables mediante kits de exploits, parece que los delincuentes que se encuentran detrás de esta campaña han confiado de nuevo en el correo electrónico como método principal de propagación.
De esta forma, y con un mensaje en inglés que lleva días inundando las bandejas de entrada de usuarios de todo el mundo, los delincuentes intentan convencer al usuario para que abra el fichero. Para conseguirlo, se intenta convencer al usuario indicándole que hay un problema con un pedido, una factura impagada o cualquier otra excusa.
Obviamente, el objetivo final es que se descomprima y ejecute el fichero adjunto, fichero que contiene un archivo Javascript y que las soluciones de ESET detectan como JS/TrojanDownloader.Nemucod. Este malware actúa en realidad como pasarela a otros códigos maliciosos, puesto que, una vez comprometido el sistema, puede descargar lo que le apetezca a los delincuentes, siendo en este caso variantes de los ransomware TeslaCrypt y Locky.
El resultado final es bien conocido por todos. El ransomware descargado por Nemucod comenzará a cifrar los archivos existentes en el sistema, eliminará los originales y cambiará el fondo de pantalla con instrucciones para pagar el rescate solicitado por los criminales.
Propagación de esta oleada de malware en el mundo
Cada vez que se observa que una variante de ransomware está infectando a una cantidad importante de usuarios, se intenta acotar su propagación y comprobar si es una campaña dirigida a un país en concreto, como la infame campaña que suplantó a Correos España durante varios meses.
En este caso, observamos que, desde la primera detección de Locky a mediados de febrero, la tasa de detecciones no ha dejado de crecer en las sucesivas oleadas de propagación de ransomware que se han producido desde entonces. En la actualidad se están observando picos de detección por encima del 40 % de las muestras enviadas a nuestros laboratorios por parte de los usuarios gracias al sistema Live Grid, integrado en las soluciones de seguridad de ESET.
A nivel mundial, observamos una propagación similar por países afectados en anteriores campañas de ransomware, siendo la región de Europa, Norteamérica, Australia y, especialmente, Japón, los países que más detecciones han tenido hasta el momento.
En lo que respecta a España, como ya hemos dicho, las detecciones de Nemucod, el malware encargado de descargar estas variantes de ransomware, ya han superado el 40 % del total de muestras detectadas. Es posible que esta cifra aumente, puesto que nos encontramos en los días en que se produce el pico de propagación, por lo que conviene extremar las precauciones.
Es importante recordar que estos porcentajes corresponden al número de detecciones realizadas por las soluciones de ESET instaladas en los ordenadores de los usuarios. Esto significa que el antivirus ha conseguido detectar la amenaza y, en la mayoría de ocasiones, bloquearla antes de que esta consiga infectar el sistema.
Precisamente para favorecer este tipo de detecciones tempranas, cada vez que aparece una amenaza especialmente peligrosa, recomendamos a los usuarios de ESET activar el sistema Live Grid. De esta forma, colaboran a que las detecciones se hagan más rápidamente y se protegen de forma más efectiva frente a ellas.
Recomendaciones
Tal y como venimos comentando cada vez que analizamos un caso de ransomware, especialmente si su propagación es bastante elevada (como es el caso), resulta vital tomar las medidas de prevención adecuadas. Las copias de seguridad han de estar al día y desconectadas de la red una vez finalizadas para evitar que este ransomware también las cifre. De esta forma se podrá restaurar la información afectada sin mayores pérdidas que el tiempo que tardemos en realizar esta operación.
Una vez más hacemos incapié en las Copias de Seguridad Externas como una vía segura y fiable de garantizar que sus datos (en caso de ser atacados) puedan ser recuperados en un 100%. Las Soluciones de Backup de PCNOVA le permiten disponer de una solución segura y económica para realizar copias de seguridad remotas y locales de los datos y gestionarlos a través de nuestra plataforma online. Además de ello, como Partner de ESET quedamos a su disposición para recomendar éste y cualquier otro producto relacionado con la seguridad de equipos e infraestructuras. Búsquenos a través de nuestro FORMULARIO DE CONTACTO, llámenos al 935.185.818 o visítenos en nuestro portal para conocer de ésta y otras promociones http://www.pcnova.es,
Ricardo González Darkin
Experto en Tecnología para la Pequeña y Mediana Empresa
Proveedor de Servicios Informáticos Profesionales para emprendedores, Profesionales y Micro Empresas. Servicios Gestionados para Windows, OSX y Linux (Asistencia Remota – Monitorización – Backup – Seguridad), Servicios en la nube (Office 365 – Windows Intune- Windows Azure ), Movilidad (Windows Phone). Servicio Técnico y mantenimiento Informático Equipos (Windows-Mac), Comunicaciones (Internet-Telefonía IP), Consultoría LOPD, Hardware y Software especializado (ClassicGes – PRIMAVERA Software)
FUENTE: Locky: nuevo ransomware con características comunes al troyano bancario Dridex – blog.protegerse.com – ONTINET