Nemucod propaga variantes de ransomware por todo el mundo

Cada cierto tiempo, algunas campa√Īas de propagaci√≥n de malware consiguen unos altos niveles de propagaci√≥n en ciertos pa√≠ses durante varios d√≠as. En esos casos, los usuarios se encuentran especialmente vulnerables si no protegen debidamente sus sistemas.

Recientemente hemos visto un ejemplo de este tipo de campa√Īas, concretamente durante la semana pasada, cuando observamos un elevado aumento en las detecciones del troyano Nemucod, una amenaza que normalmente intenta descargar otro tipo de malware desde Internet. Estos niveles de detecci√≥n fueron muy elevados en algunos paises pero tambi√©n de forma global, algo que podr√≠a indicar que se trataba de una campa√Īa que no ten√≠a como objetivo un pa√≠s en particular si no que intentaba afectar al mayor n√ļmero de usuarios posible.

Tienes un email (infectado)

Como otras campa√Īas de propagaci√≥n de malware que hemos analizado recientemente, los atacantes utilizaron el correo electr√≥nico como principal vector de ataque. Simulando ser una supuesta factura, los delincuentes trataban de enga√Īar a los usuarios para que abrieran el fichero ZIP adjunto.

El remitente del correo es normalmente un usuario afectado previamente por este malware y que env√≠a involuntariamente este tipo de correos de forma indiscriminada al mayor n√ļmero de usuarios posible para conseguir que este malware se siga propagando.

Mail de propagación de Nemucod

Si abrimos el fichero ZIP adjunto al correo encontramos una diferencia con los otros casos analizados recientemente. En lugar de un fichero EXE, el archivo comprimido contiene un fichero Javascript. Este cambio puede haber sido aplicado por los atacantes para evitar la detecci√≥n del malware por parte de algunos escaners de email y as√≠ poder conseguir un mayor n√ļmero de v√≠ctimas.

unzip_ransomUsando Javascript para descargar el payload

De cualquier forma, un fichero Javascript puede ser ejecutado normalmente por un usuario y es potencialmente tan peligroso como un EXE malicioso. Si analizamos el código del fichero encontramos alguna cosa interesante como que las variables usadas han recibido nombres supuestamente aleatorios. También encontramos dos arrays en el código que podrían ser una forma de ofuscar las IP o direcciones web utilizadas por los delincuentes para propagar este malware.

javascriptDe hecho, encontramos dos dominios que fueron usados para propagar una nueva variante del ransomware Teslacrypt (detectado por las soluciones de ESET como Win32/Filecoder.EM), entre otras amenazas. Uno de estos dominios pertenece a un sitio web alemán que fue comprometido pero el otro tiene una fecha de creación reciente, tal y como podemos observar en la información proporcionada por un whois.

whois_russiaDe hecho, esta web no contenía nada más que una advertencia indicando que se encontraba vacía porque el sitio web aun estaba siendo generado. No podemos afirmar rotundamente que esta web fuera creada para propagar estas amenazas pero la fecha de registro y donde se encuentra ubicado son bastante sospechosos.

domain_russia

Infección por Teslacrypt

Tal y como ya hemos dicho, uno de los malwares descargado desde las webs mencionadas era una variante del ransomware Teslacrypt. En cuanto al c√≥digo malicioso, este se trataba de un fichero ejecutable usando n√ļmeros como nombre del mismo.

descarga_malwareSi el usuario ejecuta este fichero el ransomware empezará a cifrar varios tipos de archivos como los que contienen imágenes, vídeos o documentos ofimáticos, entre otros. Cuando termina el cifrado se muestra la siguiente pantalla en el navegador:

TeslacryptEsta plantilla ha sido utilizada por otras familias de ransomware e intenta explicar a las víctimas lo sucedido con sus archivos y la necesidad de pagar un rescate si quieren volver a recuperarlos.

Asimismo, también se genera un fichero TXT que muestra unas instrucciones similares a las encontradas en el archivo HTML pero que contiene algunas contradicciones. Por ejemplo, en el fichero HTML se dice que el ransomware utiliza un cifrado RSA-2048, mientras que en el TXT se dice que el cifrado utilizado es RSA-4096.

txt_fileEstas discrepancias pueden ser explicadas por el uso de plantillas de otras familias de ransomware como Cryptowall. Sin embargo, no importa el tipo de cifrado usado puesto que la mayoría de las veces los archivos no pueden ser restaurados a su estado original y el usuario pierde el acceso a su información.

Impacto de Nemucod alrededor del mundo

Esta campa√Īa de propagaci√≥n de malware ha sido especialmente interesante de analizar puesto que los √≠ndices de detecci√≥n han sido inusualmente elevados. Hemos visto picos de detecci√≥n de esta amenaza que superaban el 10% a nivel mundial, aunque el impacto ha sido mucho mayor en algunos pa√≠ses espec√≠ficos. En Europa se han observado niveles de detecci√≥n por encima del 20% en varios pa√≠ses (23% en Espa√Īa o 30% en Italia, por poner solo un par de ejemplos)

En otras regiones como América vimos un menor índice de detección pero más alto del habitual. (Alrededor del 14% en Argentina y del 15% en EE.UU. y Canadá)

timelineSin embargo, el mayor índice de detección lo obtuvo, con diferencia, Japón. Durante más de dos días las detecciones del malware Nemucod alcanzaron porcentajes por encima del 75% en ese país. Todavía tenemos que investigar porque este índice de detección fue tan elevado en Japón pero ha sido algo que no habíamos visto en mucho tiempo.

nemucod_mapaConclusión

Esta nueva campa√Īa de propagaci√≥n de malware no ha afectado a tantos usuarios como otras detectadas previamente, al menos por los datos que manejamos y que vienen directamente de nuestros servicios de soporte t√©cnico. Sin embargo, los altos √≠ndices de detecci√≥n de esta amenaza demuestra que, durante algunos d√≠as, la cantidad de emails utilizados para propagar esta amenaza tuvo que ser significativamente elevado para alcanzar porcentajes tan elevados.

El hecho de que, aparentemente, el n√ļmero de usuarios afectados no haya sido tan elevado como en ocasiones anteriores en casos de ransomware pueden ser buenas noticias. Podr√≠a significar que los usuarios est√°n empezando a reconocer este tipo de correos como maliciosos y a usar medidas de protecci√≥n capaces de detectar nuevas amenazas de forma r√°pida y eficaz.

Sea como sea, aun hay margen para mejorar las medidas de seguridad y evitar así lo problemas creados por una infección de ransomware. Sin duda, una de estas medidas debe ser contar con una copia de seguridad actualizada de nuestros ficheros, de forma que podamos recuperarlos rápidamente si nos vemos afectados por una amenaza de este tipo.

Fuente:http://www.welivesecurity.com/