Nemucod propaga variantes de ransomware por todo el mundo

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Cada cierto tiempo, algunas campañas de propagación de malware consiguen unos altos niveles de propagación en ciertos países durante varios días. En esos casos, los usuarios se encuentran especialmente vulnerables si no protegen debidamente sus sistemas.

Recientemente hemos visto un ejemplo de este tipo de campañas, concretamente durante la semana pasada, cuando observamos un elevado aumento en las detecciones del troyano Nemucod, una amenaza que normalmente intenta descargar otro tipo de malware desde Internet. Estos niveles de detección fueron muy elevados en algunos paises pero también de forma global, algo que podría indicar que se trataba de una campaña que no tenía como objetivo un país en particular si no que intentaba afectar al mayor número de usuarios posible.

Tienes un email (infectado)

Como otras campañas de propagación de malware que hemos analizado recientemente, los atacantes utilizaron el correo electrónico como principal vector de ataque. Simulando ser una supuesta factura, los delincuentes trataban de engañar a los usuarios para que abrieran el fichero ZIP adjunto.

El remitente del correo es normalmente un usuario afectado previamente por este malware y que envía involuntariamente este tipo de correos de forma indiscriminada al mayor número de usuarios posible para conseguir que este malware se siga propagando.

Mail de propagación de Nemucod

Si abrimos el fichero ZIP adjunto al correo encontramos una diferencia con los otros casos analizados recientemente. En lugar de un fichero EXE, el archivo comprimido contiene un fichero Javascript. Este cambio puede haber sido aplicado por los atacantes para evitar la detección del malware por parte de algunos escaners de email y así poder conseguir un mayor número de víctimas.

unzip_ransomUsando Javascript para descargar el payload

De cualquier forma, un fichero Javascript puede ser ejecutado normalmente por un usuario y es potencialmente tan peligroso como un EXE malicioso. Si analizamos el código del fichero encontramos alguna cosa interesante como que las variables usadas han recibido nombres supuestamente aleatorios. También encontramos dos arrays en el código que podrían ser una forma de ofuscar las IP o direcciones web utilizadas por los delincuentes para propagar este malware.

javascriptDe hecho, encontramos dos dominios que fueron usados para propagar una nueva variante del ransomware Teslacrypt (detectado por las soluciones de ESET como Win32/Filecoder.EM), entre otras amenazas. Uno de estos dominios pertenece a un sitio web alemán que fue comprometido pero el otro tiene una fecha de creación reciente, tal y como podemos observar en la información proporcionada por un whois.

whois_russiaDe hecho, esta web no contenía nada más que una advertencia indicando que se encontraba vacía porque el sitio web aun estaba siendo generado. No podemos afirmar rotundamente que esta web fuera creada para propagar estas amenazas pero la fecha de registro y donde se encuentra ubicado son bastante sospechosos.

domain_russia

Infección por Teslacrypt

Tal y como ya hemos dicho, uno de los malwares descargado desde las webs mencionadas era una variante del ransomware Teslacrypt. En cuanto al código malicioso, este se trataba de un fichero ejecutable usando números como nombre del mismo.

descarga_malwareSi el usuario ejecuta este fichero el ransomware empezará a cifrar varios tipos de archivos como los que contienen imágenes, vídeos o documentos ofimáticos, entre otros. Cuando termina el cifrado se muestra la siguiente pantalla en el navegador:

TeslacryptEsta plantilla ha sido utilizada por otras familias de ransomware e intenta explicar a las víctimas lo sucedido con sus archivos y la necesidad de pagar un rescate si quieren volver a recuperarlos.

Asimismo, también se genera un fichero TXT que muestra unas instrucciones similares a las encontradas en el archivo HTML pero que contiene algunas contradicciones. Por ejemplo, en el fichero HTML se dice que el ransomware utiliza un cifrado RSA-2048, mientras que en el TXT se dice que el cifrado utilizado es RSA-4096.

txt_fileEstas discrepancias pueden ser explicadas por el uso de plantillas de otras familias de ransomware como Cryptowall. Sin embargo, no importa el tipo de cifrado usado puesto que la mayoría de las veces los archivos no pueden ser restaurados a su estado original y el usuario pierde el acceso a su información.

Impacto de Nemucod alrededor del mundo

Esta campaña de propagación de malware ha sido especialmente interesante de analizar puesto que los índices de detección han sido inusualmente elevados. Hemos visto picos de detección de esta amenaza que superaban el 10% a nivel mundial, aunque el impacto ha sido mucho mayor en algunos países específicos. En Europa se han observado niveles de detección por encima del 20% en varios países (23% en España o 30% en Italia, por poner solo un par de ejemplos)

En otras regiones como América vimos un menor índice de detección pero más alto del habitual. (Alrededor del 14% en Argentina y del 15% en EE.UU. y Canadá)

timelineSin embargo, el mayor índice de detección lo obtuvo, con diferencia, Japón. Durante más de dos días las detecciones del malware Nemucod alcanzaron porcentajes por encima del 75% en ese país. Todavía tenemos que investigar porque este índice de detección fue tan elevado en Japón pero ha sido algo que no habíamos visto en mucho tiempo.

nemucod_mapaConclusión

Esta nueva campaña de propagación de malware no ha afectado a tantos usuarios como otras detectadas previamente, al menos por los datos que manejamos y que vienen directamente de nuestros servicios de soporte técnico. Sin embargo, los altos índices de detección de esta amenaza demuestra que, durante algunos días, la cantidad de emails utilizados para propagar esta amenaza tuvo que ser significativamente elevado para alcanzar porcentajes tan elevados.

El hecho de que, aparentemente, el número de usuarios afectados no haya sido tan elevado como en ocasiones anteriores en casos de ransomware pueden ser buenas noticias. Podría significar que los usuarios están empezando a reconocer este tipo de correos como maliciosos y a usar medidas de protección capaces de detectar nuevas amenazas de forma rápida y eficaz.

Sea como sea, aun hay margen para mejorar las medidas de seguridad y evitar así lo problemas creados por una infección de ransomware. Sin duda, una de estas medidas debe ser contar con una copia de seguridad actualizada de nuestros ficheros, de forma que podamos recuperarlos rápidamente si nos vemos afectados por una amenaza de este tipo.

Fuente:http://www.welivesecurity.com/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone