Utilizan Google Drive para distribuir el ransomware CryptoWall 3.0

Share this…

CryptoWall es uno de los ransomware más pioneros y peligrosos. Cuando este malware se ejecuta en el ordenador de sus víctimas automáticamente empieza a cifrar todos los datos del disco duro con un algoritmo RSA de 2048 bits. Una vez se completa el cifrado se establece una conexión a través de la red Tor para pedir un pago o “rescate” por los datos, o de lo contrario se perderán para siempre.

Recientemente se ha descubierto una nueva campaña de distribución de ransomware que aprovecha una vulnerabilidad en Google Drive para distribuir a través de la nube de Google una versión renovada del temido ransomware CryptoWall 3.0.

La vulnerabilidad en cuestión permite al pirata informático enviar una pequeña descarga inofensiva del ransomware de manera que el usuario no sospeche de ella. Mientras esta descarga tiene lugar se accede a un fichero de servidores desde donde se empieza a descargar también esta versión de CryptoWall

El exploit genera un archivo de direcciones de Google Drive que cuando el usuario accede a ellas se encuentra con un fichero comprimido llamado “resume.zip” y que en su interior hay un script “my_resume_pdf_id-4535-4553-293.scr”. Google Drive ejecuta este script por error y conecta con una serie de servidores desde donde comienza la descarga y ejecución del malware en el sistema de la víctima.

El proceso de infección puede resumirse en 3 pasos:

  • Lo primero es asentarse en el sistema con la función ShimCacheMutex.
  • A continuación el malware se inyecta y oculta dentro del proceso dwwin.exe.
  • Una vez en el proceso anterior CryptoWall empieza el cifrado de archivos.
  • Una vez finaliza el proceso de cifrado conecta con la red Tor y pide al usuario el pago del rescate por recuperar sus datos.
Utilizan Google Drive para distribuir el ransomware CryptoWall 3.0
Utilizan Google Drive para distribuir el ransomware CryptoWall 3.0

El exploit para explotar esta vulnerabilidad se distribuye a través del kit RIG. Este kit de exploits ha ganado una especial fama en los últimos meses principalmente por su reducido precio de alquiler (150 dólares a la semana) que si se compara con otros kits como Neutrino es un 75% más económico e igual de peligroso.

Los antivirus son ineficaces con esta nueva versión ya que, además de que este método de distribución pasa desapercibido para las herramientas de seguridad, el malware también ha sido programado para evadir las diferentes técnicas de seguridad y CryptoWall no es detectado hasta su fase final, aunque para entonces ya es demasiado tarde. Esta nueva versión es polimórfica y cuenta con una infraestructura avanzada y extensa que pueden evadir la detección de los sistemas de seguridad.

La mejor (y única) forma de protegerse de CryptoWall y de otro ransomware similar es por nosotros mismos. Debemos tener cuidado con los enlaces a los que accedemos, aunque sea de sitios web fiables, y evitar siempre abrir enlaces de personas desconocidas que vengan adjuntos en el correo electrónico.

Fuente:https://www.redeszone.net/