YourCyanide, nueva y sofisticada variante de ransomware que integra documentos en PasteBin, Discord y Microsoft Office

Especialistas de Trend Micro analizaron un conjunto de muestras de ransomware basado en CMD que parecen tener avanzadas capacidades para el robo de información confidencial, evasión de conexiones de escritorio remoto, y una función para propagarse a través de unidades físicas y correos electrónicos por igual.

Identificado como YourCyanide, este nuevo ransomware integra documentos de PasteBin, Discord y Microsoft para ocultar su carga útil antes de la etapa final de infección, además de emplear otros métodos de ofuscación y explotar las variables en cada entorno comprometido. Si bien el malware sigue en desarrollo y algunas de sus tareas siguen sin funcionar como se espera, los investigadores creen que esta variante podría evolucionar a su forma final dentro de poco.

Proceso de ataque

El diagrama mostrado a continuación describe el proceso de infección que sigue YourCyanide:

FUENTE: Trend Micro

El malware se entrega como un archivo LNK que contiene un script de PowerShell para descargar el ejecutable de 64 bits “YourCyanide.exe” de Discord y ejecutarlo:

FUENTE: Trend Micro

El ejecutable creará y ejecutará un archivo CMD con el nombre de archivo YourCyanide.cmd.

FUENTE: Trend Micro

El archivo YourCyanide.cmd entregado contiene un script descargado de Pastebin que se guarda con el mismo nombre de archivo:

FUENTE: Trend Micro

El ransomware creará una clave de registro para depuración y ejecutará advpack.dll para eliminar la carpeta que contiene el archivo CMD malicioso para eliminar los rastros del descargador de la máquina.

FUENTE: Trend Micro

Una vez completada la infección, los operadores del malware envían mensajes a todos los usuarios de la red comprometida notificándoles sobre el ataque. Junto con este mensaje se envía otra nota en la que los hackers sugieren que los ataques continuarán eventualmente.   

FUENTE: Trend Micro

Enfoque en la evasión

El uso continuo de scripts ofuscados hace muy difícil la tarea de identificar cargas maliciosas de YourCyanide, lo que resulta muy favorable para los actores de amenazas. Aunque esta no es una técnica completamente nueva, la forma en que los operadores de esta variante de malware la utilizan hace mucho más eficaz el proceso de ofuscación.

Además, es altamente probable que los desarrolladores de este malware monitoreen continuamente informes como el elaborado por Trend Micro, recolectando información potencialmente crítica para mejorar el funcionamiento del ransomware. Como se menciona anteriormente, las muestras analizadas son versiones incompletas de YourCyanide, por lo que es difícil decir con certeza qué tan peligrosa será su versión final, así que lo más recomendable para individuos y organizaciones es mantenerse al tanto de potenciales infecciones ataques de ransomware y otras variantes de hacking.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).