Ransom32, primer Ransomware escrito en Javascript

CSIRT Panamá Aviso 2016-01- Ransom32 primer Ransomware escrito en Javascript
Gravedad: ALTA
Fecha de publicación: Enero 04, 2016
Fecha de modificación: Enero 05, 2016
Última revisión: Revisión A.
Fuente: Emsisoft Blog

I. Sistemas Afectados
Todos los sistemas operativos (Windows, GNU/Linux, MacOS) que permitan la ejecución de código Javascript.

II. Descripción

“Ransom32” es un Ransomware escrito en Javascript, lo que en teoría permitiría ejecutarse en Linux y MacOS X aparte del tradicional entorno Windows. Éste código malicioso que fue reportado por primera vez el 29 de diciembre de 2015 utiliza NW.js, una combinación de Node.js y Node-Webkit, que permite a Javascript tener acceso al sistema operativo y realizar modificaciones en el mismo, a diferencia de otras implementaciones de Webkits las cuales previenen la utilización de funciones del sistema operativo; NW.js no posee estas limitantes.
Hasta el momento sólo se ha visto enfocado hacia el ambiente Windows, sin embargo por la naturaleza de “Ransom32” es probable que realicen los ajustes necesarios para que pueda ser ejecutado en entornos *nix como Linux y MacOS X.
Una clara diferencia entre éste Ransomware es que pesa 22 MB, cuando otros Ransomware no exceden de 1 MB en tamaño. Ransom32 viene en un archivo RAR, con una serie de ejecutables, scripts de Visual Basic y archivos dll que se desempaqueta automáticamente en el directorio de archivos temporales, ejecuta chrome.exe (contenido en el archivo infectado), establece conexiones vía TOR con un servidor de Comando y Control, desplegando finalmente en pantalla una nota solicitando Bitcoins a cambio de revertir el cifrado en los archivos personales.

III. Impacto
Vector de acceso: Remoto, mediante ejecución de Javascript en la máquina víctima.
Complejidad de Acceso: Media
Autenticación: Se requieren permisos de ejecución de programas.
Tipo de impacto: Compromiso parcial o total de la integridad de los datos personales del usuario.

IV. Detección
Es posible detectar y eliminar variantes de programas de rescate (Ransomware) mediante escaneos frecuentes con herramientas anti-virus y anti-malware actualizadas. Una buena implementación de políticas de filtrado de correo y cortafuegos permiten el descarte de fuentes maliciosas a las que el usuario puede acceder para la descarga e instalación involuntaria del programa de rescate (ransomware).

¿Cómo se reconoce?
Un método común para infectar a usuarios con un programa de rescate (Ransomware) es mediante correos electrónicos. Se debe sospechar de fuentes desconocidas y correos en otros idiomas. Sin embargo es posible que el correo provenga de algún contacto conocido, se debe confirmar por otra vía (sin responder al correo sospechoso) sobre el envío del adjunto. Algunos correos viene con el asunto fax.
Para el caso de Ransom32 la pantalla que se despliega en la máquina infectada es la presentada en la Figura 1.

imagen-ran23

Figura 1. Pantalla de infección por Ransom32.

V. Mitigación

Generalmente los Ransomware utilizan mecanismos de cifrado no reversibles. La mayoría de las veces no existen mecanismos para descifrar los archivos sin la clave que está en poder de los atacantes. Las siguientes recomendaciones buscan brindar al lector opciones para evitar ser víctimas de éste tipo de código malicioso.

  • Evitar abrir archivos adjuntos o enlaces de Internet de procedencia sospechosa o desconocida. También pueden ocurrir casos donde se reciben correos maliciosos de contactos conocidos (donde ocurre una falsificación de identidad), por lo que se recomienda confirmar con la fuente si en verdad envió el adjunto, esto se debe realizar en persona/teléfono o en un correo aparte del recibido, ya que al responder un correo malicioso con identidad falsificada la respuesta se redirigiría al atacante y no al verdadero usuario del correo.
  • Evitar abrir enlaces sospechosos en Internet. Antes de hacer click en un enlace se puede revisar hacia dónde redirige solamente colocando el mouse sobre el enlace sin hacer click y se mostrará en pantalla o en la parte inferior el verdadero enlace de la página.
    Realizar respaldos frecuentes y almacenarlos en discos duros sin acceso a Internet o a la red, ya que al infectar una máquina con acceso a un servidor se pueden cifrar también archivos del servidor.
  • Activar Shadow Volume Copies con la funcionalidad Restaurar Sistema de Windows en las máquinas importantes.
    Actualizar herramientas anti-virus y anti-malware, y correr escaneos de forma regular.
  • Implementar políticas de filtrado de correo por el tipo de extensión de los archivos adjuntos. Se deben bloquear todos los adjuntos con extensiones .exe y .scr. Algunas variantes también pueden venir en archivos de extensión .cab.
  • Monitoreo constante de la actividad de conexión de los equipos en red para detectar algún comportamiento o tráfico inusual.
  • Todo el personal funcionario de la institución que utilice computadora personal, laptop, celular, tableta y/o cualquier dispositivo que le permita tener acceso al servicio de correo e Internet debe estar informado y capacitado en las campañas de concienciación sobre las infecciones de código malicioso, los correos sospechosos, correos fraudulentos, enlaces acortados y temas relacionados, para evitar que mediante ingeniería social y falsificación de identidad sean víctimas de un ataque por correo electrónico.

VI. Referencia a soluciones, herramientas e información

  • http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/
  • https://securityaffairs.co/wordpress/43250/cyber-crime/ransom32-crypto-ransomware.html
  • http://www.bleepingcomputer.com/news/security/ransom32-is-the-first-ransomware-written-in-javascript/
  • https://thehackernews.com/2016/01/javascript-ransomware-malware.html

V. Información de contacto

CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la
Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: http://www.cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124