Las campañas de ransomware son usualmente asunto de gran alcance: los atacantes envían la mayor cantidad de emails posibles esperando impactar a la mayoría de los objetivos. Pero la mayoría de las campañas se han convertido también en una tendencia.

Identificando diferentes objetivos

Tomemos como ejemplo el caso más reciente mostrado por los investigadores de Proofpoint en agosto: uno afectó principalmente los campos de la educación y salud, mientras que el otro tenía como objetivo las compañías manufactureras y tecnológicas.

En ambos casos, las campañas tenían como objetivo empresas del Reino Unido y los Estados Unidos, y consistía en una pequeña cantidad de correos electrónicos, realizados para atraer a sus víctimas a través de un archivo Word que contenía un ejecutable incrustado.

Las organizaciones de salud fueron afectadas con el archivo llamado “patient_report”, enviado supuestamente por el director de Gestión de la Información y Tecnología del hospital del Reino Unido, mientras los emails que tenían como objetivo los giros de Manufactura y Tecnología, mostraba el siguiente título “Order/Quote” y “presentation” como nombre del archivo Word.

Abriendo el archivo y dando doble clic en el ejecutable, este ejecutaba el ransomware en el sistema objetivo.

Ransomware Defray

En la nota del ransomware, el malware no proporcionaba ningún nombre. Los investigadores de Proofpoint lo llamaron Defra, basados en el nombre del host que contenía el C&C.

Como los atacantes mencionan, Defray “usa archivos cifrados con AES-256, RSA-2048 para almacenar el cifrado, AES-256 para la contraseña y SHA-2 para mantener el archivo cifrado y la integridad del mismo”.

Los investigadores se encuentran aún buscando las especificaciones que contienen la rutina de cifrado, pero aparentemente el malware cifra de forma efectiva una gran cantidad de tipos de archivos, pero sin necesidad de agregar extensiones específicas.

“Después de que el cifrado está completo, Defray puede causar más destrucción de forma general en el sistema, deshabilitando la recuperación de inicio y borrando las copias contenidas en volumen shadow”, comentaron.

Ransomware costoso

Los atacantes piden una gran cantidad de dinero por la restauración de los archivos cifrados: $5,000 dólares. Ellos también han provisto direcciones email de contacto y una cuenta de BitMessage para que las víctimas pudieran contactarlos y realizar preguntas o inclusive negociar.

Es importante remarcar que la campaña contra los objetivos de salud fue lanzada el 22 de agosto y el NHS Lanarkshire (empresa escocesa que tiene a cargo una gran cantidad de hospitales en Monklands, Wishaw General y Hairmyres), tenía sus operaciones parcialmente pausadas por el “ciber ataque” que inició el 25 de agosto.

Toda la información que se tiene hasta ahora es que la interrupción es generada por el malware, pero no se sabe cuál de ellos.

Los investigadores notaron que Defray probablemente no se encuentre a la venta, lo cual significa que tiene un uso personal para actores de amenaza específicos, dando como resultado que puedan ocurrir campañas de este tipo en el futuro.

Artículos relacionados:

• Tendencias de seguridad 2017, ¿estás preparado?
• Wannacry: Ataque mundial y consideraciones sobre ciberseguridad
• PoC: captura de malware con el honeypot dionaea - parte I