Llegamos a ustedes gracias a:



Alertas de Seguridad

LockFile utiliza el cifrado intermitente

Para evadir la detección

[31/08/2021] Una nueva amenaza de ransomware llamada LockFile ha estado victimizando a empresas de todo el mundo desde julio. La clave de su éxito son algunos trucos nuevos que dificultan su detección por parte de las soluciones antiransomware.

La amenaza utiliza lo que los investigadores del proveedor de antivirus Sophos llaman "cifrado intermitente", es decir, solo cifra trozos de datos dentro de un archivo en lugar de su contenido completo. Esto acelera el proceso de cifrado, o mejor dicho, de corrupción de datos, de forma significativa, pero también engaña a los sistemas de protección contra ransomware que se basan en el análisis estadístico para detectar el cifrado de archivos potencialmente no autorizados.

LockFile se ha construido pensando en la evasión

LockFile utiliza múltiples técnicas diseñadas para evadir la detección, empezando por su propio archivo ejecutable, que está empaquetado y malformado. La primera sección del archivo está llena de ceros y le sigue una segunda sección que contiene datos codificados. Tres funciones situadas al final decodifican los datos de la segunda sección, los colocan en la primera y luego saltan a ese código para ejecutarlo. El objetivo de esta rutina es despistar al software de protección de puntos finales que supervisa la ejecución de archivos.

A continuación, el malware aprovecha la interfaz de gestión de Windows (WMI) para buscar y eliminar procesos importantes asociados a las aplicaciones empresariales, como las máquinas virtuales Hyper-V, el gestor de Oracle VM Virtual Box, los servicios de Oracle VM Virtual Box, Microsoft SQL Server, la base de datos MySQL, el servicio de recuperación Oracle MTS, el núcleo Oracle RDBMS, Oracle TNS Listener y las máquinas virtuales VMware.

El objetivo de matar estos procesos es eliminar cualquier bloqueo del sistema puesto en las bases de datos, las máquinas virtuales o los archivos de configuración puestos por esas aplicaciones para que el ransomware pueda cifrarlos. Aprovechando el WMI, los procesos parecerán terminados por el propio sistema, no por el ejecutable del ransomware. Esta es otra técnica de evasión de la detección que también está diseñada para complicar la respuesta a los incidentes.

Otro truco digno de mención es la forma en que LockFile realiza operaciones en los archivos. El malware no modifica directamente los archivos en el disco, sino que los mapea primero en la memoria RAM del sistema, realiza las modificaciones allí y luego confía en el proceso del sistema de Windows para consignar las modificaciones en el disco.

Para un producto de monitorización del comportamiento, esto aparecerá como operaciones de entrada/salida (E/S) realizadas por el propio sistema operativo, no por un proceso potencialmente sospechoso. También ocurrirá con un retraso que puede ir de segundos a minutos, dependiendo de lo ocupado que esté el disco.

LockFile no es la primera amenaza de ransomware que utiliza la E/S mapeada en memoria. Maze y WastedLocker también han utilizado esta técnica, pero no es muy común, señaló Mark Loman, director de ingeniería de Sophos para Next-Gen Technologies, en una entrada de blog.

Encriptación intermitente

El uso del cifrado intermitente, sin embargo, es una novedad que los investigadores de Sophos no habían visto antes en el ransomware. Otras amenazas como LockBit 2.0, DarkSide y BlackMatter han utilizado el cifrado parcial, cifrando sólo el principio de los documentos para acelerar el proceso, pero el enfoque de LockFile es diferente y significativo.

Desde el punto de vista de la seguridad, el cifrado incompleto es malo porque deja los datos expuestos, pero el objetivo del ransomware no es la privacidad de los datos. Se trata de una corrupción de datos controlada y reversible que sólo utiliza el cifrado como herramienta. Por lo tanto, el ransomware no necesita cifrar todo el contenido de los archivos, sino sólo lo suficiente para que el usuario no pueda utilizarlos, que es lo que consiguen LockBit 2.0, DarkSide y BlackMatter al cifrar la parte inicial de los archivos.

El enfoque de LockFile, sin embargo, es encriptar cada 16 bytes de un archivo. Así, los archivos resultantes contendrán 16 bytes de datos codificados, seguidos de 16 bytes de datos originales intactos, seguidos de otros 16 bytes de datos codificados y así sucesivamente. Este proceso no es tan rápido como encriptar sólo la parte inicial, pero tiene otra ventaja: desvía el análisis estadístico.

Algunos programas de detección de ransomware utilizan pruebas de análisis estadístico para detectar si la modificación de un archivo es el resultado de su cifrado. Si la prueba indica que un archivo ha sido encriptado, el programa bloqueará el proceso para que no modifique otros archivos.

Esto funciona porque los archivos encriptados, que se componen de datos aleatorios, tienen un aspecto muy diferente al de un archivo no encriptado para el análisis estadístico. Una de las pruebas que se suelen utilizar para detectar diferencias estadísticamente significativas en los datos se llama prueba de chi-cuadrado (chi^2).

"Un archivo de texto sin cifrar de 481KB (digamos, un libro) tiene una puntuación chi^2 de 3850061. Si el documento fuera encriptado por el ransomware DarkSide, tendría una puntuación chi^2 de 334, lo que es un claro indicio de que el documento ha sido encriptado", explicó Loman. "Si el mismo documento es encriptado por el ransomware LockFile, seguiría teniendo una puntuación chi^2 significativamente alta de 1789811". En otras palabras, si un programa de detección está calibrado por sus creadores para detectar y actuar solo sobre diferencias estadísticas muy grandes para evitar falsos positivos, podría pasar por alto el cifrado realizado por LockFile.

El último truco de LockFile es borrarse a sí mismo después de terminar el proceso de cifrado. Esto puede frustrar la respuesta a los incidentes porque los respondedores buscarán un binario de ransomware para analizar y limpiar el sistema.

Distribución de LockFile

El ransomware LockFile se ha distribuido aprovechando una serie de vulnerabilidades en los servidores de Microsoft Exchange conocidas colectivamente como ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207). Los parches para estas vulnerabilidades están disponibles desde abril y mayo, pero a pesar de ser más graves y fáciles de explotar que la vulnerabilidad ProxyLogon explotada para instalar web shells en los servidores Exchange, no han recibido el mismo nivel de atención. Como resultado, muchas organizaciones no han parcheado sus servidores.

El grupo detrás del ransomware también está aprovechando un ataque de retransmisión NTLM conocido como PetitPotam para obtener acceso a los controladores de dominio dentro de las redes corporativas.