[25/08/2022] Una nueva cepa de ransomware ha estado haciendo víctimas durante los últimos dos meses, haciéndose pasar por una aplicación de actualización de software de Google, y reutilizando una biblioteca de gestión de contraseñas de código abierto para el cifrado. Bautizado como HavanaCrypt por los investigadores de Cybereason, el nuevo programa ransomware cuenta con mecanismos de antianálisis, exfiltración de datos y escalada de privilegios, pero no parece lanzar una nota de rescate tradicional.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Despliegue de HavanaCrypt
Los investigadores no tienen mucha información sobre el vector de acceso inicial porque la muestra que analizaron se obtuvo de VirusTotal, un servicio de escaneo de archivos basado en la web, donde probablemente fue subido por una víctima. Lo que está claro es que los metadatos del ejecutable malicioso han sido modificados para que el editor sea Google y el nombre de la aplicación sea Google Software Update, y al ejecutarse crea una entrada de ejecución automática en el registro llamada GoogleUpdate. Basándose en esta información, se podría suponer que el señuelo utilizado para distribuir el ransomware, ya sea por correo electrónico o por la web, se centra en una falsa actualización de software.
HavanaCrypt está escrito en el lenguaje de programación .NET y utiliza un ofuscador de código binario de código abierto llamado Obfuscar para ocultar los nombres de las funciones y otros detalles, lo que dificulta la ingeniería inversa. Además, los autores también utilizaron sus propias funciones de código para ocultar cadenas en el binario.
El malware también comprueba si los procesos típicamente asociados a las aplicaciones de máquinas virtuales están presentes en el sistema y, si se encuentra alguno, comprueba las direcciones MAC de la tarjeta de red para ver si coinciden con adaptadores virtuales conocidos. Estas comprobaciones tienen por objeto bloquear los análisis que suelen implicar la ejecución de binarios sospechosos dentro de las máquinas virtuales (VM). El programa también contiene un mecanismo que intenta evadir el análisis mediante depuradores.
Está claro que los creadores de HavanaCrypt se esforzaron mucho en dificultar el análisis estático y automatizado. Si alguna de estas comprobaciones falla, el programa detendrá su ejecución. Si las comprobaciones se superan, el ransomware descargará un archivo .txt desde una dirección IP asociada a los servicios de alojamiento web de Microsoft, que es en realidad un script para añadir ciertos directorios a la lista de exclusión de análisis de Windows Defender.
A continuación, intenta eliminar una larga lista de procesos que podrían estar ejecutándose en el sistema. Estos procesos están asociados a aplicaciones populares como Microsoft Word, clientes de correo electrónico, servidores de bases de datos, máquinas virtuales y agentes de sincronización de datos. El objetivo es borrar los bloqueos del sistema de archivos establecidos por estos programas para poder cifrar sus archivos. El ransomware también elimina todos los puntos de restauración y las copias de seguridad de volumen para impedir la restauración fácil de los archivos.
HavanaCrypt se copia a sí mismo en las carpetas StartUp y ProgramData utilizando un nombre de 10 caracteres generado aleatoriamente. El archivo se establece como "Archivo de sistema" y "Oculto" para evitar que se descubra fácilmente, ya que por defecto Windows no muestra estos archivos en su explorador de archivos.
Cifrado de HavanaCrypt
A continuación, el ransomware recopila información sobre la máquina infectada que se envía a un servidor de comando y control (C2), que le asigna un token de identificación único y genera las claves únicas utilizadas para el cifrado.
La rutina de cifrado en sí misma se consigue utilizando una biblioteca asociada al gestor de contraseñas de código abierto KeePass. El uso de una biblioteca bien probada en lugar de implementar su propia rutina de cifrado permite a los creadores de HavanaCrypt evitar cometer errores importantes que más tarde podrían llevar a los investigadores a crear un descifrador gratuito.
El malware recorre todos los archivos, directorios, unidades y discos del sistema y añade la extensión .Havana a todos los archivos cifrados. Sin embargo, existe una lista de exclusión de carpetas y extensiones de archivos para mantener el sistema en funcionamiento.
Curiosamente, aunque el ransomware no parece lanzar una nota de rescate tradicional, la carpeta Tor Browser está presente en la lista de exclusión de cifrado, lo que sugiere que los atacantes pretenden utilizar Tor para la exfiltración de datos o las comunicaciones C2.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú