Artículo: TrendLabs Security Intelligence BlogTorrentLocker Changes Attack Method, Targets Leading European Countries – TrendLabs Security Intelligence Blog

Interesante artículo publicado por nuestros compañeros de Trend Micro. Una nueva variante de este «Locker» está comenzando a aparecer. Método de infección a través de correo electrónico y cuentas de Dropbox. 

http://blog.trendmicro.com/trendlabs-security-intelligencelabs-security-intelligence/torrentlocker-changes-attack-method-targets-leading-european-countries/

Traducción Google:

El TorrentLocker ransomware, que ha estado en un momento de calma en los últimos tiempos, ha llegado recientemente de vuelta con nuevas variantes (detectado por Trend Micro como RANSOM_CRYPTLOCK.DLFLVV, RANSOM_CRYPTLOCK.DLFLVW, RANSOM_CRYPTLOCK.DLFLVS y RANSOM_CRYPTLOCK.DLFLVU). Estas nuevas variantes están utilizando un mecanismo de entrega que utiliza cuentas de Dropbox abusadas. Este nuevo tipo de ataque es de acuerdo con nuestra predicción 2017 que ransomware seguiría evolucionando más allá de los vectores de ataque habituales.

TorrentLocker ha seguido siendo activa más allá de su punto más alto, con sus bajas tasas de detección que permite a los ciberdelincuentes detrás de él para trabajar detrás de las escenas mientras continúan los ataques contra víctimas involuntarias.

Un viejo conocido en un nuevo disfraz

Las nuevas variantes TorrentLocker tienen un comportamiento similar a los ejemplos anteriores detectados por nosotros, con los cambios primarios siendo su nuevo método de distribución y la forma en que el propio ejecutable malicioso se envasa.

Un ejemplo del nuevo ataque TorrentLocker comienza con un correo electrónico que dice ser una factura de un proveedor de la organización en la que trabaja la víctima. La «factura» en sí no viene como un archivo adjunto de correo electrónico, pero en su lugar se accede a través de un enlace de Dropbox que contiene texto que hace referencia facturas, facturas o números de cuenta para hacer que parezca auténtica. El uso de Dropbox como un enlace URL permite TorrentLocker para evadir los sensores de puerta de enlace ya que no hay apego y el vínculo es de un sitio web legítimo.


Figura 1: Ejemplo de un correo electrónico de phishing TorrentLocker

Una vez que el usuario hace clic en el enlace, un archivo JavaScript (JS_NEMUCOD) disfrazado como el documento de factura se descargará en el ordenador de la víctima. Cuando el usuario intenta abrir la factura falsa, otro archivo JavaScript ofuscado se descargará en la memoria, después de lo cual será descargado y ejecutado en el sistema de la carga útil TorrentLocker.

Una característica notable de las nuevas variantes TorrentLocker es que se empaquetan como instaladores NSIS para evitar la detección, una técnica usada también por otro ransomware prominente como CERBER, Locky, SAGE y SPORA.

Alcance de ataques

A partir de febrero 26 hasta marzo 6, 2017 nuestra Red de Protección Inteligente detecta 54.688 correos electrónicos no deseados que incluyen URL que van a 815 cuentas de DropBox diferentes. La mayor parte de este ataque se produjo en Europa, con Alemania y Noruega tomando el porcentaje más grande. Los ataques en Noruega alcanzó su punto máximo durante el final de febrero, pero gradualmente cambió a Alemania a principios de marzo. Autores del ransomware se quitó el mayor número de ataques durante los días de la semana con un período de calma durante los fines de semana. Descubrimos un aumento significativo en las infecciones en aproximadamente 9 a 10 de la mañana, coincidiendo con el inicio de los trabajos el día más probable de los empleados de cheques sus correos electrónicos diarios por primera vez. Las organizaciones utilizan comúnmente Dropbox para gestionar y transferir sus archivos, que pueden dar lugar a los empleados confiados conseguir engañado en la creencia de que la URL contenida en el correo electrónico es legítimo.


Figura 2: línea de tiempo que muestra las horas pico de los ataques


Figura 3: Distribución de los ataques

Actualmente estamos trabajando con Dropbox en este tema. De acuerdo con el equipo de seguridad de Dropbox, todos los archivos detectados en el momento de la publicación han sido derribados y sus respectivos usuarios prohibido.

atenuante TorrentLocker

Dado el carácter engañoso de la nueva TorrentLocker y otra ransomware Asimismo, las organizaciones deben tomar medidas adicionales para asegurarse de que están protegidos de este tipo de ataques de ingeniería social. La prioridad número uno debe ser educar a sus empleados sobre las mejores prácticas contra los ataques de phishing , que incluye la comprobación de cualquier correo electrónico de contenido sospechoso, como el nombre para mostrar del remitente o cualquier URL que no coinciden. De hecho, los usuarios finales deben ser advertidos de que se abstengan de descarga de archivos adjuntos o hacer clic en los enlaces incorporados en general, a menos que sean absolutamente seguros de que se trata de una fuente legítima.

Los usuarios también deben tomar medidas para asegurarse de que sus datos están respaldados por la aplicación de la política de copia de seguridad 3-2-1 , lo que implica ahorro de al menos tres copias de los datos, con dos copias en diferentes tipos de almacenamiento, de preferencia en un drive-interno y extraíble y una copia fuera del sitio.

Soluciones de Trend Micro

Además de las mejores prácticas se sugirió anteriormente, los clientes de Trend Micro pueden utilizar las siguientes soluciones para mitigar las amenazas más ransomware como TorrentLocker:

Al abordar este tipo de amenazas, reaccionar a medida que ocurren no es suficiente. La planificación estratégica y un enfoque proactivo de varias capas a la seguridad va un largo camino, desde el  gateway ,  puntos finales ,  redes y  servidores .

Trend Micro  OfficeScan ™ con  XGen seguridad de punto final ™ combina el aprendizaje automático y análisis de comportamiento con los enfoques tradicionales para identificar y bloquear ransomware. Hemos probado estas tecnologías en el malware se describe en este post y encontrado que son soluciones proactivas eficaces.

Trend Micro ™   Nube aplicación de seguridad ofrece protección contra malware avanzado para las cuentas de Dropbox de negocios incluyendo TorrentLocker. Nube Aplicación de Seguridad investiga el comportamiento de los archivos sospechosos mediante la detonación de una caja de arena virtual, no sólo a través de la comparación de patrones estáticos. Aprovecha demostrado Trend Micro ™ profundo descubrimiento tecnología de caja de arena ™, el cual fue calificado como sistema más eficaz de detección de incumplimiento recomendada por NSS Labs

Trend Micro soluciones de punto final como  Trend Micro ™  Smart Protection Suites y  Worry-Free ™  Business Security  puede proteger a los usuarios y las empresas de estas amenazas mediante la detección de archivos maliciosos, y los mensajes afectados incoar, así como el bloqueo de todas las URL maliciosas relacionadas  Trend Micro  profundo descubrimiento ™ tiene una capa de inspección de correo electrónico que pueden proteger a las empresas mediante la detección de adjuntos maliciosos y direcciones URL.

clientes TippingPoint están protegidos de esta amenaza a través de estos filtros MainlineDV:

  • 21354: TLS: certificado SSL SSL ABUSE.CH lista negra malicioso detectado (TorrentLocker CNC)
  • 30623: TLS: Certificado SSL sospechoso (DGA)

Con un análisis adicional de Anthony Melgarejo

Los siguientes valores hash SHA256 estaban involucrados en este ataque:

  • 0d27f890c38435824f64937aef1f81452cb951c8f90d6005cc7c46cb158e255f (detectado por Trend Micro como JS_NEMUCOD.THCOF)
  • 1a06e44df2fcf39471b7604695f0fc81174874219d4226d27ef4453ae3c9614b (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVV)
  • aa4a0dde592488e88143028acdb8f035eb0453f265efeeebba316a6afe3e2b73 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVV)
  • 5149f7d17d9ca687c2e871dc32e968f1e80f2a112c574663c95cca073283fc27 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVW)
  • efcc468b3125fbc5a9b1d324edc25ee3676f068c3d2abf3bd845ebacc274a0ff (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVU)
  • 287ebf60c34b4a18e23566dbfcf5ee982d3bace22d148b33a27d9d1fc8596692 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVU)
  • ddac25f45f70af5c3edbf22580291aebc26232b7cc4cc37b2b6e095baa946029 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVU)
  • 1ffb16211552af603a6d13114178df21d246351c09df9e4a7a62eb4824036bb6 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVS)
  • 1a9dc1cb2e972841aa6d7908ab31a96fb7d9256082b422dcef4e1b41bfcd5243 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVS)
  • 028b3b18ef56f02e73eb1bbc968c8cfaf2dd6504ac51c681013bcf8e6531b2fc (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVS)
  • 98aad54148d12d6d9f6cab44974e3fe8e1175abc87ff5ab10cc8f3db095c3133 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVS)
  • f914b02c6de92d6bf32654c53b4907d8cde062efed4f53a8b1a7b73f7858cb11 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVS
The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.