 |
|
|
En la mitología griega, la apertura de la infame caja de Pandora introdujo cosas terribles al mundo. Eso también se puede decir sobre el Ransomware recién surgido, llamado Pandora, que roba datos de la red, cifra los archivos de la víctima y libera los datos robados si la víctima opta por no pagar.
En este artículo, los analistas del laboratorio de inteligencia de amenazas de Fortinet, FortiGuard Labs, están echando un vistazo dentro de la caja de Pandora para descubrir qué misterios contiene.
El grupo de Ransomware Pandora surgió a mediados de febrero de 2022 y apunta a las redes corporativas para obtener ganancias financieras. Pandora utiliza el método de doble extorsión para aumentar la presión sobre la víctima. Esto significa que no solo cifran los archivos de la víctima, sino que también los exfiltran y amenazan con divulgar los datos si la víctima no paga.
FortiGuard Labs analizó la muestra de un malware de Pandora, que se incluyó en un archivo de Windows PE de 64 bits. El ejemplo sigue los siguientes pasos:
1. Desempaquetado: El malware está empaquetado, por lo que el primer paso es descomprimir el contenido real en la memoria del dispositivo.
2. Mutex: Crea un mutex para hacer posible que un hilo de múltiples programas haga uso de este único recurso.
3. Deshabilitar las funciones de seguridad: Puede eliminar copias instantáneas de Windows.
4. Recopilar información del sistema: Se utiliza para recopilar información sobre el sistema local.
5. Cargar la clave pública codificada: Una clave pública está codificada en el malware para configurar la criptografía para el cifrado.
6. Almacenar claves privadas y públicas en el registro: Se genera una clave privada y tanto la clave pública codificada como la clave privada recién generada se almacenan en el registro.
7. Búsqueda de Unidades: Busca unidades desmontadas en el sistema y las monta para cifrarlas también.
8. Configuración de subprocesos múltiples: El malware utiliza subprocesos de trabajo para distribuir el proceso de cifrado.
9. Enumerar el sistema de archivos: Los subprocesos de trabajo comienzan a enumerar los sistemas de archivos de las unidades identificadas.
10. Dejar caer la nota de rescate: La nota de rescate se deja caer en cada carpeta.
11. Comprobar la lista negra de nombres de archivos: Para cada archivo y carpeta se comprueba una lista negra de nombres de archivo/carpeta. Si el archivo/carpeta está en la lista negra no será encriptado.
12. Comprobar la lista negra de extensiones de archivos: Cada archivo se comprueba con una lista negra de extensiones de archivos. Si la extensión está en la lista, no se cifrará.
13. Desbloquear archivo: Si el archivo está bloqueado por un proceso en ejecución, el malware intentará desbloquearlo mediante el Administrador de Reinicio de Windows.
14. Cifrar archivo: Los hilos de trabajo cifrarán el archivo y lo escribirán de nuevo en el archivo original.
15. Cambiar el nombre del archivo: Una vez finalizado el cifrado, los archivos se renombran a [original-nombre].pandora
Uno de los aspectos más significativos del Ransomware Pandora es el amplio uso de técnicas de ingeniería inversa para evadir los controles de seguridad. Esto no es nuevo para un malware, pero Pandora se encuentra en el lado extremo de lo que se invierte en ralentizar el análisis.
Actualmente no hay pruebas de que Pandora opere como Ransomware-as-a-Service (RaaS), pero la inversión de tiempo en la complejidad del malware podría indicar que se están moviendo en esa dirección a largo plazo.
Los ataques y filtraciones actuales podrían ser una forma de hacerse un nombre en el campo del Ransomware, que podrían capitalizar si adoptan el modelo RaaS más adelante. Debemos estar atentos y mejor preparados con tecnología avanzada de detección, prevención y respuesta ya que es de esperar que Pandora siga desarrollando sus capacidades.
|
