Tras WannaCry, el ransomware UIWIX y el malware para la criptomoneda Monero siguen su ejemplo

El brote de ransomware WannaCry durante el fin de semana ha remitido al tener su dominio de kill switch registrado. Sin embargo, era cuestión de tiempo que otros ciberdelincuentes siguieran su ejemplo. Para muestra, un botón: la aparición del ransomware UIWIX (detectado por Trend Micro como RANSOM_UIWIX.A) y dos destacados troyanos han sido detectados por nuestros sensores.

UIWIX no es WannaCry
Al contrario de lo aparecido en recientes noticias citando a UIWIX como la nueva versión de WannaCry, nuestro análisis continuo indica que es una nueva familia que usa las mismas vulnerabilidades de Server Message Block (SMB) (MS17-010, con el nombre de código EternalBlue tras su divulgación pública por Shadow Brokers) que WannaCry explota para infectar sistemas, propagarse dentro de las redes y escanear Internet para infectar a más víctimas.

Entonces, ¿cómo es diferente UIWIX? Parece que no tiene archivos: UIWIX se ejecuta en memoria después de explotar EternalBlue. Las infecciones sin archivos no implican la escritura de archivos o componentes reales en los discos de los equipos informáticos, lo que reduce enormemente su huella y, a su vez, hace que la detección sea más complicada.
UIWIX es también más escurridizo, optando por auto-destruirse si detecta la presencia de una máquina virtual (VM) o sandbox. Según las cadenas de código de UIWIX, éste parece tener rutinas capaces de recopilar el acceso al navegador del sistema infectado, el Protocolo de Transferencia de Archivos (FTP), el correo electrónico y las credenciales de mensajería.

A continuación se resumen las características más destacadas de WannaCry y UIWIX:

 

WannaCry UIWIX
Vectores de ataque Vulnerabilidades SMB (MS17-010), TCP puerto 445 Vulnerabilidades SMB (MS17-010), TCP puerto 445
Tipo de archivo Ejecutable (EXE) Biblioteca dinámica de enlaces (DLL)
Extensión añadida {nombre de archivo original }.WNCRY ._{id único}.UIWIX
Arranque automático y mecanismos de persistencia Registro Ninguro
Anti-VM, comprobación VM, o rutinas anti-sandbox Ninguno Comprueba presencia de VM y archivos o carpetas relacionados con sandbox
Actividad de Red En Internet, escanea direcciones IP aleatorias para comprobar si tiene un puerto 445 abierto; se conecta al sitio .onion usando el navegador Tor  Utiliza mini-tor.dll para conectarse al sitio .onion
Excepciones (no se ejecuta si detecta ciertos componentes del sistema) Ninguno Se interrumpe si se encuentra ejecutándose en Rusia, Kazajstán y Bielorrusia
Exclusiones (directorios o tipos de archivos que no cifra) Evita el cifrado de archivos en determinados directorios Evita el cifrado de archivos en dos directorios y archivos con ciertas cadenas en su nombre de archivo
Escaneo de red y propagación Sí (se propaga como un gusano) No
Kill switch
Coste del rescate 300 dólares pagados en  Bitcoins 200 dólares pagados en Bitcoins

Figura 1: Test de archivos cifrados por UIWIX (izquierda) y una de las notas del rescate (derecha)

UIWIX utiliza un monedero Bitcoin diferente para cada víctima que infecta. Si la víctima accede a las URL de la nota de rescate, pedirá un «código personal» (que también aparece en la nota de rescate), y luego solicitará al usuario que se registre en un monedero Bitcoin.

Figura 2: site de pago de UIWIX

Otros malware que se cotizan en EternalBlue

Aparte de WannaCry y UIWIX, los sensores de Trend Micro también han detectado un troyano que se distribuye usando EternalBlue-Adylkuzz (TROJ_COINMINER.WN). Este malware convierte los sistemas infectados en zombis y roba sus recursos con el fin de proceder a extraer la criptomoneda Monero.

Revise y parchee sus sistemas y adopte mejores prácticas
UIWIX, al igual que muchas otras amenazas que explotan las brechas de seguridad, es una lección sobre el significado real de los parches. Las empresas deben equilibrar el modo en que mantienen la eficiencia de sus operaciones de negocio, al mismo tiempo que las protegen. Los administradores de TI/sistemas y los profesionales de seguridad de la información, sus centinelas, deben reforzar con bases sólidas que puedan mitigar los ataques que amenazan la integridad y la seguridad de sus sistemas y redes.

Dado que UIWIX utiliza el mismo vector de ataque que WannaCry, las mejores prácticas contra UIWIX y otras amenazas similares deben resultarnos familiares (e intuitivas):

  • Corregir y actualizar los sistemas y considerar el uso de la reparación o parcheo virtual
  • Habilitar los firewalls, así como los sistemas de detección y prevención de intrusiones
  • Supervisar y validar de forma proactiva el tráfico entrante y saliente del trabajo
  • Implementar mecanismos de seguridad para otros puntos de entrada que los atacantes pueden usar, como emaily las páginas web

 

  • Desplegar control de aplicaciones para evitar que los archivos sospechosos se ejecuten en la monitorización del comportamiento superior que puede frustrar las modificaciones no deseadas en el sistema.
  • Emplear la categorización de datos y la segmentación de red para mitigar la exposición adicional y el daño a los datos

 

Trend Micro mantendrá actualizados los detalles sobre este ransomware a medida que continúe la evolución de sus análisis y disponga de más información.

 

Las soluciones de Trend Micro

Trend Micro OfficeScan™ con XGen endpoint security aplica high-fidelity machine learning con otras tecnologías de detección e inteligencia global de amenazas para proteger de forma integral contra el ransomware y otras amenazas. Las soluciones de seguridad de Trend Micro que incluyen Predictive Machine Learning y todas las funciones de protección más relevantes contra el ransomware habilitadas ya están protegidas contra amenazas como UIWIX y WannaCry.

Trend Micro Deep Security™ y Vulnerability ProtectionDeep Discovery™ Inspector, TippingPoint y Trend Micro Home Network Security protegen a usuarios y negocios contra estas amenazas.

Indicadores de compromiso

146581F0B3FBE00026EE3EBE68797B0E57F39D1D8AECC99FDC3290E9CFADC4FC (SHA256) — detectado como RANSOM_UIWIX.A

Dominios de Comando y Control (C&C) relacionados para TROJ_COINMINER.WN:

  • 07[.]super5566[.]com
  • aa1[.]super5566[.]com

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.