David Morán 14/06/21 7 min read

Actualizaciones en el ransomware REvil

El ransomware REvil (Sodinokibi) ha sido el origen de varias noticias relacionadas con ciberseguridad en los últimos meses. Por ejemplo, una de las más sonadas fue la infección sufrida por Acer, con un rescate impuesto de 50 millones de dólares que subió hasta los 100 millones al no ser satisfechas las demandas de los ciberdelincuentes.

Introducción

Recientemente también la empresa taiwanesa “Quanta Computer” – proveedora oficial de Apple - ha sido afectada por este ransomware-as-a-service (RaaS), demandándoles la misma cantidad que pidieron en su momento a Acer.

Como todo producto, y el malware de este tipo lo es, sufre actualizaciones para adecuarse mejor a sus propósitos.

En este caso nos hacemos eco de una nueva variante cuya operativa fue descubierta en Marzo, y que permite configurar Windows para iniciarse automáticamente en modo seguro.

 

REvil

REvil surgió en torno al 2019, y es uno de los RaaS más sonados en los últimos meses.

Como suele ocurrir, el despliegue final del ransomware viene acompañado de pasos preliminares previos en los que se emplean diversos componentes para configurar vías de persistencia en el equipo, reconocimiento, escalado de privilegios o bien movimientos laterales.

Por ejemplo, IcedID (bokbot, IceID) es un troyano que suele emplearse para programar la persistencia mediante la programación de tareas en el sistema operativo, antes de la ejecución de REvil.

Una vez que REvil compromete el sistema se muestra la nota que vemos en la siguiente imagen o similar. En dicho punto el sistema ya está infectado por el malware.

 revelock-malware-revil-01

Nota de secuestro REvil

 

Actualizaciones

El arranque en modo seguro es un recurso que puede emplearse para evitar el escaneo de los antivirus tradicionales, y no es nueva.

Por ejemplo, el ransomware Snatch ya la empleaba. En aquel caso el malware añadía la clave del registro de Windows HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SuperBackupMan:Default:Service, y empleaba la herramienta bcdedit.exe, disponible a través de la consola de comandos, para arrancar en modo seguro.

La versión de REvil que incorpora esta característica permite su ejecución con el flag -smode para reiniciar el equipo en modo seguro, pero también modificará entradas en el registro de Windows correspondientes a Winlogon, para iniciar sesión automáticamente con credenciales empleadas por el malware. En concreto, veremos cambios en los valores: AutoAdminLogon, DefaultUserName, DefaultPassword. Este último toma el curioso y nada desapercibido valor “DTrump4ever”.

 revelock-malware-revil-02

Entrada del registro de Windows con password por defecto DTrupm4ever

La capacidad de automatizar el cifrado vía el arranque el modo seguro (-smode) – para saltarse controles de seguridad – ya estaba presente en este malware, lo que posibilita esta nueva versión es un refinamiento sobre la versión ya existente, permitiendo el autologin, por medio del cambio de credenciales. De esta forma busca pasar más desapercibido al usuario. 

Sin embargo, esto no ocurre en todos los casos. Como se comenta en un informe reciente de The DFIR Report el ransomware no siempre se ejecuta con el flag -smode y en su lugar se ejecuta una DLL para cifrar el sistema sin necesidad de requerir el reinicio en modo seguro.

Esto dependerá de cómo se haya implementado la carga del malware, pero en cualquier caso es interesante conocer que las nuevas muestras pueden tener esta característica implementada.

Conclusiones

Al margen de las actualizaciones propias de cualquier malware para intentar sortear los mecanismos de detección y monitorización, las actualizaciones en la operativa del ransomware van encaminadas por lo general a reducir el tiempo de cifrado, y también a incorporar características como la actual, para decidir si el cifrado se hará sin requerir el inicio en modo seguro o si por el contrario se forzará el reinicio del equipo, evitando en la medida de lo posible las soluciones de seguridad.

También en este se pretende minimizar cualquier posible interacción con el usuario estableciendo una clave por defecto. El desarrollo del malware está tomando un cariz bajo el cual su operativa se prepara para múltiples escenarios en los que se decidirá, en última instancia, la forma de despliegue.

En cualquier caso, en las pruebas de laboratorio realizadas, el inicio en modo seguro es perceptible si el usuario es consciente del reinicio también del comportamiento habitual del equipo.

Como en otros casos resulta fundamental para mitigar el efecto de este tipo de ataques el conocimiento sobre su operativa y las posibilidades, así como eliminar el supuesto por muchos de que el arranque en modo seguro resulta seguro.

avatar

David Morán

David has more than 15 years’ experience in cybersecurity, systems and development, starting out in an extinct hacking team known as Badchecksum. He collaborated on Defcon 19 with the Painsec security team. He is versed in scalable environments thanks to his work at the Tuenti social network with a traffic load of over 12Gbps. He has been involved with buguroo almost since the outset and has taken part in all the tools developed by the company, including source code analysers, malware analysis, cyber intelligence, etc. He also has in-depth knowledge of the Linux kernel, having developed LKMs that acted as rootkits as well as malware for Windows environments. He is currently the head of Revelock’s development team, managing task distribution and negotiating with the Head of Technology.