Después de WannaCry, muchos otros Ransomware como UIWIX saldrán a la luz.
Tras el caos generado por el Ransomware conocido como WannaCry, era de esperarse que otros atacantes vieran oportunidad de explotar la misma vulnerabilidad.
Un ejemplo claro es el surgimiento de UIWIX (ransomware detectado por Trend Micro como RANSOM_UIWIS.A).
Contrario a lo que se creía, UIWIX no se trata de un nuevo WannaCry, si no que es una nueva familia de Ransomwar que se aprovecha de la misma vulnerabilidad que usa WannaCry (MS17-010, llamada EternalBlue cuando fue divulgada por Shadow Brokers) para infectar el sistema, propagarse en la red y escanear la red en búsqueda de nuevas víctimas.
Entonces, ¿cómo es UIWIX diferente?
Parece que no tiene archivos: UIWIX se ejecuta en memoria después de explotar EternalBlue. Las infecciones sin archivos no implican la escritura de archivos / componentes reales en los discos de la computadora, lo que reduce en gran medida su huella y, a su vez, hace que la detección sea más complicada.
UIWIX también actúa de forma sigilosa, optando por terminar si detecta la presencia de una máquina virtual (VM) o sandbox. Basado en las cadenas de código de UIWIX, parece que tiene rutinas capaces de recopilar el inicio de sesión del navegador del sistema infectado, el Protocolo de transferencia de archivos (FTP), el correo electrónico y las credenciales de mensajería.
Aquí está un resumen de las características notables de WannaCry y UIWIX:
|
WannaCry |
UIWIX |
|
|
Vectores de Ataque |
Vulnerabilidades SMB (MS17-010), TCP port 445 |
Vulnerabilidades SMB (MS17-010), TCP port 445 |
|
Tipo de archivo |
Ejecutable (EXE) |
Dynamic-link Library (DLL) |
|
Extensión Añadida |
{original filename}.WNCRY |
._{unique id}.UIWIX |
|
Auto-arranque y mecanismos de persistencia |
Registry |
None |
|
Rutinas Anti-VM, VM check, or anti-sandbox |
None |
Comprueba la presencia de archivos o carpetas relacionados con VM y sandbox |
|
Actividad en la red |
Escanea en la red direcciones IP de manera aleatoria para revisar si hay un puerto 445 abierto; Se conecta al sitio .onion mediante el navegador Tor |
Usa mini-tor.dll para conectarse al sitio .onion |
|
Excepciones (no se ejecuta si detecta ciertos componentes del sistema) |
None |
Se detiene si se encuentra en ejecución en Rusia, Kazajstán y Bielorrusia |
|
Exclusiones (directorios o tipos de archivos que no cifra) |
Evita cifrar archivos en determinados directorios |
Evita el cifrado de archivos en dos directorios y archivos con ciertas cadenas en su nombre de archivo |
|
Exploración y propagación en la red |
Sí (propagación semejante a un gusano) |
No |
|
Kill switch |
Si |
No |
|
Número de tipos de archivo objetivo |
176 |
odos los archivos del sistema afectado, excepto los de su lista de exclusión |
|
Borrado de archivos ocultos |
Si |
No |
|
Lenguajes soportados |
Multilenguaje (27) |
Sólo Inglés |
Otra diferencia es que UIWIX utiliza una dirección Bitcoin diferente para cada víctima que infecta. Si la víctima accede a las URLs en la nota de rescate, pedirá un “código personal” (que también está en la nota de rescate), y luego solicitará al usuario que se registre para una cartera Bitcoin.
UIWIX emplea una infección sin archivos
Una parte de la cadena de ataque de UIWIX implica cargar el ransomware directamente en la memoria a través de un cargador de shellcode. En una palabra, el cargador de shellcode y la carga útil UIWIX no tienen archivos; No crean copias físicas del binario de UIWIX en el sistema afectado. Nuestra inferencia de trabajo es que UIWIX se propaga por una herramienta o componente separado que explota EternalBlue para entregar la carga útil de UIWIX.
UIWIX utiliza dos algoritmos de cifrado
UIWIX utiliza dos algoritmos para su rutina de cifrado. Encripta primero el archivo con AES-256 en modo Cipher Block Chaining (CBC) antes de cifrarlo de nuevo en el algoritmo RC4. Aunque UIWIX sobrescribe el archivo con código cifrado, no cifra todos sus datos. El tamaño del cifrado se calcula en función del tamaño del archivo. Utilizará el MoveFile Application Program Interface (API) para cambiar el nombre del archivo y añadir las extensiones de UIWIX.
La clave utilizada en el cifrado será enviada al servidor de comando y control (C & C) de UIWIX, junto con la información de infección. Éstos serán encriptados por RC4 con la clave codificada, 3kjl5h34kj5h34po io34saz5x3cb.
UIWIX cifra todos los archivos de la máquina infectada excepto los archivos de los directorios \ Windows y \ Archivos de programa, así como los archivos con estas cadenas en su nombre de archivo: .com, .sys, boot.ini, Bootfont.bin, bootmgr, BOOTNXT, BOOTSECT .BAK, NTEDETECT.COM, ntldr, NTUSER.DAT y PDOXUSRS.NET.
Otros malware se se suman explotando la vulnerabilidad EternalBlue
No es una sorpresa que el impacto masivo de WannaCry volvió la atención de otros ciberdelincuentes en el uso de la misma superficie de ataque a los sistemas vulnerables y las redes están expuestas. Aparte de WannaCry y UIWIX, nuestros sensores también detectaron un troyano entregado usando EternalBlue-Adylkuzz (TROJ_COINMINER.WN). Este malware convierte los sistemas infectados en zombies y roba sus recursos con el fin de mina para la criptocorazón Monero.
Modifique sus sistemas y adopte las mejores prácticas
UIWIX, al igual que muchas otras amenazas que explotan las brechas de seguridad, es una lección sobre el significado real de la revisión. Las empresas deben equilibrar cómo mantiene la eficiencia de sus operaciones comerciales, al tiempo que las protege. Los administradores de TI / sistemas y los profesionales de la seguridad de la información, su centinela, deben aplicar bases sólidas que puedan mitigar los ataques que amenacen la integridad y la seguridad de sus sistemas y redes.
Dado que UIWIX utiliza el mismo vector de ataque que WannaCry, las mejores prácticas contra UIWIX y otras amenazas similares deben ser familiares (e intuitivas):
- Revise y actualice sus sistemas y considere el uso de parches virtuales
- Habilite sus firewalls, así como los sistemas de detección y prevención de intrusiones
- Supervisar y validar de forma proactiva el tráfico entrando y saliendo de la red
- Implementar mecanismos de seguridad para otros puntos de entrada que los atacantes pueden usar, como correo electrónico y sitios web
- Implementar el control de aplicaciones para evitar que los archivos sospechosos se ejecuten en la supervisión del comportamiento superior que puede frustrar las modificaciones no deseadas en el sistema
- Utilizar la categorización de los datos y la segmentación de la red para mitigar una mayor exposición y daños a los datos
Actualizaremos con más detalles a medida que se disponga de más información de nuestro análisis.
Soluciones:
Con nuestra solución de protección integral del usuario, incorporamos tecnología de aprendizaje de alta fidelidad con otras tecnologías de detección e inteligencia global de amenazas para una protección integral contra ransomware y otras amenazas. Las tecnologías de seguridad implementadas por Wide LAN Solutions, cuentan con Predictive Machine Learning y todas las características de protección de ransomware relevantes habilitadas ya están protegidas contra amenazas como UIWIX y WannaCry.
Puedes robustecer aún más tu seguridad, combinando esta solución con otras como: protección especializada para servidores, y monitoreo y defensa automatizada.
Indicadores de Compromiso:
146581F0B3FBE00026EE3EBE68797B
C72BA80934DC955FA3E4B0894A5330
Dominios de Comando y Control (C & C) relacionados con TROJ_COINMINER.WN:
07 [.] Super5566 [.] Com
Aa1 [.] Super5566 [.] Com
