Powerware, el ransomware que aprovecha una vulnerabilidad de Windows 10

PandaLabs, responde una pregunta sobre una familia concreta de ransomware que emplea PowerShell, una herramienta de Microsoft incluida en Windows 10 y que lleva tiempo siendo explotada por ciberdelincuentes.

Luis Corrons, director técnico de PandaLabs explica cómo funciona este ransomware, con la intención de mostrar a la comunidad cómo protegerse ante esta y otras vulnerabilidades que en estos momentos constituyen amenazas importantes a la seguridad de nuestros datos.

El ransomware concreto por el que nos preguntaban nos sonaba de hace tiempo y, de hecho, nuestros colegas de Carbon Black escribieron un artículo sobre él en marzo pasado. El flujo de ataque es fácil de seguir: comienza con un correo de phishing con un documento Word adjunto. Una vez abierto, una macro incluida en el documento ejecuta el archivo cmd.exe para abrir PowerShell, que utiliza para descargar un script desde Internet. A continuación, se vuelve a ejecutar PowerShell empleando dicho script como datos de entrada para llevar a cabo las acciones del ransomware.

Este Powerware, tal y como lo han llamado los amigos de Carbon Black, es uno más de los miles de ransomware que hemos identificado. En nuestro caso, ya lo bloqueábamos incluso antes de conocer a esta familia de ransomware (como en el 99.99% de los casos. Para algunas empresas de seguridad esta familia concreta de malware supone un reto mayor que las demás. ¿Cuál es el motivo? Bueno, muchos de los llamados ‘Antivirus de Nueva Generación’ siguen confiando demasiado en las firmas de virus, y además su presencia es mucho mayor en el perímetro que en el endpoint. Y como es de imaginar, bloquear documentos de Word en el perímetro no es precisamente lo más conveniente. Una vez se han infectado algunos clientes es cuando pueden añadir las firmas correspondientes al antivirus y proteger al resto (por ejemplo, bloqueando las direcciones IP desde la que se descarga el script), aunque la ausencia de un ejecutable malicioso que se descargue desde Internet es una auténtica pesadilla para ellos.

Al final, el ransomware es un negocio increíble para los ciberdelincuentes, y como tal, invierten grandes cantidades de recursos en encontrar nuevas maneras de evitar ser detectados por todo tipo de soluciones de seguridad, siendo este Powerware un ejemplo más de esta tendencia. El comportamiento general es siempre el mismo, aunque se introducen pequeños cambios cada semana. Estos cambios pueden afectar tanto al propio malware (el modo en que lleva a cabo sus acciones) como a la forma de llegar al sistema (mediante el uso de nuevos exploits, modificación de exploits existentes, modificación de los efectos de dichos exploits, etc.)

Un buen ejemplo de los nuevos métodos de infección es uno que hemos visto recientemente: después de explotar una vulnerabilidad de Internet Explorer, se ejecuta la consola CMD mediante la función ‘echo’ para crear un script. A continuación, se ejecutan una serie de archivos de Windows para realizar las acciones encaminadas a evitar la detección de los comportamientos sospechosos por parte de las soluciones de seguridad. El script, ejecutado por Wscript, descarga una DLL. A continuación, emplea CMD para ejecutar regsvr32, que ejecuta la DLL (mediante rundll32). En la mayoría de casos, dicha DLL es un ransomware. De hecho, hasta el momento hemos bloqueado en PandaLabs más de 500 intentos de infección que emplean este nuevo método.

No hemos analizado el exploit utilizado (en realidad no nos importa demasiado siempre que seamos capaces de bloquearlo), pero teniendo en cuenta el momento del ataque (que apareció por primera vez el 27 de junio), éste tuvo lugar una vez AnglerEK había desaparecido, por lo que es probable que los atacantes utilizasen o Neutrino o Magnitude.

Siempre que aparece algo nuevo como esto, alguien termina publicando información sobre el mismo un mes después, así que me temo que les acabamos de fastidiar el análisis a algunos, o al menos, dicho análisis ya no parecerá tan nuevo… Para compensar, publicamos los MD5 de todas las DLLs que hemos visto ‘in the wild’ en los más de 500 intentos de infección que hemos detectado:

00d3a3cb7d003af0f52931f192998508
09fc4f2a6c05b3ab376fb310687099ce
1c0157ee4b861fc5887066dfc73fc3d7
1cda5e5de6518f68bf98dfcca04d1349
1db843ac14739bc2a3c91f652299538c
2c5550778d44df9a888382f32c519fe9
2dcb1a7b095124fa73a1a4bb9c2d5cb6
2f2ca33e04b5ac622a223d63a97192d2
38fb46845c2c135e2ccb41a199adbc2a
3ac5e4ca28f8a29c3d3234a034478766
4cb6c65f56eb4f6ddaebb4efc17a2227
562bf2f632f2662d144aad4dafc8e316
63dafdf41b6ff02267b62678829a44bb
67661eb72256b8f36deac4d9c0937f81
6dbc10dfa1ce3fb2ba8815a6a2fa0688
70e3abaf6175c470b384e7fd66f4ce39
783997157aee40be5674486a90ce09f2
7981aab439e80b89a461d6bf67582401
821b409d6b6838d0e78158b1e57f8e8c
96371a3f192729fd099ff9ba61950d4b
9d3bf048edacf14548a9b899812a2e41
a04081186912355b61f79a35a8f14356
a1aa1180390c98ba8dd72fa87ba43fd4
a68723bcb192e96db984b7c9eba9e2c1
abb71d93b8e0ff93e3d14a1a7b90cfbf
b1ac0c1064d9ca0881fd82f8e50bd3cb
b34f75716613b5c498b818db4881360e
b6e3feed51b61d147b8679bbd19038f4
bbf33b3074c1f3cf43a24d053e071bc5
cba169ffd1b92331cf5b8592c8ebcd6a
d4fee4a9d046e13d15a7fc00eea78222
d634ca7c73614d17d8a56e484a09e3b5
de15828ccbb7d3c81b3d768db2dec419
df92499518c0594a0f59b07fc4da697e
dfd9ea98fb0e998ad5eb72a1a0fd2442
e5c5c1a0077a66315c3a6be79299d835
e9b891e433468208a87070a98762f9e7
ea45792911f35a35f19165cd485806f0
eaea54f86a6bd121fda4c18cbec75ae5
f949adaed84f1f05eb58386b5cfbf8a7
fa662d4796c1271a7a2a3240bcafb098
fc992705721fbedeecf5253ac62e0812

Sobre Panda Security

Fundada en 1990, Panda Security es la empresa líder a nivel mundial en soluciones de seguridad basadas en la nube. Con sede en España, la compañía cuenta con presencia directa en más de 80 países, productos traducidos a más de 23 idiomas y millones de clientes en todo el mundo. Su misión es simplificar la complejidad creando nuevas y mejores soluciones para salvaguardar la vida digital de sus usuarios. Como parte de su política de Responsabilidad Social Corporativa, Panda Security colabora con el Proyecto Stella para promover la inserción social y laboral de personas con síndrome de Down y otras discapacidades intelectuales. Para más información, visite http://www.pandasecurity.com/.