El ransomware Spora podría ser la próxima gran amenaza
El nuevo programa de ransomware cuenta con un fuerte método de descifrado en línea y un nuevo esquema de pago.
Los investigadores de seguridad han encontrado un nuevo programa de ransomware llamado Spora que puede realizar cifrado de archivos fuera de línea y trae varias “innovaciones” al modelo de pago de rescate.
El malware se ha dirigido a usuarios de habla rusa hasta el momento, pero sus autores también han creado una versión en inglés de su portal de descifrado, lo que sugiere que es probable que amplíen sus ataques a otros países pronto.
Spora se destaca porque puede cifrar archivos sin tener que ponerse en contacto con un servidor de comando y control (CnC) y lo hace de una manera que aún permite que cada víctima tenga una clave de descifrado única.
Los programas de ransomware tradicionales generan una clave AES (Advanced Encryption Standard) para cada archivo cifrado y luego cifran estas claves con una llave pública RSA generada por un servidor CnC.
La criptografía de llave pública como RSA se basa en pares de llaves formados por una llave pública y una llave privada. Cualquiera que sea el archivo cifrado con una llave pública, solo puede descifrarse con su correspondiente llave privada.
La mayoría de los programas de ransomware se ponen en contacto con un servidor de comando y control después de instalarse en un equipo y solicitar la generación de un par de llaves RSA. La llave pública se descarga en el equipo, pero la llave privada nunca sale del servidor y permanece en posesión de los atacantes. Esta es la llave por la cual las víctimas pagan para tener acceso.
El problema con llegar a un servidor en Internet después de la instalación de ransomware es que crea un vínculo débil para los atacantes. Por ejemplo, si el servidor es conocido por las empresas de seguridad y está bloqueado por un firewall, el proceso de cifrado no se inicia.
Algunos programas de ransomware pueden realizar el denominado cifrado sin conexión, pero utilizan la misma llave pública RSA que está codificada en el malware para todas las víctimas. La desventaja de este enfoque para los atacantes es que una herramienta de descifrado dada a una víctima funcionará para todas las víctimas porque comparten la misma llave privada también.
Los creadores de Spora han resuelto este problema, según los investigadores de la firma de seguridad Emsisoft, quienes analizaron la rutina de cifrado del programa.
El malware contiene una llave pública RSA codificada, pero se utiliza para cifrar una clave AES única que se genera localmente para cada víctima. Esta clave AES se utiliza entonces para cifrar la llave privada de un par de llaves públicas-privadas RSA que también se genera localmente y es única para cada víctima. Finalmente, la llave RSA pública de la víctima se utiliza para cifrar las claves AES que se utilizan para cifrar archivos individuales.
En otras palabras, los creadores de Spora han añadido una segunda ronda de cifrado AES y RSA a lo que otros programas de ransomware han estado haciendo hasta ahora.
Cuando las víctimas quieren pagar el rescate, tienen que cargar sus claves AES cifradas en el sitio web de pago de los atacantes. Los atacantes usarán entonces su llave privada maestra RSA para descifrarla y devolverla a la víctima, probablemente empaquetada en una herramienta de descifrado.
El descifrador utilizará esta clave AES para descifrar la llave privada única RSA de la víctima, que se generó localmente, y esa misma llave se utilizará para descifrar las claves AES por archivo necesarias para recuperar los archivos.
De esta manera, Spora puede operar sin la necesidad de un servidor de comando y control y evita la liberación de una llave maestra que funcione para todas las víctimas, informaron los investigadores de Emsisoft en un blog. “Desafortunadamente, después de evaluar la forma en que Spora realiza su cifrado, no hay manera de restaurar archivos cifrados sin acceso a la llave privada del autor de malware.”
Otros aspectos de Spora también lo diferencian de otras operaciones de ransomware. Por ejemplo, sus creadores han implementado un sistema que les permite pedir diferentes rescates para diferentes tipos de víctimas.
Los archivos de llaves cifradas que las víctimas tienen que cargar en el sitio web de pagos también contienen información de identificación recopilada por el malware sobre los equipos infectados, incluidos los ID de campaña únicos.
Esto significa que, si los atacantes lanzan una campaña de distribución de Spora específicamente dirigida a las empresas, podrán saber cuándo las víctimas de esa campaña tratarán de usar su servicio de descifrado. Esto les permite ajustar automáticamente la cantidad de rescate para los consumidores u organizaciones o incluso para las víctimas en diferentes regiones del mundo.
Además del descifrado de archivos, los creadores de Spora ofrecen otros servicios que tienen un precio por separado, como “inmunidad”, el cual garantiza que el malware no infectará de nuevo a un equipo o “eliminación”, que también eliminará el programa después de descifrar los archivos. También ofrecen un paquete completo, donde la víctima puede comprar los tres por un precio más bajo.
El sitio web de pagos en sí está bien diseñado y se ve profesional. Tiene una función de chat en vivo integrada y la posibilidad de obtener descuentos. Los investigadores de Emsisoft observaron que los atacantes responden rápidamente a los mensajes.
Todo esto indica que Spora es una operación profesional y bien financiada. Los valores de rescate observados hasta ahora son inferiores a los que pidieron otros grupos, lo que podría indicar que el grupo detrás de esta amenaza quiere establecerse rápidamente.
Hasta el momento, los investigadores han visto Spora distribuido a través de adjuntos de correo electrónico falsos que plantean como facturas de un programa de software de contabilidad popular en Rusia y otros países de habla rusa. Los archivos adjuntos están en forma de archivos .HTA (Aplicación HTML) que contienen código JavaScript malicioso.
Fue originalmente publicado en: Seguridad.unam.mx