Productos y Servicios PRODUCTOS Y SERVICIOS

Philadelfia RaaS refleja la habilidad de los malos para ser vendedorers

El investigador de SophosLabs deconstruye el popular kit de ransomware de Filadelfia para revelar cómo el rescate como servicio está proliferando el cibercrimen

Es cada vez más fácil de construir y lanzar ransomware, independientemente de la habilidad. Todo lo que uno necesita es mala intención y acceso a la web oscura – un mercado donde se venden juegos de malware como zapatos o juguetes en Amazon.

La tendencia se conoce como ransomware como un servicio, y pocos ejemplos son tan lisos y peligrosos como Filadelfia.

En el Black Hat 2017 esta mañana, Sophos publicó un informe en profundidad sobre el tema “Ransomware como un Servicio (Raas): Deconstructing Philadelphia”, escrito por Dorka Palotay, una investigadora de amenazas en la oficina de SophosLabs en Budapest, Hungría. Se adentra en la mecánica interior de un kit de ransomware que cualquiera puede comprar por $ 400. Una vez comprado, los malos pueden secuestrar y mantener los datos de la computadora para el rescate a cambio de pago.

A la intemperie

Los creadores del kit RaaS – The Rainmakers Labs – dirigen su negocio de la misma manera que una compañía de software legítima hace para vender sus productos y servicios. Mientras vende Filadelfia en mercados escondidos en la web oscura, acoge un video de “calidad” de producción en YouTube, explicando las tuercas y tornillos del kit y cómo personalizar el ransomware con una gama de opciones de funciones. Una detallada “Guía de ayuda”, que guía a los clientes a través de la configuración, también está disponible en un sitio web .com.

Mientras que el ransomware-como-un-servicio no es nuevo, la comercialización brillante, abierta de un ataque del ransomware del hágalo usted mismo es. Palotay dijo:

“Es sorprendentemente sofisticado lo que The Rainmakers Labs está tratando de hacer aquí. Detalles sobre Filadelfia están al aire libre en la World Wide Web, en lugar de underground y secreto en la web oscura, que es donde la mayoría de otros kits de ransomware se comercializan. No es necesario un buscador de Tor para encontrar Filadelfia, y el hecho de que sea descaradamente vendido es serio y, desgraciadamente, indicativo de lo que está por venir.”

Seguir a las víctimas y (quizás) tener compasión

Además de la comercialización, el producto en sí es avanzado con numerosos ajustes que los compradores pueden adaptar para orientarse mejor a cómo atacan a sus víctimas, incluyendo las opciones de “Seguir a las víctimas en un mapa de Google” y “Dar a Mercy”. También se explican consejos sobre cómo construir una campaña, configurar el centro de comando y control y recaudar dinero. Todo está bien allí.

Irónicamente, la característica “Give Mercy” no es necesariamente para ayudar a las víctimas, sino que está ahí para ayudar a los cibercriminales a salir de una situación complicada.

En su mayor parte, la opción Mercy es dar a los cibercriminales una salida, si están en una posición precaria después de un ataque en particular, dijo Palotay. También está allí en caso de que los amigos de un atacante accidentalmente se encuentran atrapados o si los criminales cibernéticos quieren probar su ataque.

La opción de “Seguir a las víctimas en un mapa de Google”, que suena espeluznante, da una idea de cómo los ciberdelincuentes determinan la demografía de los que han engañado. Esta información podría ayudarles a decidir repetir un ataque, por supuesto, corregir el siguiente ataque o fianza con la opción de “Misericordia”.

Características adicionales por dinero extra

Las opciones de seguimiento de Mercy y Google y otras características en Filadelfia no son exclusivas de este ransomware, pero tampoco están muy extendidas. Estos son ejemplos de lo que se está volviendo más común en los kits y, como resultado, muestra cómo el ransomware-as-a-service se está convirtiendo más en un mercado de software del mundo real. Palotay dijo:

El hecho de que Filadelfia es de $ 400 y otros kits de ransomware funcionan de $ 39 a $ 200 es notable. El precio de $ 400, que es bastante bueno para lo que se promete a los compradores de Filadelfia, incluye actualizaciones constantes, acceso ilimitado y compilaciones ilimitadas. Es como un servicio de software real que apoya a los clientes con actualizaciones periódicas.

Filadelfia también tiene lo que se llama un “puente” – un script PHP para gestionar las comunicaciones entre atacantes y víctimas y guardar información sobre los ataques.

Las características adicionales que los compradores de Filadelfia pueden personalizar incluyen el texto del mensaje de rescate que aparecerá a las víctimas y el color del texto, si el mensaje aparece antes de que los datos de la víctima sean encriptados y “Ruleta Rusa”, que elimina algunos archivos después de un determinado predeterminado periodo de tiempo. “La ruleta rusa” es común en los kits de ransomware, y se utiliza para pánico a los usuarios a pagar más rápido aleatoriamente borrar archivos después de un número de horas.

Tener opciones de personalización y puentes conduce en más beneficios y añade una nueva dimensión al ciberdelito que podría aumentar la velocidad de la innovación de ransomware, comentó Palotay. En otros casos de RaaS examinados por SophosLabs, las estrategias de fijación de precios abarcaban desde la división de un porcentaje del rescate procedente de las víctimas con los clientes del kit hasta la venta de suscripciones a los paneles que siguen a los ataques.

Código robado

El informe también revela que algunos ciberdelincuentes han “agrietado” o piratas de Filadelfia y venden su propia versión rasgada a un costo menor. Mientras que el agrietamiento no es nuevo, la escala es interesante. Las amenazas preparadas que no requieren que los atacantes sepan lo que están haciendo y que están fácilmente disponibles para su compra están en constante evolución. Sophos espera que esta tendencia de aumentar la apuesta y cometer fraude contra los defraudadores continúe. Palotay dijo:

No es raro que los ciberdelincuentes roben el código del otro o se basen en versiones anteriores de otros ransomware, que es lo que vimos con el reciente ataque NotPetya. El ataque de NotPetya combinó Golden Eye, una versión anterior de Petya, con la hazaña de Eternal Blue para propagarse e infectar computadoras a nivel mundial.

Medidas defensivas

Para obtener las mejores prácticas contra todos los tipos de ransomware, Sophos recomienda:

  • Realice copias de seguridad periódicamente y mantenga una copia de seguridad reciente fuera del sitio. Hay docenas de maneras diferentes de ransomware que los archivos pueden desaparecer repentinamente, como incendio, inundación, robo, una computadora portátil caída o incluso una eliminación accidental. Cifrar su copia de seguridad y no tendrá que preocuparse por el dispositivo de copia de seguridad caer en las manos equivocadas.
  • No habilite macros en adjuntos de documentos recibidos por correo electrónico. Microsoft desactivó deliberadamente la ejecución automática de macros por defecto hace muchos años como medida de seguridad. Muchas infecciones de malware se basan en persuadir a volver a activar las macros, así que no lo hagas!
  • Tenga cuidado con los archivos adjuntos no solicitados. Los ladrones se basan en el dilema de que no debe abrir un documento hasta que esté seguro de que es uno que desea, pero no se puede saber si es uno que desea hasta que lo abra. En caso de duda, déjalo fuera.
  • Patch temprano, patch a menudo. Los programas maliciosos que no entran a través de macros de documentos a menudo se basan en errores de seguridad en aplicaciones populares, como Office, su navegador, Flash y más. Cuanto antes se remache, menos huecos permanecen para que los delincuentes exploten. En el caso de este ataque, los usuarios quieren asegurarse de que están utilizando las versiones más actualizadas de PDF y Word.
  • Utilice Sophos Intercept X, que detiene el ransomware en sus pistas al bloquear el cifrado no autorizado de los archivos.
  • Pruebe Sophos Home para Windows y Mac de forma gratuita con familiares y amigos.
  • Echa un vistazo a nuestro webcast sobre RaaS, programado para el 23 de agosto.