En el mito griego de la caja de Pandora la historia cuenta que al abrirla se salieron todos los males del mundo. Los ataques de ransomware se están convirtiendo en uno de esos males de Internet que no distingue entre empresas, agencias gubernamentales, hospitales y hasta escuelas.
Tomando prestado el nombre del mito, surge el ransomware Pandora, un malware emergente que fue detectado en febrero de este año y que muestra todas las técnicas utilizadas por el ransomware más moderno.
El ransomware Pandora apunta principalmente a las redes corporativas robando datos de la red, cifrando archivos de la víctima y filtrando los datos robados si no se paga el ‘rescate’. Lo más destacado de Pandora es que utiliza varias técnicas de ingeniería inversa para evadir los controles de seguridad hasta un punto extremo.
Te puede interesar: Así funciona la Inteligencia Artificial y el reconocimiento facial en Recursos Humanos
El nivel de complejidad para ralentizar el análisis es más avanzado que el del malware promedio. “El grupo de cibercriminales también prestó atención al desbloqueo de archivos para garantizar la máxima cobertura de encriptación, al tiempo que permite el funcionamiento del dispositivo”, explica Fortinet en un comunicado.
En este momento, el grupo de ransomware Pandora tiene secuestrados los datos de tres víctimas que son amenazadas con la fuga de sus datos.
Captura del sitio en la Dark Web (red TOR) del grupo Pandora, con tres víctimas enumeradas: una agencia de bienes raíces con sede en Estados Unidos, una compañía de tecnología japonesa y un bufete de abogados estadounidense.
Los analistas del laboratorio de inteligencia de amenazas de FortiGuard Labs examinaron a fondo una muestra de un malware de Pandora que se incluyó en un archivo de Windows PE de 64 bits. Estos son los pasos que sigue el ejemplo del malware para ejecutarse:
1) Desempaquetado: el malware está empaquetado, por lo que el primer paso es descomprimir el contenido real en la memoria del dispositivo.
2) Mutex: crea un mutex para hacer posible que un hilo de múltiples programas haga uso de este único recurso.
3) Deshabilitar las funciones de seguridad: puede eliminar copias instantáneas de Windows.
4) Recopilar información del sistema: se utiliza para recopilar información sobre el sistema local.
5) Cargar la clave pública codificada: una clave pública está codificada en el malware para configurar la criptografía para el cifrado.
6) Almacenar claves privadas y públicas en el registro: se genera una clave privada y tanto la clave pública codificada como la clave privada recién generada se almacenan en el registro.
7) Búsqueda de Unidades: busca unidades desmontadas en el sistema y las monta para cifrarlas también.
8) Configuración de subprocesos múltiples: el malware utiliza subprocesos de trabajo para distribuir el proceso de cifrado.
9) Enumerar el sistema de archivos: los subprocesos de trabajo comienzan a enumerar los sistemas de archivos de las unidades identificadas.
10) Dejar caer la nota de rescate: la nota de rescate se deja caer en cada carpeta.
11) Comprobar la lista negra de nombres de archivos: para cada archivo y carpeta se comprueba una lista negra de nombres de archivo/carpeta. Si el archivo/carpeta está en la lista negra no será encriptado.
12) Comprobar la lista negra de extensiones de archivos: cada archivo se comprueba con una lista negra de extensiones de archivos. Si la extensión está en la lista, no se cifrará.
13) Desbloquear archivo: si el archivo está bloqueado por un proceso en ejecución, el malware intentará desbloquearlo mediante el Administrador de Reinicio de Windows.
14) Cifrar archivo: los hilos de trabajo cifrarán el archivo y lo escribirán de nuevo en el archivo original.
15) Cambiar el nombre del archivo: una vez finalizado el cifrado, los archivos se renombran a [original-nombre].pandora
Debes leer: Operadores deben hacer cambios en sus estructuras organizacionales para garantizar seguridad 5G: Fortinet
Por ahora no hay pruebas de que Pandora opere como Ransomware-as-a-Service (RaaS), pero Fortinet advierte que por el grado de complejidad del malware, todo indica que más adelante el grupo adoptará este modelo de negocio.
Para hacer frente a estas amenazas, los expertos de Fortinet recomiendan estar atentos y monitorear cómo evoluciona el malware, además de estar preparados con tecnología avanzada de detección, prevención y respuesta.