PDF de programación - TorrentLocker - Ransomware en un país cercano

TorrentLocker

Ransomware en un país cercano



Marc-Etienne M.Léveillé

Diciembre 2014


TorrentLocker - Ransomware en un país cercano

2

2



Tabla de contenidos

Introducción

1. Resumen ejecutivo
2.
3. Vector de infección
3.1 Página de descarga
3.2 CAPTCHA
3.3 Documento de Word con macros de VBA

4. Esquema general
5. Análisis del malware

5.1 Ofuscación

5.1.1 Dropper
5.1.2 Launcher

5.2 Tienda local
5.3 Robo de credenciales SMTP y libretas de direcciones
5.4 Protocolo de red

5.4.1 Elección de un servidor de comando y control
5.4.2 Protocolo de comunicación
5.4.3 Generación del código para la identificación de la víctima

5.5 Criptografía

6. Análisis del software de descifrado
7. Similitud con el troyano bancario Hesperbot

7.1 Similaridad entre las páginas de distribución del malware
7.2 Reutilización del servidor de comando y control
7.3 Ruta a un archivo PDB

8. Estadísticas
8.1 Metodología
8.2 Resultados
9. Conclusión
10. Reconocimientos
11. Referencias
12. Apéndices
Apéndice A: Capturas de pantalla de páginas de descarga que piden un código de verificación CAPTCHA
Apéndice B: Lista de dominios conocidos que alojan páginas de descarga
Apéndice C: Lista de direcciones URL Onion conocidas con información sobre el pago del rescate
Apéndice D: Dominios de TorrentLocker generados por el algoritmo DGA
Apéndice E: Lista de tipos de archivos cifrados por TorrentLocker
Apéndice F: Lista de claves codificadas en forma rígida
Apéndice G: Lista de muestras


1. Resumen ejecutivo

El ransomware es una clase de programa malicioso distribuido por ciberdelincuentes cuyo objetivo es tomar

como rehenes a los equipos de las víctimas, por ejemplo, mediante el cifrado de los documentos o la

restricción del acceso a las aplicaciones. Los criminales luego exigen el pago de un rescate para "desbloquear"



TorrentLocker - Ransomware en un país cercano



el equipo infectado.

3

3

Win32/Filecoder.DI, también conocido como TorrentLocker, es una familia de ransomware que, tras su

ejecución, cifra los documentos, las imágenes y otros tipos de archivos de los usuarios. La banda criminal les

pide a las víctimas que paguen hasta 4,081 Bitcoins (aproximadamente USD 1.500) para descifrar los archivos.

El pago de este rescate solo se puede efectuar en Bitcoins.

El nombre TorrentLocker se lo dio iSIGHT Partners en una publicación de su blog en agosto de 2014 [8].

Proviene de la clave de registro utilizada por el malware para almacenar la información de la configuración,

bajo el nombre falso de "Bit Torrent Application". Las variantes recientes de TorrentLocker ya no usan esta ruta

de la clave para almacenar información.

HKEY_CURRENT_USER\SOFTWARE\BIT TORRENT APPLICATION\CONFIGURATION

Como lo descubrió Vínsula en junio de 2014 [7], el nombre que los ciberdelincuentes decidieron darle a su

"proyecto" es Racketeer ("extorsionista" en inglés). Hay varias funciones y archivos cuyo prefijo es la palabra

"rack" tanto en muestras de TorrentLocker (rack_init, rack_encrypt_pc, …) como en nombres de archivo de

scripts en el servidor de comando y control (rack_cfg.php, rack_admin.php, …). De hecho, "racket" ("extorsión"

en inglés) es una buena palabra para describir a TorrentLocker, ya que crea un problema que solo se puede

solucionar si se les compra el software de descifrado a los criminales.

La siguiente lista es un resumen de los descubrimientos que analizaremos en este artículo.

 De 39.670 sistemas infectados, 570 o 1,45% pagó el rescate a los criminales.









Estos 570 pagos realizados a la banda criminal indican que ganaron entre USD 292.700 y USD
585.401 en Bitcoins.

Según los datos obtenidos de los servidores de comando y control, se cifraron al menos 284.716.813
documentos hasta el momento.

Creemos que los responsables tras TorrentLocker son los mismos que los responsables de la familia
de troyanos bancarios HesperBot.

Las campañas de spam para distribuir TorrentLocker están dirigidas a países específicos. Los
siguientes son los países atacados hasta el momento:

 Australia

 Austria



Canadá

 República Checa







Italia

Irlanda

Francia



TorrentLocker - Ransomware en un país cercano

4

4



 Alemania

 Holanda

 Nueva Zelanda





España

Turquía

 Reino Unido





Los creadores de TorrentLocker respondieron a los informes online anulando los indicadores de
sistemas comprometidos (IOC) utilizados para la detección y cambiando el uso de las claves AES, que
pasaron del modo CTR a CBC cuando se divulgó un método para extraer la cadena de claves.

Los primeros rastros de TorrentLocker (según la telemetría de ESET) datan de febrero de 2014. Los
informes online también concuerdan con esta fecha.

2. Introducción

Se han publicado muchos informes online sobre TorrentLocker. Sabemos que la información aquí mencionada

ya se presentó y se analizó anteriormente en otros informes. Pero para que este artículo quede completo,

decidimos incluirla y mencionar la organización que la analizó por primera vez. Al final del presente artículo

aparece la lista exhaustiva de referencias.

Hacia fines de 2013, el ransomware CryptoLocker [21] recibió mucha atención. Operation Tovar [22] logró

desactivarlo a mediados de 2014. Aunque comparten muchas similitudes, TorrentLocker constituye una

amenaza distinta.

El primer informe online de la familia de malware TorrentLocker fue publicado por TÜBİTAK BİLGEM[1] el 20 de

febrero de 2014. La captura de pantalla del Editor del Registro de Windows muestra claramente el uso de

HKCU\SOFTWARE\BIT TORRENT APPLICATION\CONFIGURATION como lo describió iSIGHT Partners [8] en agosto de

2014.

Las variantes de principios de 2014 eran menos sofisticadas que las versiones del malware distribuidas en la

actualidad. Necesitaban que las víctimas enviaran un mensaje de correo electrónico a los perpetradores para

poder efectuar el pago y recibir sus claves de descifrado. Ahora esta parte se automatizó con la ayuda de una

página de pago que explica cómo pagar con Bitcoins para recibir el software de descifrado.

El propósito del presente artículo es:







presentar nuestros descubrimientos sobre las versiones recientes de TorrentLocker,

suministrar detalles técnicos sobre el cifrado que utiliza el ransomware y

crear una referencia para la investigación futura sobre esta amenaza y el ransomware en general.

El artículo se divide en cuatro secciones principales. Comienza con una descripción del vector de infección de



TorrentLocker - Ransomware en un país cercano

5

5



TorrentLocker. A continuación, analizaremos el malware y daremos detalles sobre la criptografía. Luego

hablaremos sobre las conexiones que hicimos entre los responsables de Hesperbot y TorrentLocker. La última

sección corresponde a las estadísticas que recopilamos desde los servidores de comando y control.

3. Vector de infección

Los informes online de las víctimas de TorrentLocker indican que la infección de TorrentLocker siempre

comienza con un mensaje de correo electrónico donde se le sugiere a la víctima que abra un "documento". Este

"documento" en realidad se trata del archivo malicioso ejecutable que instalará TorrentLocker y cifrará los

archivos. La telemetría de ESET también sugiere que el spam parece ser el único vector de infección desde

agosto 2014.

Imagen 1: Distintas maneras de infectarse con TorrentLocker a partir de un mensaje de spam enviado por correo electrónico



TorrentLocker - Ransomware en un país cercano

6

6



Como se muestra en la Imagen 1, hay varios caminos que se pueden tomar para ejecutar el archivo malicioso

ejecutable. Nosotros presenciamos todas las rutas diferentes mostradas en el gráfico. Por ejemplo, hubo casos

donde TorrentLocker se encontraba dentro de un archivo .zip adjunto a un mensaje de correo electrónico.

En otros casos, el mensaje contenía un vínculo para descargar el archivo .zip ya sea en forma directa o desde

una página de descarga con verificación CAPTCHA.

Éstos son algunos de los temas de los mensajes enviados a las víctimas:



Factura pendiente de pago

 Rastreo de un paquete enviado

 Multa por exceso de velocidad pendiente de pago

En todos los casos, los mensajes están localizados según la ubicación de la víctima. Por ejemplo, si se cree que

la víctima reside en Australia, la información falsa sobre el rastreo de un paquete aparecerá como enviada por

el servicio de correo Australian Post. La ubicación de la víctima potencial se puede determinar por el dominio

de primer nivel utilizado en la dirección de correo electrónico de la víctima o por el ISP al cual hace referencia.

3.1 Página de descarga

Una de las maneras más populares y efectivas de propagar TorrentLocker es a través del uso de páginas de

descarga que imitan sitios Web gubernamentales o de empresas locales. En este escenario, las víctimas reciben

vínculos en el mensaje de correo electrónico. Cuando hacen clic en estos vínculos, se muestran páginas falsas

que conducen a la descarga de archivos maliciosos ejecutables.

Estas páginas de descarga también son visibles únicamente desde ciertos países. La persona que quiera visitar

el sitio y su país no concuerde con los países objetivo será redirigida a la página de búsqueda de Google. El

filtrado se basa en la dirección IP de la víctima.

Una persona que quiera abrir la página con un sistema operativo que no sea Windows verá un mensaje que lo

invita a visitarla desde un equipo con Windows. El servidor usa el agente de usuario del navegador para

determinar si se está ejecutando en Windows.



TorrentLocker - Ransomware en un país cercano

7

7



Imagen 2: Página mostrada a usuarios de sistemas operativos que no sean Windows