Español | English
rss facebook linkedin Twitter

Campaña de TorrentLocker afectando a España e Italia

En los últimos días S21sec ha detectado una campaña de spam centrada en España e Italia con la finalidad de distribuir el malware conocido como TorrentLocker.

TorrentLocker pertenece a la variedad de malware conocida como ransomware, este tipo de amenaza bien bloquea el escritorio o bien cifra los ficheros de las víctimas. En ambos casos los criminales exigen el pago de un rescate a cambio de la liberación del equipo. Este pago se suele exigir en Bitcoins o en otro tipo de divisa digital.

Durante los dos últimos años han aparecido diversas amenazas con similar funcionalidad, tanto para equipos de sobremesa como para teléfonos móviles: CryptoLocker, Reventon, Netra, CryptoWall, Decode@india, TorLocker, Urausy…


El malware

TorrentLocker afecta a sistemas operativos Microsoft Windows y guarda semejanzas, si bien solo superficiales, con el desaparecido CryptoLocker. Este parecido no se trata de una casualidad ya que los creadores de TorrentLocker utilizan el nombre del mucho más conocido ransomware en la nota de extorsión. 



Sin embargo si se examinan ambas implementaciones se pueden ver diferencias sustanciales que hacen patente que no nos encontramos ante la misma amenaza.

El ransomware que nos ocupa cifrará cualquier archivo contenido en unidades de disco mapeadas y que tenga una extensión de las abajo mostradas.



Esto quiere decir que no cifrará las carpetas compartidas a menos que estas se encuentren accesibles como si fueran unidades de disco locales. Así mismo no cifra las particiones de recuperación si estas no son accesibles desde el sistema de ficheros.

Una vez infectado el equipo TorrentLocker establece una sesión TLS con su servidor de comando y control (C&C) en la que este le proporciona la clave con la que se procederá a cifrar los archivos. Si la comunicación con el C&C no se realiza el malware no realizará ninguna acción.

Actualmente se han detectado dos versiones del troyano que se diferencian fundamentalmente en el modo en que los ficheros son cifrados.

Primeras versiones

Las primeras noticias de la versión original de TorrentLocker se tuvieron en agosto del 2014 y la campaña de difusión se centró en Australia con una campaña de Spam suplantando al servicio postal del país.

Esta primera variante utilizaba un algoritmo de cifrado bastante rudimentario que se limitaba a aplicar una mascara XOR con una clave estática. Este algoritmo tan solo cifraba los 2 primeros MB de cada fichero, con lo cual si se disponía de una copia anterior al cifrado del archivo era posible extraer la clave y recuperar el resto de ficheros del sistema usando la siguente herramienta.

Es debido a este cifrado débil por lo que creemos que adoptaron la apariencia de CryptoLocker con la esperanza de que la reputación de éste les ayudara a conseguir que sus víctimas pagaran el rescate.

TorrentLocker AES

A principios del mes de diciembre de 2014 aparece una nueva variante del troyano que pasa a utilizar AES (Advanced Encryption Standard). que al tratarse de un algoritmo de cifrado robusto invalida el método de recuperación de archivos mencionado anteriormente.

En este caso la recuperación de los archivos cifrados pasaría por utilizar herramientas de tipo file carving ya que el malware no elimina los ficheros de forma segura (p. ej. sobreescribiéndolos) por lo que es recomendable evitar el seguir trabajando con el sistema tras la infección y montar el disco del sistema afectado en modo "solo lectura" de cara a intentar recuperar los datos. 

Para más información sobre el malware se puede consultar el análisis original del troyano llevado a cabo por iSHIGHT Partners.

La campaña

La campaña que nos ocupa comenzó a principios de diciembre y permaneció activa hasta el día 5 a las 20:09 (GMT+1) momento en el que los servidores de C&C dejaron de mostrar actividad.

Correos de Spam

Durante la campaña se han usado varios correos con la finalidad de inducir a los usuarios a descargar archivos adjuntos. Si bien no es una aproximación muy sofisticada resulta bastante efectiva. Hemos identificado al menos tres correos "tipo" dirigidos contra usuarios españoles

Correo 1 

Correo 2

Correo 3


Los enlaces servían archivos .zip que, una vez descomprimidos, contenían ejecutables con los siguientes nombres:

   Informe.Pdf_____________________________________________________________.exe
   Perfil.Pdf _____________________________________________________________.exe
   Processing.Pdf_____________________________________________________________.exe
   Mensaje.pdf_____________________________________________________________.exe


De nuevo, los atacantes usan una técnica rudimentaria -pero a juzgar por los resultados efectiva- para ocultar la extensión del archivo.

Impacto por países

Durante el curso de la investigación fuimos capaces de identificar al menos 6.000 víctimas de esta campaña distribuidas de la siguiente manera: 



Como se puede ver, más del 80% de los afectados se encuentran en España e Italia con afectación marginal en otros países. Como nota curiosa, hemos localizado afectados incluso dentro del Estado de la ciudad del Vaticano.

Adicionalmente hemos detectado otra campaña en curso enfocada en Turquía que está utilizando un patrón similar al usado para España e Italia.


Conclusión

Debido a su fácil monetización y la relativa simplicidad de la infraestructura necesaria para darles soporte estamos viendo un incremento en el número de infecciones ocasionadas por las diferentes variedades de ransomware.

En estos casos, la prevención es la mejor herramienta para el usuario ya que como hemos visto puede resultar muy difícil llegar a recuperar los datos una vez cifrados. En redes corporativas es importante limitar el acceso y nivel de privilegios  de los usuarios a las unidades compartidas con el fin de limitar el alcance de estas amenazas.

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login