Nemucod, el aliado incondicional del ransomware Locky

Desde ya hace tiempo el ransomware ha logrado un protagonismo importante en el ambiente de la (in)seguridad corporativa y continúa siendo una tendencia para los cibercriminales. A comienzos de este año, Locky causó grandes daños a compañías, cifrando información delicada y solicitando un rescate para restaurarla.

Los payloads de Locky se alojan en sitios web vulnerables

Tras analizar su proceso de infección a través de correos electrónicos con metodologías de Ingeniería Social, realizaremos un análisis más detallado del otro vector de propagación que utiliza, que hasta el día de hoy es la amenaza predilecta de los atacantes para propagar a Locky: un código malicioso detectado por las soluciones de ESET como JS/TrojanDownloader.Nemucod.

Nemucod es un malware desarrollado en JavaScript y por lo tanto no tiene ninguna complicación para ser ejecutado en sistemas operativos Windows, gracias al Windows Script Host. Pero, ¿qué acciones realiza esta amenaza? En líneas generales, se encarga de descargar a Locky y efectuar su ejecución.

A continuación podemos observar una muestra del código del troyano Nemucod, que tiene algunas metodologías de ofuscación para evitar la fácil percepción del usuario. Existen determinadas funciones que los cibercriminales necesitan utilizar para lograr su cometido, a pesar de que cambien o desarrollen nuevas variantes de la amenaza. Estas funciones pueden utilizarse para obtener información del equipo como nombre del usuario o directorios, o también para hacer uso de funcionalidades de red para algún tipo de conexión:

2

Los payloads de Locky, por lo general, se encuentran en sitios web a los que se les encontró algún tipo de vulnerabilidad que fue explotada; es así como el cibercriminal logra alojarlos en ellos. En primer lugar, el atacante intentará consultar si el sitio en donde se encuentra el ransomware está disponible. En caso de obtener una respuesta afirmativa continúa la ejecución, de lo contrario finaliza el flujo del programa.

Luego de analizar una cantidad importante de variantes, pudimos comprobar que el código malicioso intentará descargar el ransomware en el directorio %TEMP% de la víctima, como se señala a continuación:

1

Previo a la descarga, Nemucod crea un archivo .BAT, en donde escribe el comando para ejecutar el archivo .EXE. Una vez que los dos archivos se encuentren en el sistema, el código malicioso procede a ejecutar el .BAT, como se puede comprobar en la siguiente captura:

descarga-locky

¿Cómo podría evitarse la infección y colocar una capa más de seguridad al sistema? Una opción podría ser denegar la ejecución de aplicaciones en alguna carpeta que se elija. En este caso, mencionamos que el código malicioso tiene la intención de alojar el payload en el directorio %TEMP%, por lo que tomaremos esa.

Para crear esta configuración, se debe hacer clic derecho sobre la carpeta y acceder a “Propiedades”, luego “Seguridad”, “Opciones avanzadas”, “Cambiar permisos”:

configuracion-avanzada-carpeta

Es necesario elegir qué usuario va a estar afectado por la política y luego hacer clic en el botón “Editar…”. Como se ve en la siguiente imagen, se debe buscar en el campo “Permisos” la etiqueta “Atravesar carpeta/ejecutar archivo” y seleccionar la opción “Denegar”. Por último, aceptar y aplicar los cambios realizados:

atravesar carpeta

Conclusión

Los atacantes están constantemente buscando nuevos y más efectivos vectores de infección, vulnerabilidades y configuraciones débiles de seguridad, para obtener alguna ventaja sobre los usuarios.

El secuestro de la información no se debería tomar a la ligera, ya que el impacto negativo que podría causar al negocio sería enorme, con grandes pérdidas económicas y de trabajo como consecuencia. Por esta razón, es importante estar actualizados y concientizarse sobre los riesgos que existen en seguridad informática y al navegar en Internet.

Una solución de seguridad que detecte las amenazas descritas en este post es el punto de partida para una protección efectiva, que debe complementarse con una política de backup y planes de respuesta a incidentes.

Créditos imagen: ©Dave Mathis/Flickr

Autor , ESET

Síguenos