Análisis e Investigación del Ransomware - Primera Parte

Actualizado: jul 6

Para entender y comprender la importancia de los recientes sucesos relacionados con dos grupos o actores que vienen haciendo un trabajo contundente frente al #ransomware y los recientes escenarios de organizaciones que buscan una guía o protocolo forense para poder orientar un análisis o recuperación de la información asociada al secuestro de datos. La asociación Internacional en Informática Forense ha consolidado una serie de escenarios y casos particulares mediante los cuales da a conocer las buenas prácticas relacionadas con este tipo de incidentes.


Los grupos y actores detrás del Ransomware


Muchos actores ingresan este sinnúmero de sucesos, como lo ocurrido con #Colonial Pipeline (#Darkside ) y el #ciberataque contra #JBS (#ReVil) y también recientemente las actividades ejecutadas por #Conti Ransomware . En un reciente reporte de de CrowdStrike se pueden observar los últimos escenarios y actividades dirigidas por estos grupos.



(Ver línea histórica del Ransomware) II parte "Ransomware




Como se observa en la imagen (izq) actualizada hasta el mes de mayo 2021 se listan los principales actores de ransomware a la fecha mediante los cuales se han efectuado ataques recientemente; y con los que algunos actores criminales están interactuando ante las acciones dirigidas contra instituciones de gobierno, estado e infraestructuras críticas.





Es nuevo orden de grupos que dirigen ransomware también están orientados en la misma medida con cómo está actuando el #cibercrimen como servicio y los factores que se deben analizar en el momento de analizar o investigar una APT en los que se destaca la creación de sitios a prueba de balas, o denominados: "bullet proof hosting", dichas plataformas de criptomonedas pueden servir para puntos de retiro de efectivo para operaciones de criptomonedas relacionadas con delitos de tipo financiero y otros fraudes.


Análisis del componente efectivo de un Ransomware


Una pieza de malware puede durar en internet o darnet cerca de 24 horas en mercados cibercriminales para la venta y adquisición de clientes o personas involucrados en distintos aspectos vinculados con este mercado; sin embargo hay varios sitios que garantizan su venta y propagación de nuevas muestras o piezas modificadas, categorizadas y mejoradas de las familias de ransomware citadas en la figura 1 y 2 de este artículo.


Cuando se analizan las características esenciales del componente efectivo de un ransomware, lo primero a tener en cuenta es seleccionar un marco de trabajo para analizar o investigar un ransomware, dependiendo de su tipo, clasificación, familia, variante, muestras recolectadas y actor (detrás) de la posible infección o #ciberataque. Mediante la siguiente clasificación:


Familia A-1: Código Malicioso con fines de intrusión cibernética: Nivel: Medio de criticidad.


Kernel: 1. Caballo de troya: Familia destacada de código malicioso que permite descargarse y ejecutarse en el sistema operativo (victima) para poder disfrazar procesos legítimos (primarios o secundarios) para desplegar o introducir otros mecanismos de cibercrimen ante los intereses de ciberdelincuente.


Tipología: RAT o RAToolKit Familia A-2: Código malicioso con fines de destrucción, exfiltración, ocultamiento o secuestro de datos. Multinivel: Medio de criticidad 2.


Ransomware: Código malicioso con fines de secuestro y modificación de datos.


3. Spylogger, Keylogger: Código malicioso con fines de exfiltración de datos sensibles.


4. RootKit: Código malicioso con fines de afectar procesos y suplantarlos a nivel de kernel.


Familia A-3: Código malicioso con fines de propagación o infección masiva.Nivel: Avanzado de criticidad 5.


Ransomware (Tipo Gusano): Código malicioso con capacidad de propagarse con los efectos de familia A-2.6.Polimorfos:


Código malicioso capaz de cambiar de forma o permitir ser persistente, superviviente y camuflarse a través del tiempo.


Nivel Alto y avanzado en criticidad 7.Código por defecto: Código malicioso que proviene por defecto fabrica, mutagénico o diseñado para su uso posterior a su creación.8.


Código ofuscado Cat. 1: Lenguaje ofuscado de código para cualquier familia A 1 –A 4, alto nivel de desarrollo. (Tomado del paper EVIDENCIA_DIGITAL_PRINCIPIOS_METODOLOGICOS_PARA_EL_ANALISIS_DE_CODIGO_MALICIOSO, E. Ortiz 2019)



Tipos de infección y propagación más comunes


  1. Ataques vía web: una vulnerabilidad presentada comúnmente tiene que ver con la exposición de bases de datos y formularios en páginas web en formatos HTML y PHP, y dados estos componentes pueden ser más susceptibles a realizar un XSS attack, entre otros documentados por OWASP. Este tipo de ataques vienen acompañados de ataques dirigidos a los navegadores eg. chrome o mozilla donde el usuario generalmente puede aprovechar vulnerabilidades en dichos complementos.

  2. Uso de Exploit´s: El usuario podría estar usando cualquier versión de Internet Explorer con una versión de Flash Player instalada y con esta poder explotar las vulnerabilidades asociadas a este. Una de las virtudes de un criptolocker, es poder incrementar su acción por medio de "exploits", lo que permite realizar drive-by-download

  3. Malvertising: Técnica utilizada por los atacantes para poder realizar contaminación de publicidad maliciosa en sitios web que visita el usuario y mediante esta poder propagarse a más usuarios.

  4. BlackHole exploit kit: ocurrida en el 2006, esta técnica permitía explotar los CVE´s:

  • Activex vulnerabilities-CVE-2006-0003

  • Adobe reader vulnerabilities-CVE-2007-5659, CVE-2008-2992, CVE-2009-4324,

  • Adobe Flash player vulnerabilities-CVE-2011-2110, CVE-2011-0611

  • Java vulnerabilities-CVE-2010-4452, CVE-2011-3544, CVE-2012-0507

5. Nuclear Exploit Kit: Técnica utilizada en el 2010 para poder afectar:

  • Adobe Acrobat Reader: CVE-2010-0188

  • Adobe Flash Player: CVE-2014-0515, CVE-2014-0569, CVE-2014-8439, CVE-2015-0311, CVE-2015-0336

  • Internet Explorer: CVE-2013-2551

  • Microsoft Silverlight: CVE-2013-0074

  • Java: CVE-2012-0507

6. Técnica de infección por vía E-mail: La más común entre las técnicas realizadas por el atacante para infectar el "paciente zero", en este caso al víctima del #ransomware, muchas de estas documentadas mediante los tipos de TTP´s realizadas por MITRE y adaptadas a la investigación cibernética sobre Amenazas Emergentes.


7. Propagación cuenta de Team Viewer: Táctica de propagación actual de algunas familias de Ransomware.


Buenas prácticas de gestión proactiva del Ransomware


Existen algunas guías que permiten asociar diferentes escenarios de protección y prevención del riesgo frente al ransomware, a saber:


  • Operationally Critical Threat, Asset and Vulnerability Evaluation (OCTAVE)

  • Factor Analysis of Information Risk (FAIR)The National Institute of Standards and Technology's (NIST (Cybersecurity, 2018)) Risk Management Framework (RMF)

  • Threat Agent Risk Assessment (TARA)

  • ISO/IEC 27005 (Evaluación del Riesgo TI)– ISO 31000 (Apreciación y Evaluación del riesgo)

  • CCTA Risk Analysis Management & Methodology (CRAMM)

  • COSO (Committee of Sponsoring Organizations of the Treadway)

  • COBIT 5

  • ITIL

  • MAGERIT


Aseguramiento y recolección de Evidencia digital


Enlazado con este tipo de acciones también se pueden involucrar buenas prácticas relacionadas con la identificación, recolección, preservación, aseguramiento y presentación de la evidencia digital y para examinadores en la primera línea de TRIAGE o DFIR (Digital Forensic Incident Response)


Conclusiones preliminares


Ante cualquier incidente de ransomware es fundamental tener en cuenta lo siguiente:


  • Realice verificación en la página https://www.nomoreransom.org/ (muestras o archivos .txt) ó https://www.emsisoft.com/ransomware-decryption-tools/.

  • Ubicar el decriptor de la información cifrada (muestra catalogada de malware)

  • Realizar TRIAGE de la información recuperable (Shadow copy) por medio de la utilidad shadowexplorer.

  • Establecer marco de RTO y RPO dentro de la política BCP (Business Continuity Plan)

  • Fijar como elemento de evaluación para el #Ransomware herramienta testeada por CISA (https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/cisas-cset-tool-sets-sights-ransomware-threat)


Comunicación incidentes informáticos: coordinador@redciber.org o @academicocert en twitter.






31 vistas0 comentarios

Entradas Recientes

Ver todo