El nuevo software de ransomware llamado Cr1ptT0r está diseñado para sistemas integrados que se dirigen a dispositivos de almacenamiento conectados a la red (NAS) que se han extendido por Internet y tienen la tarea de cifrar los datos disponibles en los dispositivos infectados. .
Cr1ptT0r se descubrió por primera vez en el foro BleepingComputer, en el que muchos usuarios informaron que sus dispositivos D-Link DNS-320 estaban infectados con este ransomware. D-Link ya no vende el modelo DNS-320, pero este producto sigue siendo compatible con el fabricante. Pero el problema es que el último firmware para el dispositivo también apareció desde 2016, y desde entonces, se han utilizado muchos agujeros de seguridad para penetrar en el dispositivo porque no hay parches D-Link adicionales.
Los procesos maliciosos de escaneo binario ELF llevados a cabo el jueves pasado mostraron la tasa mínima de detección de malware en VirusTotal, solo una herramienta antivirus identificada como Cr1ptT0r es una amenaza.
Un firmware muy antiguo puede tener graves consecuencias para la seguridad
Los miembros del foro BleepingComputer también proporcionaron mucha información para mostrar que el método de ataque probablemente se origina en una vulnerabilidad que aparece en la versión anterior del firmware. Un miembro del grupo Cr1ptT0r confirmó esto y dijo que había muchos agujeros en los modelos NAS D-Link NAS-320 que deberían haberse solucionado antes.
Algunos usuarios afectados por Cr1ptT0r reconocen que instalaron la versión desactualizada del software y que su dispositivo estaba “expuesto” en Internet en el momento del ataque.
El malware asigna solo dos archivos de texto sin formato a los dispositivos infectados. Una es la nota de rescate llamada “_FILES_ENCRYPTED_README.txt”, que instruye a la víctima sobre cómo obtener información más detallada sobre la situación que está sucediendo en su sistema y cómo comunicarse con estafadores maliciosos para pagar el rescate a cambio de claves de descifrado para archivos encriptados.
La nota de rescate lleva a la víctima al servicio de descifrado Cr1ptT0r, que almacena los mismos datos de contacto, así como los pasos para abrir la clave de cifrado. Y para demostrarle a la víctima que tiene claves de descifrado reales, los esparcidores de códigos maliciosos descifrarán un archivo “gratuito” en el sistema.
Además, el texto restante se llama “_cr1ptt0r_support.txt” y contiene la dirección de una página web en la red Tor. Esta es una URL de soporte que la víctima puede usar si no sabe qué hacer, le permite crear cobertura remota en dispositivo infectado si el dispositivo está en línea. El miembro del equipo Cr1ptT0r también agregó que las URL y las direcciones IP no se registrarán, por lo que no habrá correlación entre los datos y la víctima.
Si bien dicen que se trata solo de recibir pagos y recopilar información personal no es algo que los atacantes quieran, no hay nada que garantice que sus datos no serán recopilados y por qué el almacenamiento no autorizado
La clave de descifrado Synolocker también está disponible para su uso
Las claves para desbloquear archivos cifrados se vendieron a través de OpenBazaar por 0,30672022 BTC (alrededor de $ 1,200 al tipo de cambio actual de Bitcoin). También existe una opción más económica para descifrar archivos individuales. El costo es de $ 19,99 y deberá enviar manualmente los archivos cifrados.
Una actualización reciente del sitio web de OpenBazaar muestra que los editores también han proporcionado claves de descifrado para el malware Synolocker por el mismo precio. Esta categoría de ransomware causó graves daños en 2014 cuando infectó servidores NAS de Synology, ejecutando versiones desactualizadas de DiskStation Manager que contenían hasta dos fallas de seguridad importantes, aunque el proveedor las entregó. Lanza el parche con al menos 8 meses de anticipación.
El equipo detrás de Synolocker cerró su sitio web a mediados de 2014 y se ofreció a vender todas las claves de descifrado a granel por 200 BTC (alrededor de $ 100,000 en ese momento). El grupo también anunció que todas las bases de datos se eliminarán permanentemente cuando se cierre el sitio web oficial.
Volviendo al presente, la combinación de claves privadas para desbloquear datos sin una identificación de víctima se puede hacer mediante fuerza bruta rápidamente, en particular, solo unos minutos en este caso.
No se agregan extensiones al archivo bloqueado
Este Ransomware es esencialmente un binario ARM ELF, es decir, no adjunta ninguna extensión específica a los datos cifrados. Sin embargo, el investigador de seguridad Michael Gillespie también analizó brevemente este malware, así como los archivos que encriptaba, y encontró que la etiqueta “_Cr1ptT0r_” se agregó al final del archivo.
Además, el investigador dijo que las cadenas que observó sugerían que esta cepa de ransomware usaba una biblioteca criptográfica de sodio y usaba el algoritmo “curc25519xsalsa20poly1305” para realizar criptografía asimétrica.
Además, la clave pública (256 bits) que se utiliza para cifrar los datos disponibles en un archivo separado llamado “cr1ptt0r_logs.txt” también almacena la lista de archivos cifrados y también se agrega. El final de los archivos está encriptado y, según Gillespie, esto es totalmente consistente con el algoritmo de encriptación que señaló anteriormente.
Actualmente, los propagadores de ransomware parecen estar prestando más atención a los dispositivos NAS, que las pequeñas empresas suelen utilizar para almacenar y compartir datos internos.
Cr1ptT0r es un nombre nuevo que aparece, pero no parece fácil de manejar. Según los desarrolladores maliciosos, este ransomware está diseñado para sistemas Linux, y se centra en dispositivos integrados, pero también se puede ajustar para apuntar a Windows y, por supuesto, el objetivo final es solo el rescate de la víctima. Actualmente, Cr1ptT0r solo se distribuye a pequeña escala, su presencia no es muy significativa en este momento, pero puede convertirse en una gran amenaza si las medidas preventivas no se implementan a tiempo. .
código malicioso para Linux Windows ransomware, cifrado y descifrado, ataque de red
El nuevo software de ransomware llamado Cr1ptT0r está diseñado para sistemas integrados que se dirigen a dispositivos de almacenamiento conectados a la red (NAS) que se han extendido por Internet y tienen la tarea de cifrar los datos disponibles en los dispositivos infectados. .
Cr1ptT0r se descubrió por primera vez en el foro BleepingComputer, en el que muchos usuarios informaron que sus dispositivos D-Link DNS-320 estaban infectados con este ransomware. D-Link ya no vende el modelo DNS-320, pero este producto sigue siendo compatible con el fabricante. Pero el problema es que el último firmware para el dispositivo también apareció desde 2016, y desde entonces, se han utilizado muchos agujeros de seguridad para penetrar en el dispositivo porque no hay parches D-Link adicionales.
Los procesos de escaneo binario ELF maliciosos llevados a cabo el jueves pasado mostraron la tasa mínima de detección de malware en VirusTotal, solo una herramienta antivirus identificada como Cr1ptT0r es una amenaza.
Un firmware muy antiguo puede tener graves consecuencias para la seguridad
Los miembros del foro BleepingComputer también proporcionaron mucha información para mostrar que el método de ataque probablemente se origina en una vulnerabilidad que aparece en la versión anterior del firmware. Un miembro del grupo Cr1ptT0r confirmó esto y dijo que había muchos agujeros en los modelos NAS D-Link NAS-320 que deberían haberse solucionado antes.
Algunos usuarios afectados por Cr1ptT0r reconocen que instalaron la versión desactualizada del software y que su dispositivo estaba “expuesto” en Internet en el momento del ataque.
El malware asigna solo dos archivos de texto sin formato a los dispositivos infectados. Una es la nota de rescate llamada “_FILES_ENCRYPTED_README.txt”, que le indica a la víctima cómo obtener información más detallada sobre la situación que está sucediendo en su sistema y cómo comunicarse con estafadores maliciosos para pagar el rescate a cambio de claves de descifrado archivos encriptados.
La nota de rescate lleva a la víctima al servicio de descifrado Cr1ptT0r, que almacena los mismos datos de contacto, así como los pasos para abrir la clave de cifrado. Y para demostrarle a la víctima que tiene claves de descifrado reales, los esparcidores de códigos maliciosos descifrarán un archivo “gratuito” en el sistema.
Además, el texto restante se llama “_cr1ptt0r_support.txt” y contiene la dirección de una página web en la red Tor. Esta es una URL de soporte que la víctima puede usar si no sabe qué hacer, le permite crear cobertura remota en dispositivo infectado si el dispositivo está en línea. El miembro del equipo Cr1ptT0r también agregó que las URL y las direcciones IP no se registrarán, por lo que no habrá correlación entre los datos y la víctima.
Si bien dicen que se trata solo de recibir pagos y que recopilar información personal no es algo que los atacantes quieran, no hay nada que garantice que sus datos no serán recopilados y por qué el almacenamiento no autorizado.
La clave de descifrado Synolocker también está disponible para su uso
Las claves para desbloquear archivos cifrados se vendieron a través de OpenBazaar por 0,30672022 BTC (alrededor de $ 1,200 al tipo de cambio actual de Bitcoin). También existe una opción más económica para descifrar archivos individuales. El costo es de $ 19.99 y deberá enviar manualmente los archivos cifrados.
Una actualización reciente del sitio web de OpenBazaar muestra que los editores también han proporcionado claves de descifrado para el malware Synolocker por el mismo precio. Esta categoría de ransomware causó graves daños en 2014 cuando infectó servidores NAS de Synology, ejecutando versiones desactualizadas de DiskStation Manager que contenían hasta dos fallas de seguridad importantes, aunque el proveedor las entregó. Lanza el parche con al menos 8 meses de anticipación.
El equipo detrás de Synolocker cerró su sitio web a mediados de 2014 y ofreció vender todas las claves de descifrado a granel por 200 BTC (alrededor de $ 100,000 en ese momento). El grupo también anunció que todas las bases de datos se eliminarán permanentemente cuando se cierre el sitio web oficial.
Volviendo al presente, la combinación de claves privadas para desbloquear datos sin una identificación de víctima se puede lograr mediante la fuerza bruta rápidamente, en particular, solo unos minutos en este caso.
No se agregan extensiones al archivo bloqueado
Este ransomware es esencialmente un binario ARM ELF, es decir, no adjunta ninguna extensión específica a los datos cifrados. Sin embargo, el investigador de seguridad Michael Gillespie también analizó brevemente este malware, así como los archivos que encriptaba, y encontró que la etiqueta “_Cr1ptT0r_” se agregó al final del archivo.
Además, el investigador dijo que las cadenas que observó sugerían que esta cepa de ransomware usaba una biblioteca criptográfica de sodio y usaba el algoritmo “curc25519xsalsa20poly1305” para realizar criptografía asimétrica.
Además, la clave pública (256 bits) utilizada para cifrar los datos disponibles en un archivo separado llamado “cr1ptt0r_logs.txt” también almacena la lista de archivos cifrados y también se agrega. El final de los archivos está encriptado y, según Gillespie, esto es totalmente consistente con el algoritmo de encriptación que señaló anteriormente.
Actualmente, los propagadores de ransomware parecen estar prestando más atención a los dispositivos NAS, que las pequeñas empresas suelen utilizar para almacenar y compartir datos internos.
Cr1ptT0r es un nombre nuevo que aparece, pero no parece fácil de manejar. Según desarrolladores maliciosos, este ransomware está diseñado para sistemas Linux, y se centra en dispositivos integrados, pero también se puede ajustar para apuntar a Windows y, por supuesto, el objetivo final es solo el rescate de la víctima. Actualmente, Cr1ptT0r solo se distribuye a pequeña escala, su presencia no es muy significativa en este momento, pero puede convertirse en una gran amenaza si las medidas preventivas no se implementan a tiempo. .