Caza a Cryptolocker, perdemos el primer asalto

0

Poniéndonos en situación.

Ya hemos hablado (a finales de Octubre) de Cryptolocker en Mejor Antivirus. Ampliando la información ya publicada y contando con informes de Bitdefender, sabemos que fueron capaces de realizar ingeniería inversa sobre el código de este malware y su algoritmo de generación de dominios “pozo” o sinkhole, con especial actividad entre el 27 de Octubre y el 1 de Noviembre.

Durante dicho periodo, 12016 hosts infectados intentaron contactar con los dominios mencionados; la mayoría de conexiones se produjeron desde IP ubicadas en EEUU. De hecho, juzgando en base a la distribución de los anfitriones infectados y los métodos de pago disponibles, pudiera parecer que los sistemas afectados eran exclusivamente americanos, siendo el resto daños colaterales.

Expansión inicial de Cryptolocker

El algoritmo de generación de dominios se emplea para evitar la posibilidad de que la red sea interrumpida por las autoridades, generando nuevos servidores de comando y control (C2) cada día. Sin embargo, una vez realizada la reversión, los investigadores fueron capaces de pre-registrar los dominios relevantes y contabilizar los intentos de conexión.

Lo servidores de Cryptolocker son cambiados muy a menudo -es extraño que un servidor de Comando y Control permanezca online durante más de una semana. Durante el período de monitorización, dichos servidores fueron localizados en Rusia, Alemania, Kazajstán y Ucrania, pero esto es solo indicativo de que los controladores del malware sentían predilección por realizar constantes saltos entre servidores.

Casi todos los servidores de comando tenían, además, un servicio de almacenamiento público de pago a través del cual las víctimas pueden comprar claves de descifrado.

Mecanismo de descifrado asociado al malware

La caza a Cryptolocker

Los investigadores de Bitdefender han identificado cierto número de dominios que aún alojan malware relativo a Servidores de comando de Cryptolocker, tras el intento de “derribo” efectuado por un grupo de ciber-vigilantes a comienzos de semana.

Todos los nombres de dominio aún activos son generados mediante algoritmo, pero de alguna forma los ciber-vigilantes fallaron al tener en cuenta dicho aspecto, por lo que la red Cryptolocker aún está bajo el control de los ciberdelincuentes. Algunos de los dominios que fueron codificados en el propio virus de Cryptolocker no fueron incluídos en el intento de cierre de la red, sin embargo no parece haber servidor de Comando y Control activo en estos momentos, lo que es buena noticia.

Aún en el caso de poder hundir la red delictiva por completo y dejarla descabezada, esto crearía tantos problemas como los que resolviera. Un intento de hundimiento debería ser combinado con algun mecanismo de recuperación de claves ya presentes en los C2, ya que en caso contrario las víctimas perderían toda posibilidad de desencriptar sus archivos ya cifrados mediante Cryptolocker.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR