TorrentLocker se ha mantenido activo incluso tras alcanzar su momento álgido, con unas tasas de detección bajas, lo que ha permitido a los cibercriminales culpables de la propagación del ransomware continuar trabajando en la sombra, mientras prosiguen los ataques contra victimas involuntarias.
Un enemigo familiar con un nuevo disfraz
Las nuevas variantes TorrentLocker mantienen el mismo modus operandi que los ejemplos que Trend Micro ha detectado anteriormente, aunque los cambios más significativos se dan en su nuevo método de distribución y en la manera en el que el propio malware está comprimido.
Un ejemplo del nuevo ataque TorrentLocker comienza con un e-mail que simula una factura enviada por un distribuidor de la organización donde trabaja la víctima. La factura no se envía de forma adjunta, sino que se accede a ella a través de un link de Dropbox que contiene un texto haciendo referencia a facturas o números de cuenta para, así, parecer auténtico. El uso del Dropbox mediante un link de una URL permite a TorrentLocker traspasar los sensores del gateway, ya que no existen restricciones y el link proviene aparentemente de una página web legitimada.
Una vez que el usuario pincha en el link, se descarga un archivo JavaScript (JS_NEMUCOD) que simula ser una factura en el ordenador de la víctima. Cuando trata de abrir la factura falsa, se descargará otro archivo JavaScript en la memoria, al que seguirá la consiguiente descarga y ejecución de la carga útil de TorrentLocker que se ejecutará automáticamente en el sistema.
Un patrón de comportamiento que siguen las nuevas variantes TorrentLocker es que están comprimidas en instaladores NSIS para impedir su detección, una técnica que también es utilizada por otros ransomware destacados como CERBER, LOCKY, SAGE y SPORA.
Alcance de los ataques
Sólo entre el 26 de febrero y el 6 de marzo de 2017, Trend Micro detectó, a través de su tecnología Smart Protection Network, 54.688 casos de emails de spam que incluían URL dirigidas a 815 cuentas diferentes de Dropbox. La mayor parte de ellas tuvo lugar en Europa, siendo Alemania y Noruega los países con mayor porcentaje de infecciones. Los ataques en Noruega surgieron a finales de febrero, pero su desplazamiento hacia Alemania fue paulatino durante el mes de marzo. Los autores del ransomware lanzaron el mayor número de ataques en los días laborables, mientras que la intensidad se veía rebajaba los fines de semana. El equipo de investigación de Trend Micro ha descubierto índices de infección elevados en la franja horaria de entre las 9:00 y las 10:00 de la mañana, coincidiendo con el inicio de la jornada laboral, que es cuando los empleados generalmente comprueban sus emails. Las organizaciones utilizan a menudo Dropbox para gestionar y transferir sus archivos, por lo que resulta comprensible que los empleados confíen en la legitimidad de esas URL que reciben a través de sus emails.
Actualmente, el equipo de Trend Micro está trabajando con Dropbox en este tema. Según el equipo de seguridad de Dropbox, todos los archivos descubiertos en el momento de la publicación han sido eliminados y sus respectivos usuarios prohibidos.
Aplacar a TorrentLocker
Debido a la naturaleza engañosa del nuevo TorrentLocker y otros programas de ransomware similares, las organizaciones deben tomar medidas adicionales para asegurarse de que están protegidos contra este tipo de ataques de ingeniería social. La prioridad número uno debe ser educar y concienciar a los empleados sobre las mejores prácticas para actuar y manejar ataques de phishing, lo que incluye comprobar cualquier correo electrónico para detectar contenido sospechoso, como el nombre que muestra el remitente o cualquier URL que no coincida. De hecho, se recomienda a los usuarios finales que se abstengan de descargar archivos adjuntos o que hacer clic en vínculos insertados en general, a menos que estén absolutamente seguros de que provienen de una fuente legítima.
Igualmente, los usuarios también deben tomar medidas para garantizar que cuentan con un backup de sus datos. Para llevo, Trend Micro recomienda implementar la política de copia de seguridad 3-2-1, que consiste en guardar al menos tres copias de datos, con dos copias en diferentes tipos de almacenamiento –preferiblemente en un disco interno y extraíble, y una copia fuera de las instalaciones.
Soluciones de Trend Micro
Además de las mejores prácticas que Trend Micro sugiere, los clientes de la compañía pueden utilizar las siguientes soluciones para mitigar aún más las amenazas de ransomware como TorrentLocker:
Al enfrentarse a este tipo de amenazas, reaccionar en cuanto se producen no es suficiente. La planificación estratégica y un enfoque proactivo y multicapa de la seguridad van mucho más allá – desde el gateway, endpoints, redes y servidores.
Trend Micro OfficeScan™ con XGen™ Endpoint Security combina high-fidelity machine learning y análisis de comportamiento con enfoques tradicionales para identificar y bloquear el ransomware. Trend Micro ha probado estas tecnologías en el malware descrito en esta publicación y ha encontrado que lo combaten de forma proactiva y eficaz.
Trend Micro™ Cloud App Security proporciona protección avanzada contra malware para cuentas de Dropbox Business, incluyendo contra TorrentLocker. Cloud App Security investiga el comportamiento de los archivos sospechosos explotándolos y analizándolos en un sandbox virtual, y no sólo mediante la correlación de patrones estáticos. Aprovecha la tecnología sandbox de Trend Micro™ Deep Discovery™que ha sido calificada como el sistema de detección de brechas más recomendado por NSS Labs.
Las Soluciones endpoint de Trend Micro como Trend Micro™ Smart Protection Suites, y Worry-Free™ Business Security pueden proteger tanto a usuarios como a empresas de estas amenazas gracias a la detección de archivos maliciosos y mensajes de spam, así como mediante el bloqueo de URL maliciosas con Trend Micro Deep Discovery™, que cuenta con una capa de inspección del email , puede proteger a las empresas detectando adjuntos y URL maliciosas.
Trend Micro OfficeScan™ con XGen™ Endpoint Security aporta high-fidelity machine learning junto a otras tecnologías de detección e inteligencia global de amenazas para una protección integral contra el ransomware y el malware avanzado.
Los clientes de TippingPoint está protegidos de esta amenazas a través de los filtros MainlineDV:
· 21354: TLS: ABUSE.CH SSL Blacklist Malicious SSL certificate detected (TorrentLocker CnC)
· 30623: TLS: Suspicious SSL Certificate (DGA)
Con análisis adicional de Anthony Melgarejo
Los siguientes hashes SHA256, han estado involucrados en este ataque: