Ha ganado un millón de dólares en extorsiones a los usuarios.
Los investigadores de seguridad de Dell SecureWorks dijeron que entre Marzo y Agosto cerca de 625 mil sistemas fueron infectados por CryptoWall, cifrando más de 5.25 billones de archivos. La mayoría de las infecciones ocurrieron en equipos de usuarios estadunidenses (40.6%).
Cryptowall cifra los archivos en computadoras con Windows y dispositivos de almacenamiento conectados. Utiliza encripción RSA de 2048 bits. El usuario infectado tiene que pagar una cantidad de dinero para obtener la llave privada que descifra los archivos.
Los investigadores estimaron que de las 625 mil infecciones, 1,683 usuarios víctimas pagaron por el rescate de sus archivos. La cantidad obtenida por la banda detrás de CryptoWall fue de alrededor de 1 millón 100 mil dólares. En 6 meses, entre marzo y agosto.
Sin embargo, CryptoWall sigue estando por debajo de CryptoLocker en cuanto a ganancias económicas. A pesar de infectar a casi 100 mil víctimas más, sólo ha obtenido el 37% de los rescates pagados a CryptoLocker.
CryptoWall ha sido propagado desde principios de noviembre de 2013, siendo conocida su existencia hasta el primer trimestre de 2014. En marzo fue identificado con el nombre de CryptoDefense. Sin ser tan sofisticado en el malware y en la infraestructura como sucedió con CryptoLocker, la gente detrás de CryptoWall han demostrado la longevidad y dominio para su distribución. Para los expertos de Dell SecureWorks puede ser que los autores de ambas amenazas sean los mismos o estén relacionados.
El ransomware infecta a los sistemas a través de kits de explotación en el navegador, descargas dirigidas, y archivos maliciosos adjuntos en el correo electrónico.
Una vez que CryptoWall es ejecutado en el sistema, se descomprime en la memoria e inyecta código malicioso en un proceso nuevo que crea, instanciando un proceso malicioso que usa el archivo “explorer.exe” legítimo del sistema para ejecutar “vssadmin.exe” y borrar todas las copias del sistema de archivos. También modifica el Registro del sistema para inhabilitar la función de restauración del sistema de Windows. Estas técnicas son utilizadas para prevenir que los archivos cifrados sean recuperables. El malware crea un proceso “svchost.exe” usando el archivo legítimo del sistema aunque de forma anómala ya que se ejecuta con los privilegios del usuario del sistema víctima y no como un proceso del sistema. Además,el proceso se ejecuta de forma independiente y no aparece como un proceso hijo de services.exe.
Para asegurar que se ejecute al iniciar Windows el malware se copia en la carpeta de inicio de los programas del sistema y agrega varios llaves de registro “autostart” al Registro de Windows. Algunas variantes del ransomware también instalan una llave “RunOnce” prefijada con un asterisco para hacer que el ejecutable se ejecute inclusive en Modo Seguro.
El cifrado de archivos inicia después de que CryptoWall recupera la llave pública RSA desde un servidor C2 activo. El sistema podría experimentar carga del procesador por el uso del algoritmo RSA. Los archivos que cifra son de diferente tipo, como texto, documentos, de código fuente, entre otros, ubicados en el disco duro, unidades removibles de almacenamiento, y de red que hayan sido mapeados, incluyendo unidades mapeadas de servicios de almacenamiento en la nube como Dropbox o Google Drive. El pago de la extorsión para el rescate de los archivos oscila entre $200 y $2,000 USD en su equivalente en Bitcoins.
Para los investigadores la amenaza de CryptoWall seguirá creciendo. Para mitigar la exposición o daño recomiendan:
- Bloquear archivos ejecutables y respaldos comprimidos que contengan archivos ejecutables antes de que lleguen a la Bandeja de Entrada del usuario.
- Mantener actualizados el sistema operativo, navegadores, complementos del navegador, como Java y Silverlight, para prevenir compromisos derivados de la exposicion a kits de exploitación.
- Bloquear los indicadores conocidos de la comunicación con la red para temporalmente neutralizar el malware hasta que pueda ser descubierto y eliminado.
- Re-evaluar los permisos de unidades compartidas de red para evitar que los usuarios sin privilegios modifiquen los archivos.
- Respaldar periódicamente los datos en medios de respaldo fuera de línea.
Los expertos aseguran que las políticas de restricción de software (SRP) no mitigan efectivamente CryptoWall debido a la forma en que el malware infecta a los sistemas.
Los investigfadores además exponen una serie de dominios y direcciones IP que pueden contener contenido malicioso y por lo tanto ser arriesgado abrirlos en el navegador. Recomiendan que se utilicen los controles disponibles para restringir el acceso a tales dominios e IPs para mitigar la exposición al malware CryptoWall.