Baja California 275 Condesa, CDMX. México
+(52) 1 55 8662 5278 WhatsApp Empresa
ventas@mezcaleads.us

LAS FUNCIONES DE ROBINHOOD RANSOMWARE «COOLMAKER» NO SON TAN GENIALES

LAS FUNCIONES DE ROBINHOOD RANSOMWARE «COOLMAKER» NO SON TAN GENIALES

RobinHood ransomware es una de las variantes de ransomware más interesantes de Golang que ha aparecido recientemente en el panorama de ransomware . El ransomware se usó anteriormente en las computadoras de cifrado de infecciones de alto perfil en la Ciudad de Greenville y más recientemente en la Ciudad de Baltimore . Originalmente se codificó en el lenguaje de programación Go y se compiló en un ejecutable de 32 bits. En este análisis técnico, exploraremos las main_CoolMakerfunciones destinadas a deshabilitar la máquina e interrumpir la copia de seguridad y otros servicios vitales de PC.

Descripción general de RobinHood Ransomware

RobinHood es un malware que encripta el disco duro de la víctima con la combinación criptográfica RSA + AES y le indica a la víctima que se comunique con ellos a través del sitio web de Onion Tor. El ransomware RobinHood deja caer el archivo de notificación a la víctima en el escritorio que detalla las demandas y cómo hacer contacto.

robinhood nota de rescate

Una vez que se establece el contacto, los atacantes afirman que harán disponible una herramienta de descifrado, lo que permitirá a la víctima recuperar sus archivos preciosos, a cambio de los pagos realizados en bitcoin.

Actualmente, no está claro cuál es el vector de infección inicial. Solo hay un ransomware confirmado por RobinHood Golang que conocemos hasta ahora. También es notable que el ransomware no se propague dentro de la red; todo lo contrario, elimina todos los recursos compartidos de Windows a través de "cmd.exe / c net use * / DELETE / Y". Eso probablemente significa que el ransomware se inserta en cada máquina individualmente después de la ruptura de la red inicial a través del psexeccontrolador de dominio y / o.

El ransomware espera leer "C: windows temp pub.key" y, si no se encuentra el archivo, la muestra termina. Esto sugiere un posible antídoto para crear y guardar un archivo "pub.key" en "C: windows temp" sin privilegios de lectura o escritura, lo que haría que el ransomware abortara su ejecución inicial en su configuración actual conocida.

El ransomware contiene los siguientes artefactos de depuración:

Imagen de Robinhood Debug Artefactos

C:/Users/valery/go/src/oldboy/config.go
C:/Users/valery/go/src/oldboy/functions.go
C:/Users/valery/go/src/oldboy/main.go

También es notable que el ransomware contiene capacidades de depuración completas para escribir registros en "C: windows temp rbf.log"; sin embargo, el ransomware se compiló con main_EnableEventLogDATAdeshabilitado, pero se pudo parchear para recuperar y activar esta función.

Imagen de Robinhood Ransomware Logging Check

Función CoolMaker de RobinHood Ransomware

La main_CoolMakerfunción de ransomware de RobinHood contiene una gran cantidad de subfunciones destinadas a deshabilitar e interrumpir las copias de seguridad y servicios de PC de la víctima. Algunas de las funciones de Golang más interesantes se almacenan aquí, con nombres llenos de improperios. Estas acciones son responsables de acciones tales como eliminar las instantáneas a través de la ShadowFucksfunción mal nombrada (vssadmin.exe eliminar shadows / all / quiet y WMIC shadowcopy delete), RecoveryFCK(Bcdedit.exe / set {predeterminado} recoveryenabled no, Bcdedit.exe / set {predeterminado } bootstatuspolicy ignoreallfailures), y ServiceFuck(cmd.exe / c sc.exe detienen <lista de servicios).

Aparte de estos, también se encuentra el nombre algo más wevtutiltemperamental (wevtutil.exe cl Aplicación, wevtutil.exe cl Seguridad y wevtutil.exe cl System.exe), que funciona para borrar los registros.

Imagen de las funciones principales de Coolhood de Robinhood.

Pensamientos de cierre

Si bien el ransomware RobinHood no parece ser sofisticado, sí incluye un código de lenguaje de programación Go de nivel superior, y las intrusiones relacionadas con la red son más interesantes, ya que se dirigieron a grandes entidades gubernamentales como la Ciudad de Greenville y la Ciudad de Baltimore, una táctica que recuerda a los ataques anteriores de SamSam ransomware exigían pagos elevados con un conjunto de rescates individuales por máquina.

El grupo detrás de este ransomware y sus ataques pueden resultar más interesantes que el propio ransomware debido a las aparentes intrusiones de red bien planeadas y orquestadas antes de la implementación de su nuevo Go ransomware. Es razonable suponer que podemos esperar ver más ataques de este actor de amenazas en instituciones públicas que no implementan una solución de seguridad resistente al ransomware .

 

       
       
       
       
       

No hay comentarios

Añade tu comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.