En poco tiempo, la nueva versión de Cryptowall ha comenzado a aparecer en exploit kits.
El SANS Internet Storm Center, dijo el martes que un atacante trabajando desde dominios pertenecientes al registrador chino BizCN ha estado moviendo el ransomware a través de la Nuclear Exploit Kit.
El administrador del SANS ISC y el ingeniero de seguridad de Rackspace Brad Duncan dijeron que hasta hace poco, Cryptowall 4.0 se había movido casi exclusivamente a través de spam malicioso y correos electrónicos de phishing. Dijo que esta es la primera vez Cryptowall 4.0 ha estado infectando máquinas a través de un exploit kit.
"Yo ya esperaba que la versión 4.0 empezara a reemplazar a CryptoWall 3.0 en todas las áreas. Me di cuenta de lo mismo cuando CryptoWall 2.0 sustituyo a la CryptoWall original, en 2014. No sucedió inmediatamente. Comenzó con spam malicioso y se trasladó a exploit kits ", dijo Duncan. "A medida que los criminales comienzan a propagar CryptoWall 4.0 en exploit kits, no va a suceder de inmediato con todos los exploit kits al mismo tiempo. Comenzaremos a ver que de uno, y luego otro, y otro. En algún momento todo el mundo se habrá trasladado a la nueva versión ".
El atacante trabajando desde los dominios BizCN cambió recientemente direcciones IP para sus puertas de dominio, que son servidores intermedios entre sitios web comprometidos y el servidor que aloja el exploit kit. Este actor, dijo Duncan, utiliza el Nuclear Exploit Kit para entregar malware.
"Los servidores de puerta pueden revisar el sistema operativo o el tipo de navegador de la cadena de agente de usuario en las cabeceras HTTP enviadas por una víctima potencial. Dependiendo de la cadena de agente de usuario, el servidor de puerta responderá en consecuencia ", dijo Duncan. "Con las puertas de BizCN, cuando el sistema operativo no es Windows, el servidor de puerta responderá con un "404 not found" (no hay necesidad de gastar recursos en un host que no es vulnerable). Si la cadena de agente de usuario muestra un host de Windows, el servidor de puerta devolverá un 200 OK, que a su vez generar tráfico a un servidor EK".
Duncan publicó un análisis el dia de ayer en el sitio SANS ISC que incluye ejemplos de patrones de URL para el tráfico de puerta BizCN y otros indicadores de compromiso. El paso hacia nuclear, dijo Duncan, no será exclusiva; espera que otros exploit kits, incluyendos Angler, redirijan finalmente sitios comprometidos con su propio EK. También advierte que los atacantes continuarán propagando Cryptowall 4.0 a través de spam también.
"No están pasando de spam. Nos seguimos viendo CryptoWall 4.0 de spam malicioso, incluso cuando empezamos a ver más de exploit kits. Esto es sólo la difusión del versión 4.0 sustituyendo a la versión 3 ", dijo Duncan. "Algunos grupos criminales se enfocan en el spam malicioso. Otros grupos utilizan exploit kits ".
Cryptowall 4,0 aparecio a principios de este mes con actualizaciones que aumentan la dificultad de recuperar archivos de las computadoras comprometidas. Investigadores de Bleeping Computer dijeron que el cambio más grande es que el ransomware ahora encripta los nombres de archivos, además de los datos. Los atacantes también han actualizado la nota de rescate que se les presenta a las víctimas incluyendo una frase burlona que felicita a la víctima por convertirse en parte de la comunidad Cryptowall.
Duncan también notó algunas otras diferencias sutiles, incluyendo un cambio en la nota de rescate llamando al ransomware Cryptowall no Cryptowall 3.0; Tampoco comprueba la dirección IP del equipo infectado como lo hacia antes.
"El tráfico de red para CryptoWall 4.0 se ve casi idéntico a lo que vimos con 3.0, a excepción de la ausencia de un control de la dirección IP por el malware", dijo Duncan. "En este momento, las firmas basadas en snort que he visto para tráfico de CryptoWall 3,0 siguen siendo válidas para el 4.0."
