Cuentos de la cripto vol.2
Caso de Ransomware en un particular

El comienzo

Un familiar intentó ordenar su computador por medio de una herramienta que conocía, Ccleaner. Para sacar mejor provecho de la herramienta, buscó una versión registrada online. De esa forma llegó a este sitio, de donde descargó un archivo rar con contraseña.

Telegram Parte I
Al momento de ejecutar el software, llegó una notificación a su teléfono, Telegram estaba entregando un número de seguridad…

Este mensaje estaba en ruso y la traducción vía Google nos explicó la situación.

Le sugerí que no hiciera acciones adicionales, dado que simplemente estaban intentando hackearla, pero no lo lograrán a menos que consiguieran ese número. Ese intento de conexión murió en ese paso tal como indica el capturado.

Análisis de la IP
Aun cuando tiene más puertos abiertos que apuntan a un servidor Debian, el puerto 3128 corresponde a un administrador web de máquinas virtuales.

nmap muestra que los puertos abiertos corresponden a escritorios remotos virtuales de varios Windows diferentes lo que posiblemente pueda ser un
Command and Control de varios bots locales.


“posible investigación futura a realizar”

En este momento aún no sabía qué es lo que estaba pasando en su computador.

El Notebook
Al rato me pidió ayuda. El antivirus de su computadora estaba teniendo una pelea con un malware que intentaba deshabilitarlo mientras el AV intentaba eliminar el archivo comprometido. El mensaje de malware apuntaba a un crypto.MTB, por lo que lo desconecté de la red para seguir la revisión. Le comenté que podíamos estar frente a un ransomware. Mi familiar me contó lo que estaba haciendo y eliminamos el archivo ejecutable. Ahora tocaba identificar todo lo que se instaló.

Nota Importante: Windows 10 estaba actualizado al día, tanto de parches críticos como de definiciones de antivirus.

El Ransomware
Mientras miraba de forma manual los registros y las carpetas nuevas, gatillé la revisión FULL del antivirus, que estaba actualizado hasta un poco antes de haberlo desconectado. Aparecieron más de 10 archivos de malware diferentes y varios procesos detenidos. También intenté detectar y eliminar procesos de estuviera corriendo y que no reconociera, así como cualquier cosa que haya quedado en el inicio o servicio habilitado.
Luego de un reinicio, veo en el escritorio que algunos iconos habían perdido su formato, por lo que revisé las extensiones y tal como se puede asumir, ya estaban cifrados. La extensión era .fgui y según internet aún no hay decrypters liberados.

Los documentos cifrados en el computador no importaban mucho, dado que existía respaldo en su NAS y en la nube. Ahora deberemos revisar el NAS, dado que estaba mapeado directo como unidad de red al equipo infectado.
De vuelta al notebook, tomé las evidencias del link de descarga y unas muestras del ransomware y formateamos el computador completo. No había nada que necesitara rescatarse.

EL NAS (Network Attacked Storage)
Para nuestro asombro sólo la carpeta raíz y unas cuantas más sin importancia fueron afectadas. El resto no sufrió cifrado. Aparentemente desconectamos la red del notebook a tiempo. Programamos una revisión de antivirus full para el Nas, por si el malware dejó alguna sorpresa allí.

Genshin Impact
Lo único que le preocupaba a mi familiar era que no le hayan intervenido su cuenta de Genshin Impact, que es un juego al que le ha dedicado muchísimo tiempo. Tristemente las noticias no fueron buenas. Al momento de loguearse desde su Tablet, el número de verificación que le solicitó para validar su cuenta estaba siendo enviado, según mostraba la ventana, aun correo ruso (@rambler.ru)

Googleamos hasta dar con el protocolo para reportar una cuenta hackeada en la plataforma de Hoyoverse.com
Mientras lamentábamos la pérdida, para evitar otras cuentas comprometidas, comenzó el proceso de cambio de contraseñas de todos los servicios. El cambio de contraseñas duró hasta la 01:00 hrs.

Análisis del Correo



Telegram parte II

8:50AM del siguiente día una respuesta a un mensaje en Telegram alerta nuevamente. Al revisar los mensajes, desde la cuenta se habían enviado unos 20 mensajes de spam anti-putin a destinatarios desconocidos, pero claramente atingentes al conflicto.
Por curiosidad traduje el texto para entender de qué se trataba.

Al mirar en los dispositivos conectados, aparece la IP del intento del día anterior (sin terminar la conexión) pero además una conexión exitosa desde estados unidos. Saqué las evidencias correspondientes y desconecté las sesiones foráneas. Mientras le exigía al soporte de Telegram que atendiera el asunto, dado que se había iniciado una sesión extranjera sin darme aviso, ni proveyendo número de verificación.

Simultáneamente con este descubrimiento apareció un mensaje de un bot de Telegram llamado Spam Info bot. Luego de validar su legitimidad, observamos que lo que nos quería advertir era que Telegram había recibido varias denuncias a nuestra cuenta.

Esta nos indicó que nuestra cuenta estaba bloqueada por el propio servidor de Telegram por enviar Spam y será restringida a solo enviar mensajes a contactos conocidos. Ninguno nuevo, hasta el 3 de marzo. Por lo que no podemos estar 100% seguros que la cuenta no siga intervenida, aun cuando ya no pareciera tener mensajes sospechosos.

Quedamos coordinando para revisión cada par de horas de las sesiones activas para ver si hay novedades.

Instagram

Esto último gatilló una segunda revisión de las redes sociales, descubriendo otra sorpresa. En su Instagram aparecieron cientos de nuevos seguidos, de Europa oriental. Aquí varios capturados consecutivos con un minuto de diferencia.

Su registro de sesiones no muestra conexiones foráneas, por lo que sospecho que los maleantes conocen una forma de conseguir otras por medio de un token o ID que no es la password del usuario.

15:30hrs, luego de dejar de seguir a varias cuentas de Instagram llevando, notamos que varias volvieron a aparecer, por lo que pareciera que Instagram sigue comprometido.
16:40hrs, desactivamos la cuenta de Instagram con el plan de reportarlo al soporte técnico. Comenzamos en análisis forense con la evidencia recolectada a modo de identificar los posibles vectores utilizados y si es necesario gatillar alguna acción adicional.

El malware

https://pastepvp[.]org/?v=3 CCIeaner Professional I Business I Technician 5.90.9443

Enlaces de descarga
https://drive.google.com/file/d/1HWH60PkDsRJ3fz1yxpPlWSbUd4jGlS C/view?usp=sharing
https://mega.nz/file/phISOK4T#7WWPhqzpOSlDH_VQdxIVm2-CXthEe6pbGnOgpgJdi8g

https://wmu.mediafire.com/file/oq80hi609ac6w2r/5.90.9443-PVP.rar/fiIe Reportar Error Visitas 249474

Los links dirigen a otro sitio, que no corresponde a los enumerados allí.

Al final llega a un archivo descargable.
https://drive.google.com/file/d/1HWH6oPkDsRJ3fz1yxpPlWSbUd4jGlS_C/view
https://mega.nz/file/phlS0K4T#7WWPhqzpOSIDH_VQdxlVm2- CXthEe6pbGn0gpgJdi8g

El análisis forense del malware lo dejaré para otro artículo.

Conclusiones

Evitar a toda costa ejecutar software crackeado, pirata, de origen desconocido o programas portables o parchados. Mantener respaldada la información sensible y custodiar la información privada.
Seguir estos consejos dado que hay información valiosa que no se reconoce o no parece interesante, hasta que se pierde o se usa en su contra. Siempre mantenerse atentos.

 

Jair Palma

Jair Palma

ETHICAL HACKER