03 junio 2013

Pagando un ciber-rescate

Lo que voy a contar en este post es un caso real, un caso de 'Ransomware' que sufrió una empresa y que afortunadamente terminó bien.

Probablemente algunos de los actos descritos en este post puedan suscitar cierta polémica o enviar un mensaje equivocado, mi intención es contar lo sucedido sin entrar en valoraciones más allá de lo objetivo.

El escenario de la infección era el siguiente: Una empresa en la que cada trabajador tiene su propio PC y un servidor con varias carpetas compartidas a la que tienen acceso todos (lectura y escritura)

En un momento dado los empleados se dan cuenta que los ficheros a los que accedían normalmente en las carpetas compartidas del servidor dejan de estar ahí, no existen, han sido renombrados con la extensión '.nobackup' y las aplicaciones asociadas a ellos (word, reader, etc) no los procesan correctamente. Adicionalmente en cada una de las carpetas aparece un fichero llamado how to decrypt files.txt con un contenido tal que así:

If you are reading this text (read this carefully), it means that your important files (photos, videos,

documents, archives, databases, backups, etc.) which were blocked with the strongest military cifer RSA1024.

No one can`t help you to restore files without our decoder. If you have a backup, you're lucky and smart

administrator.

If you want to restore files send e-mail to savepc@tormail.org with "how to decrypt files.txt" and 1-2

encrypted files less than 1 MB.

You will receive a decrypted samples and our conditions how you`ll get the decoder.

Follow the instructions to send payment. N.B. Remember, we are not scammers.We don`t need your

files.All data will be restored absolutelly. Your guarantee-decrypted samples.

Y junto a eso, una suerte de código que tiene toda la pinta de ser el el resultado de cifrar una clave simétrica con una clave RSA.
Esta familia de virus es relativamente antigua y parece que este ejemplar en cuestión pertenece a la familia 'Rannoh', huelga decir que el antivirus que emplea esa empresa no lo detectó. Hay varias herramientas de diferentes fabricantes de AVs que funcionan con algunas versiones de este virus y consiguen descifrar los ficheros. En este caso ninguna de ellas fue útil.

Para darle un poco más de emoción, cuando se analizó el equipo desde el que partió la infección, no se pudo recuperar una muestra del virus ya que al terminar su 'tarea' se auto-elimina del disco duro. Sucesivos intentos de recuperar una muestra analizando el contenido del HD con un buen número de herramientas forenses fracasaron.

Por lo que pude ver, el cifrado que realiza este virus sobre el fichero no es completo, simplemente cifra la parte inicial del fichero. Con mucho esfuerzo y ganas, es probable que de algunos ficheros se pudiese salvar parte de la información.

Aun así no era una solución válida, así que nos pusimos en contacto con los 'secuestradores'. En muchos foros se lee que no es aconsejable y que es un timo, no obstante, era una vía que estaba ahí y la quisimos explorar.

Siguiendo las instrucciones del rescate, enviamos un fichero de muestra cifrado y el fichero 'how to decrypt files.txt'

Al cabo de dos días, la respuesta:



Ya tenemos oferta final para el rescate: 150 Euros (en el fichero con las instrucciones del rescate hablaban de dólares), si se pagaban a través de la ya desmantelada liberty reserve o 200 Euros si se hacía mediante cupones UKASH.

Estuvimos investigando el cómo hacer el ingreso a través de Liberty Reserve y lo cierto es que, si piensas que LR era un tinglado, te confirmo que sí, apenas solicitaban datos para abrir la cuenta y aceptaban dinero desde múltiples fuentes. Resulta difícil de asumir que algo como LR haya estado funcionando tanto tiempo.

A pesar de la diferencia de precio, decidimos apostar por UKASH por la facilidad de la transacción. UKASH son una suerte de tarjetas pre-pago, compras una tarjeta por una cantidad X y puedes 'pagar' con ella con tan solo decirle a la otra persona el PIN. Se pueden adquirir en muchos establecimientos en España



Una vez enviado el correo con el PIN de UKASH tocó esperar ¿responderán? ¿será un timo?

Respuesta: Sí, si respondieron y enviaron un fichero llamado Decryptor.exe para descifrar los datos.

Aquí se rompe el mito que uno puede leer en muchos sitios: Al menos estos 'secuestradores' sí cumplieron y enviaron el programa que, efectivamente, descifra el contenido.

Pero no todo son buenas noticias, al subir el fichero a VT:


Un buen número de soluciones antivirus lo detectan como un troyano. Para hacer el descifrado se creó un ambiente 'confiable' en una máquina virtual y tan solo se descifraron ficheros de datos, no ejecutables (que también quedan cifrados por este virus).

En mi opinión, si eres un particular y estás en esta tesitura, no me lanzaría a la ventura tu solo, no hay que olvidar que estamos tratando con delincuentes y el programa que nos enviaron para descifrar, aun funcionando, resulta muy poco confiable

Hasta aquí la historia del ciber-rescate, mañana, una de reversing con el fichero 'descifrador'

31 comments :

AhoraYaLoSabes dijo...

Qué patético... Si yo fuera el administrador de sistemas de esa empresa se me caería la cara de vergüenza sólo de pensar que le tengo que decir a mi jefe que nos han secuestrado.

masticover dijo...

Muy bueno. Esperando con ganas el reversing para ver qué hace el "bichito". Gracias

SysComputers dijo...

me podéis dar un muestra del archivo encryptado ?

Jask dijo...

Y los backups? Es que nadie piensa en los backups?

Carlos García Álvarez dijo...

Yo también tengo ganas de ver que pasó con el "bichito" :-)

Alejandro Ramos dijo...

Me se de unos que a partir de ahora si :-)

Alejandro Ramos dijo...

Pinta que no es una empresa grande orientada al mundo TI, será una pyme o algo así con todo externalizado y blah blah, aunque eso no quita que tengan un backup !!

María García dijo...

Pues en mi humilde opinión (y sin ánimo de crear polémica ni de contrariar a nadie) no me parece que se pueda decir que la historia terminó bien.

Si hubo que pagar el rescate y encima el descifrador hubo que cogerlo con guantes y mascarilla y meterlo en una máquina virtual donde sólo se descifraron ficheros de datos porque de los ejecutables no nos fiamos...

Habría estado bien que se hubiera podido resolver por medios puramente informáticos: por ejemplo, siendo capaces de descifrarlos por nuestros propios medios o tirando de backup ( y ojo, que a veces los "bichos" se meten en el backup y si dan la cara días después, pues al restaurar nos quedamos igual).

Pero así... dinerito para la mafia. ¿Por qué terminó bien? ¿Porque nadie mató a nadie?



Bueno, que nadie se enfade, que es sólo la opinión de una ciberignorante. Que yo, probablemente, lo que habría tenido que hacer es tirar el PC a la basura (bueno, al punto limpio).
:-)

María García dijo...

Más sobre cibersecuestros:

http://krebsonsecurity.com/2013/06/cashout-service-for-ransomware-scammers/

Yago Jesus dijo...

Tienes razón, pero el concepto bien / mal en este caso es difuso, el 'bicho' (como veremos mañana) parece que hace bien las cosas y no deja margen a 'romper' el cifrado.



De todas formas en mi caso uso lo de bien en el sentido de que esa empresa, que había quedado a las puertas de tener que cerrar, al final no lo hizo.

Yago Jesus dijo...

Dices la herramienta de descifrado o un fichero ?

Yago Jesus dijo...

Yo creo que absolutamente todos somos susceptibles de cometer errores, como bien dice Alejandro, la empresa no era una gran compañía con miles de euros invertidos en seguridad. Es una empresa con una actividad ajena a la informática y su infraestructura está diseñada para dar servicio

Mateo dijo...

Una curiosidad, por casualidad los archivos cifrados bajo

RSA1024 no tendrían la extensión .done en vez de .block

Juan Garrido dijo...

Sin ánimo de generar polémica, y atendiendo a la necesidad imperiosa de "Si no tenemos la información tenemos que cerrar" no veo mal el que se haya optado por la vía de pagar, ya que la necesidad manda. Pérdida de puestos de trabajo-cierre de la sociedad, etc etc.. VS 200 pavos...
Sobre lo de la verguenza de un SysAdmin pues bueno, hay opiniones de todo tipo. Yo tengo la opinión que de verguenza nada. Todos hemos cometido cagadas, y aprendes que unas veces se gana y otras se pierde. Y muchos buenos y profesionales SysAdmins no tienen todas las herramientas ni todo el tiempo del mundo para poder realizar buenas implementaciones.
Salu2

Alejandro Ramos dijo...

Bueno, eso de las herramientas y el tiempo, te lo compro para determinados temas, NO para pasar a un DVD/HD/NAS/Dropbox todas las semanas unos cuantos gigas. Para eso, no debería haber excusa he incluso responsabilidad civil como para un médico. Un negocio depende de ello.

Juan Garrido dijo...

Alex la teoría está cojonuda y comparto al 100% lo que suscitas, pero que ocurre si la empresa no pone los medios necesarios para poder realizar de forma eficiente el trabajo de un Sysadmin? Se puede avisar una vez, dos, o incluso dejarlo por escrito, pero... Y si no te dan los medios?
Sobre la responsabilidad civil, pues daría para un debate interesante...

Alejandro Ramos dijo...

Si alguien no ve el retorno de tener un backup en otro HD (40€) es que quien sea, no ha sido capaz de explicar cual es el problema, o no debería haber aceptado hacer ese trabajo.

"No vi ese sql injection con el que se han llevado tu base de datos porque solo tenia 2 días para auditar", Pues mira, no audites o no te dejes prostituir por nada. En este caso, lo veo igual. Si alguien no puso dinero para un backup, quien le monto la red, debería vender la PcActual en un kiosco.

miguel dijo...

¿Y no se avisó a la policia?

Yago Jesus dijo...

Sí, hay una denuncia cursada al respecto

Gabriel Mella dijo...

Alejandro, estoy totalmente de acuerdo contigo. Y agrego, aun sí la empresa no quiere dar los medios o herramientas para lograr o implementar la seguridad mínima requerida el "SysAdmin" debe negarse rotundamente. Mejor no hacer nada a hacer algo que se vaya por el inodoro o dejar las cosas a medias.

De hay el dicho "O se hace bien o no se hace".

Napaboy dijo...

Muy interesante, yo conocí otro caso donde también se pagó el rescate y se liberó la información. aún así lo mas recomendable sería tener respaldos

Una duda. Solo encriptaron C: o también los otros discos duros?

Otra duda ¿como prevenirlo?

rvasquezgt dijo...

Totalmente brillante, que nivel de gente para realizar esto, definitivamente es la siguiente evolucion en la escalera del malware, vuelvo a lo que opine en el thread de antivirus, estamos luchando contra nuevas amenazas con armas viejas, eh evaluado a profundidad una herramienta, no me habia atrevido a poner el nombre porque no se si es permitido pero puede servirles de dato para el resguardo de sus endpoints y servidores, la herramienta se llama bit9 es una solucion totalmente diferente al tradicional antivirus, es un software de whitelist, que hace checksum de aplicaciones, tu le creas perfiles de apps permitidas, pero bueno los dejo para que investiguen la herramienta es super efectiva.

akae dijo...

Yo me encontré con un caso parecido y pude descifrar los ficheros con una herramienta: RannohDecryptor de Kaspersky [http://support.kaspersky.com/sp/faq?chapter=176492791&print=true&qid=208286528] Supongo que tuve suerte en este caso, pero posiblemente me habría costado mucho soltar los 200€. Con los secuestradores no se negocia, pues les proporcionas medios económicos y justificación para seguir haciendo el mal.

SysComputers dijo...

un fichero encryptado por favor si se puede

SysComputers dijo...

porque en general los informáticos en España están muy mal pagados ? en Alemania por ejemplo el sueldo medio de un informático he oído que es de aprox.2900 €

ak!l3s dijo...

Se que soy el ultimo mono y que ni soy sysadmin ni lo pretendo aunque "juegue" a ello desde hace tiempo....


Tampoco quiero meterme donde no me llaman ni suscitar ningún tipo de polémica, pero creo que aquí pasa un poco como con mi padre, se cree que todas las empresas son EADS y no, existe el taller del "tío paco" en el que no ganas 2500€ y no tienes beneficios de nada.
Me explico, si en uno de los clientes donde yo trabajo, os contase la de irregularidades que hay os quedaríais a cuadros. Partiendo de haberse tirado 2 AÑOS sin un solo backup (a pesar de repetirlo hasta la saciedad) hasta tener gente no cualificada (es decir, yo). Y lo que quiero decir es que hay gente muy burra, que le da lo mismo tener o no backup, que no saben lo que es la LOPD (lo saben, pero les da igual) y un largo etc.


En este caso estoy con Juan, hay muchas "medianas" empresas que no saben lo que es tener seguridad en sus datos, y claro, pasa lo que pasa.


Saludos y espero no molestar a nadie con mi comentario.

Rafa dijo...

Yago, cual fué el vector de entrada de la infección ? y aunque no encontrarais el bicho, encontrastes evidencias de su existencia en el sistema, o borró todo rastro ?

Car dijo...

Hay dios mi vida, soy yo con mi humilde portátil y tengo Backups echas y accesibles desde dos puntos diferentes, 1- Disco duro externo 2- En la Nube y soy un simple usuario que no quiere perder sus archivos (algunos de ser perdidos serian irrecuperables, un ejemplo las fotos de mis viajes), en fin que por muy pequeña que sea la empresa el Admin o encargado de la "seguridad" de esa red no tiene perdón ni excusa bajo mi punto de vista. Eso si, de una cosa estoy seguro, ya no volverá a pasarle o eso creo porque como se suele decir "de palos o a palos se aprende" ¿verdad?, o no.

John dijo...

Hay ocasiones en la que no se puede hacer el trabajo correctamente. Es barato hacer backup, pero y si la empresa es muy pequeña, y allí a nadie le importa la informática y no se quiere invertir en informática hasta que hay un disgusto. Qué proponen que haga el administrador, que pague los discos duros de su bolsillo para hacer backup. En ningún caso es culpa del administrador, cuando no se dispone de medios. Hay quedan dos opciones, seguir adelante sabiendo que todo se hace mal y que en algún momento te vas a comer un marrón pero de los buenos, o coger la puerta y marchar con tu música a otra parte.

John dijo...

Puede que no haya sido capaz de explicar el problema, cierto. Considera que haya sido capaz y que aún así el jefe no quiere invertir los 40 €.

phluisma dijo...

Bien el problema es que la informática no se considera un departamento CON ENTIDAD PROPIA en las empresas, sino que siempre depende de alguien, por lo tanto, ni pincha ni corta, es un mandado.
La empresa no tendrá presupuesto para temas de backup, licencias originales, antivirus, firewall, etc, pero para dietas de jefes y jefecillos sí hay.
Hasta que un día todo el sistema informático se viene abajo y no se puede facturar, ni servir mercancía, etc etc.
A mi me comentaron el caso de un servicio muy importante que estuvo más de un año pensando que estaban haciendo copias de seguridad, todo eso se había delegado en una contrata, en vez de hacerlo los funcionarios que había hasta el momento. Hasta que un día uno de los funcionarios dijo voy a verificar las copias, aunque ya no tenía derecho a ello, porque sehabía dado el servicio a una empresa externa y vio que no había ni la primera.
Fallos y errores los hay en todas partes, luego la repercusión que tengan ya es otro cantar.