05 diciembre 2014

#CorreosGate: La tormenta perfecta

El día de ayer fue bastante movido, tal y como sospechábamos, mucha gente se ha visto envuelta en que, tal vez, haya sido la campaña mas dañina, masiva y 'eficaz' de Ransomware acontecida en España.

Al final, los principios 'Darwinianos' también llegan al mundo del malware y este, evoluciona. Una amenaza que dependía de una mala planificación de actualizaciones o de contraseñas débiles (en el caso de servidores Windows con RDP), ha mutado en algo mucho más sofisticado.

Mucha gente se lleva las manos a la cabeza preguntándose cómo es posible que a día de hoy la gente siga abriendo adjuntos. En mi opinión es una matización realmente simplista. Y la respuesta es: CONFIANZA.

Todo el mundo recibimos SPAM, casi todos esos correos son directamente descartados por los sistemas anti-SPAM, y si no lo son, a primera vista son fácilmente descartables (nombres de empresas con actividad limitada en España, correos mal escritos ...)

Además, ese tipo de correos suelen llegar a cuentas tipo Gmail, Yahoo, etc etc, es lo que se suele ver en bases de datos de correos robados

Pero esta campaña ha sido diferente, de entrada el señuelo estaba realmente bien construido y, el golpe demoledor, ha sido la combinación de:
  1. Correos CORPORATIVOS, sí, de empresas u organizaciones como objetivo
  2. Los correos iban con Nombre+Apellido 
Y esto ha sido, en mi opinión, lo que ha convertido esta campaña en el 'I love You' Español.

Lejos de culpar a los usuarios que han recibido un e-mail con su nombre, de una organización nacional y en sus correos corporativos, nos deberíamos preguntar (parece que esto ha quedado en un segundo plano) ¿QUIÉN HA FILTRADO ESA ENORME BASE DE DATOS DE CORREOS Y DATOS?

Mi apuesta persona es qué, estos datos, vienen de un 'hackeo' a alguien muy pero que muy gordo. Y no creo que sea una red social o un sitio web de recetas de cocina (...)

La gente se suele sentir confiada para apuntarse a algo con ese tipo de cuentas corporativas cuando el sitio web es un sitio de referencia y, en mi opinión, lleva asociado algún tipo de medio de pago. Normalmente no sueles dar tu nombre + apellidos para acceder a sitios intrascendentes. Los das cuando vas a pagar algo, ya sea un viaje, alquilar un coche o adquirir un producto.

Mi investigación personal me ha llevado a la conclusión de que esos correos NO eran accesibles mediante OSINT (no estaban indexados en google, ni se podían localizar en Internet ...) ni formaban parte, a priori, de bases de datos de correos conocidas

Por eso, de una forma totalmente anónima, sería genial que los afectados tratasen de pensar en qué sitios se habían registrado con las cuentas de correo afectadas y a ver si entre todos descubrimos la fuente de la filtración

Y para terminar, añado qué, toda cuenta que haya sido afectada, es seguro que forma parte de una base de datos de usuarios que volverá a ser visitada tarde o temprano. Algo que se debe tener muy en cuenta 

51 comments :

Ann00202 dijo...

Esta misma conversación la he tenido con personas dedicadas a esta materia y no concibo cómo se ha conseguido la base de datos en cuestión pues incluso le ha llegado a compañeros altamente responsables y concienzudos, que sólo usan la cuenta de correo corporativo únicamente para motivos profesionales y para nada personales. ¡¡ Rayos y retruécanos !! ... si incluso ha llegado a listas de correo empleadas esporádicamente para comunicaciones internas !!



Se agradece cualquier información.

Isma dijo...

A nosotros nos ha llegado a las cuentas de finanzas, que básicamente se han usado para darse de alta en cámaras de comercio y para trámites con la administración...

DanDob dijo...

Tiene que ser algo de administración, la persona de mi empresa que se ha infectado no utiliza la cuenta para fines personales, solo para nuestras bases de datos internas y administración pública.

Buguroo dijo...

El origen tiene mala pinta: tan preocupante sería la administración como un banco o una gran tienda online. Desde luego el asunto no va a ser olvidado con facilidad.

Jose dijo...

Según parece estos ransomware buscan libretas de direcciones de los clientes de correo más comunes (Thunderbird, Outlook, Windows Live Mail), así que por muy concienzuda que la víctima haya sido, con sólo uno de sus contactos que haya sido comprometido le va a llegar el phishing.

andres dijo...

La respuesta más sencilla del origen de los datos personales y correos electrónicos puede ser datamining en Linkedin.

Javi dijo...

Aporto algunos enlaces interesantes :

Análisis falso cryptolocker ( realizado por Abraham Pasamar & Jose Selvi - 04/12/2014)
http://www.incide.es/Analisis_Falso_Cryptolocker_20141204.pdf

Reportaje sobre la variante de TorrentLocker
https://www.isightpartners.com/2014/09/torrentlocker-new-variant-observed-wild/

(Extracto respecto a la copia de nuevas direcciones de correo)
-------------
NOTE: The malware will look for email addresses and contacts from Thunderbird profiles. It will grab the “Primary Email and Display Name” fields.

• SMTP Port
• SMTP Use SSL
• SMTP Server
• SMTP User
• Email
• SMTP Password
• IMAP Password
• POP3 Password
• SMTP User Name
• SMTP Password2
• IMAP Password2
• POP3 Password2
• Username
• Software\Microsoft\Internet Account Manager\Accounts
• Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts
• Software\Microsoft\Windows Messaging Subsystem\Profiles
• Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles

NOTE: The malware will grab the credentials of the Email addresses. The uploading of the emails to the C&C server was not observed; however, it is likely the attackers have a way of uploading the emails from active bots.
-------------
Análisis de VirusTotal
https://www.virustotal.com/es/file/005d62ccb914fe69ed4795a68a2ec0c679e4713c50a73d90524b7bac1240fefd/analysis/

yomismo dijo...

Buenas tardes, nosotros ya presentamos denuncia ante la policia ayer tarde con toda la información posible. Animo desde aqui a que os unais a denunciar. Cuantas mas denuncias tengan las autoridades mejor.

marc dijo...

En este video explico como eliminar y recuperar los datos.

https://www.youtube.com/watch?v=o2l-zFakKfk

M&B,arq dijo...

Hola, somos igualmente afectados. Instamos a denunciar a la policia, y cuantas mas denuncias tengan, mejor. NO PAGAR el chantaje bajo ningun concepto y confiar en que tiene que haber expertos policiales que a no mucho tardar den con la solucion ... Lo de detener a los h... de p... que han hecho esto, sera harina de otro costal. Gracias.

Bill Smith dijo...

CRYPTOLOCKER tiene las mismas raices que CRYPTOWALL.
Descubrimos algo para la recuperacion de los ficheros, aqui te lo dejo.
http://www.reditelsa.com/metodo-de-recuperacion-de-ficheros-cifrados-por-cryptowall/

Bill Smith dijo...

Tal vez esto os ayude para vuestra investigación de cara a la recuperacion de la información http://www.reditelsa.com/metodo-de-recuperacion-de-ficheros-cifrados-por-cryptowall/
Nosotros creemos que descifrar la informacion es imposible, en cambio si se puede recuperar debido a que este tipo de virus/malware actua de una forma muy pecukiar. Espero que os ayude. Cualquier aportacion por vuestra parte a mejor el metodo sera bienvenida.

Bill Smith dijo...

Yo creo que el camino emprendido hacia el descifrado de la informacion es incorrecto. ¿Como vais a descifrar un encriptado militar? PERO... parace ser que podria haber una via http://www.reditelsa.com/metodo-de-recuperacion-de-ficheros-cifrados-por-cryptowall/

Bill Smith dijo...

YO EMPEZARIA POR NO MACHACAR CON COPIAS E INSTALACIONES el soporte que haya sido afectado. Echale un vistazo a esto que hemos conseguido con CryptoWall.. http://www.reditelsa.com/metodo-de-recuperacion-de-ficheros-cifrados-por-cryptowall/
Que alguien nos informe si esta variante se comporta igual

Bill Smith dijo...

Correcto, en la version circulante de CryptoWall circulante en un email de la compañia de transportes UPS borra las Shadows, pero http://www.reditelsa.com/metodo-de-recuperacion-de-ficheros-cifrados-por-cryptowall/ deja una copia del original de cada fichero.

Bill Smith dijo...

Suele ser un "Comodity" en este tipo de malware. Es mas, creemos que no cifra la totalidad del fichero sino un 20%. Lo suficiente para que sea innaccesible. Entonces, no cifra el original sino una copia que deja en el disco duro. A este fichero original lo renombra con un valor numerico generado por el sistema operativo (Secuencial?? Estamos tratando de averiguarlo) Ademas, quita la ultima fecha de modificacion para hacerlo mas dificil, claro. Nosotros hemos realizado un experimento que nos valio para un cliente. Puedes verlo en: http://www.reditelsa.com/metodo-de-recuperacion-de-ficheros-cifrados-por-cryptowall/

Bill Smith dijo...

Bueno, ha habido caso que ha cifrado ya hasta los volumenes en la nube de Dropbox debido a su tipo de acceso Dav:\\

Bill Smith dijo...

Nosotros con otra variante hemos recuperado la informacion del disco.http://www.reditelsa.com/metodo-de-recuperacion-de-ficheros-cifrados-por-cryptowall/ Precisamente, el malware actua cifrando un fichero-copia y no toca el original para que despues del pago su recuperacion sea mas rapido. Pero cuidado, el "descifrador" lleva un regalito.

Bill Smith dijo...

Que suerte. A un cliente nuestro en 20minutos le cifro 37TB y ademas borro las shadows.. ¿A que se debe tales diferencias que he leido en este mismo block?

Bill Smith dijo...

Lo mismo que nosotros. Mira http://www.reditelsa.com/metodo-de-recuperacion-de-ficheros-cifrados-por-cryptowall/ hemos creado un metodo de recuperacion que me gustaria probar en esta variante.

Xiro dijo...

Un cliente de mi empresa pagó, y se recuperan todos los ficheros, además esta automatizado, en el momento que la transacción del bitcoin es aceptado en blockchain ya se puede descargar el ejecutable que desencripta. Se puede ejecutar sólo en el ordenador del equipo.

Bill Smith dijo...

Pero en serio alguien se cree que va a descifrar los ficheros?
Ni en 100 años con tu PC conseguirais descrifrar sin la llave.
Las combinaciones son de 2046 caracteres. Cada PC infectado genera su propia clave que se le envia al atacante y el posee la contraclave.
Y ahora lo peor, creo que al anterior Genio de Cryptowall ya le detuvieron y esta en la carcel, pero su sistema sigue extorsionando de forma autonoma y sin necesidad de mantenimiento, oculto en la red tor.

Alberto Gago dijo...

Esta opción, al menos en mi caso, es descartada pues no es posible conocer el correo por el que recibimos el ataque vía LinkedIn.

Alberto Gago dijo...

El servidor rogue ya no está operativo; ni resuelve DNS ni la IP directa. Alguien ha sacado de combate al malo, y ahora con el secuestrador "muerto" no hay posibilidad de recuperar al secuestrado.

Bill Smith dijo...

Ojala el Administrador de este foro borre este link como ha hecho con anteriodad en contestacion varias personas. A eso lo llamo censura. Aqui hemos elaborado un metodo de recuperacion que tal vez sea valido para tu caso: http://www.reditelsa.com/metodo-de-recuperacion-de-ficheros-cifrados-por-cryptowall/

Alberto Gago dijo...

El servidor rogue ya no está operativo; ni resuelve DNS ni la IP directa. Alguien ha sacado de combate al malo, y ahora con el secuestrador "muerto" no hay posibilidad de recuperar al secuestrado.

Bill Smith dijo...

Nosotros hemos visto en caso de CryptoWall que pagando se recupero la informacion. Pero tardo varias semanas para 64GB. Y ademas, suelen dejar "Regalos" aleatoriamente ya que analizabamos los procesos monitorizando el systema y el AntiMalware advertia de una nueva infeccion. Por tanto NO recomendamos PAGAR.

Bill Smith dijo...

Pregunta: Se trata del mismo fichero, antes y despues de la infeccion, correcto?

Si es asi, Perfecto esto es lo que necesitabamos para comprobar la pariedad usando este metodo: http://www.reditelsa.com/metodo-de-recuperacion-de-ficheros-cifrados-por-cryptowall/

Eva dijo...

No pagueis por favor.!

Isaías dijo...

Tenéis razón,me equivoqué.

Al entrar en MAF los archivos que no estaban encriptados salían como normales, los que si estaban encriptados, seguían saliendo como .encrypted.

NO me fijé es que no todos estaban encriptados, por eso al entrar en MAF veía los archivos sin encriptar.

Cuando ya he mirado el resto efectivamente, los que estaban encriptados permanecían encriptados.

Al final ha tocado formateo y vuelta a empezar.

Siento haber ocasionado malentendidos.

Antonio dijo...

No me extrañaría nada. Las cuentas a las que llego a mi empresa son habituales para comunicaciones con la consejería de industria.

leandro dijo...

A lo mejor estoy preguntando una obviedad pero, como no lo he visto comentado después de leer la tira de mensajes sobre el asunto, lo voy a hacer aquí: ¿qué vulnerabilidad explota este malware para colarse?
Recuerdo de hace un tiempo el famoso "ransomware de la policía", que tuvo una versión que también cifraba archivos (y que entonces se solucionó de forma bastante simple con una herramienta de desencriptado de Kaspersky y una copia de algún archivo en sus dos versiones, cifrado y sin cifrar) Éste se aprovechaba, si no recuerdo mal, de una vulnerabilidad del Java.
¿Qué vulnerabilidad explota éste? Lo digo porque a los no afectados aún les (nos) podría interesar "cerrar esa puerta".
Gracias

Ser Eiro dijo...

La mas débil, el usuario :-) el problema es que esta muy bien hecha, pero el punto de entrada es abrir el correo y seguir sus instrucciones, cuando descargan el pdf de la pagina falsa de correos y lo intentan abrir, como en rellidad es un ejecutable es cuando empieza la fieshhhhhta :D

Ser Eiro dijo...

¿Sabéis si hay algún procedimiento oficial de desinfección para seguir una vez restaurado el backup? (Aunque lo recomendable sea formatear) ¿Algún foro o algo donde poder ir contrastando información entre los afectados? Acabo de ver unos archivos con caracteres sospechosos mientras escaneo una máquina afectada después de limpiarla a manija. Aunque el C&C está en rusia, no creo que el origen venga de ahi, y está captura me ha dejado mosca, aunque no tengo certeza de que tenga algo que ver. https://www.dropbox.com/s/vt1pjrfp3fz6xj4/archivosospechoso.png?dl=0

Ser Eiro dijo...

Jajaja, mejor, así dejarán de soltar pasta a los malos por un rescate que ellos mismos por seguridad nunca enviarán. Si alguien quiere soltar bitcoins le posteo una dirección, que para el caso es lo mismo, eso si, que no esperen recibir nada a cambio :-) te juro que no entiendo como alguien se puede plantear pagar, por muy críticos que sean sus datos cifrados, están financiando un delito, ayudando a mejorar el malware y merecido se lo tienen si palman los dineritos.

leandro dijo...

Ok. Muchas gracias.

Entonces se trata de un ejecutable camuflado como pdf. Esa era mi duda.

Aunque la cosa está claro que es muy grave y peligrosa, yo estaba bastante acojonado pensando que, como en alguna otra ocasión, la infección se podía producir simplemente al pinchar algún vínculo que ejecutara un script de java o similar, explotando alguna nueva vulnerabilidad no parcheada.
Un poco más tranquilo me quedo, aunque habrá que estar atentos a las versiones modificadas que vayan saliendo, porque en la web de forospyware algún participante ya habla de que existe una versión que imita un mensaje de UPS en vez de uno de Correos.

SWAPP dijo...

Por datos que comentan los clientes,podría provenir de alguna administración,banco o algo estatal,tipo registro mercantil o algo similar,ya que algunas cuentas de correo solo las usan para datos privados de este tipo ...de todos modos no hay nada claro

Abraham Pasamar dijo...

Recordad que no hace mucho se robaron muchas cuentas de GMAIL. Cada vez más empresas usan Google Apps y estas cuentas robadas de Google Apps las vemos cada vez más en ataques de MAILERS (Scam para engañar a otros usuarios y/o bancos y dar ordenes de transferencias falsas). Estas cuentas son de usuarios de empresas, especialmente departamentos financieros. Creo que se puede estar también haciendo DATA MINING de todas esas cuentas, extrayendo no solo la agenda sino cualquier dirección de correo y nombre completo que aparezca en los emails.
En cualquier caso, esto podría contribuir, pero tiene que haber habido además alguna BBDD bastante gorda por ahí que se haya comprometido.

David del Olmo. dijo...

Hola , ¿sabeis si ya existe alguna forma de recuperar los archivos? ¿que sistemas afecta?
Yo me he bajado la muestra a un windows 8 la he ejecutado y no hace nada, lo que me ha estrañado que cuando la he analizado con Eset Endpoint no la reconoce como virus, tengo a varios usuarios afectados solicitando ayuda y me gustaria contar con alguna muestra para analizar. Saludos.

David del Olmo. dijo...

Eva, muy buen reporte , gracias.

David del Olmo. dijo...

a favor de Eset (para mi el mejor antivirus) si intentas acceder a http://correos-online.org/mobile.html bloquea la conexión.

Sanka dijo...

no hay nada todavia para desencriptar los archivos???

Infectado rescatado dijo...

Buenas. Siento decir que en mi caso, ante la situación y que todo parecía indicar que no iba a ser posible recuperar los archivos, y dada la urgencia que tenía de recuperarlos, he pagado, y los he recuperado sin ningún tipo de problema. Me jode un buen rato haber tenido que pagar a estos #¬€#¬¬@#€~| pero no me han dejado otra opción... A quien pueda aguantar le recomendaría esperar. Imagino que tarde o temprano se encontrará la forma de descifrar, pero vaya usted a saber, y en mi caso no me quedaba otra por la urgencia. Sólo quería comentar que pagando se consigue. Para que quien tome esa decisión tan jodida al menos sepa que funcionar... funciona el rescate. Al menos no son tan #¬€#¬¬@#€~| como para que pagándoles no te devuelvan los archivos. Y tiene lógica: si pagando no se resolviese, correría la voz y entonces sí que no pagaría ni dios y no habría negocio... Esta es de las lecciones que más me han costado económicamente que yo recuerde, pero vamos, que aprendida, queda aprendidísima... Ah, y al Norton que le den por #¬€#¬¬@#€~|, que antes de abrir el .exe lo analicé con el Antivirus y me dijo que estaba todo en orden... Saludos.

yomismo dijo...

y cual ha sido el coste del rescate? si se puede saber?

otro afectado dijo...

Creo que han cerrado los servidores, ya no se puede pagar, si no, que lo confirme alguien, los link de pago ya no son validos.


Se sabe si se podría sacar una herramienta de desencirptado? aunque sea a largo plazo?


seria posible?

doomer dijo...

La muestra tampoco hace nada en un Windows XP, debe estar mal.

Victor dijo...

Conozco casos de tiendas online falsas donde la gente se ha registrado con todo tipo de datos, es mas fácil de lo que parece obtener ciertos datos cuando se usa la mayor de las vulnerabilidades.

pepflores dijo...

ejecutable en un pdf? habia escuchado que es posible claro pero como lo hacen para que ese pdf no levante sospecha? no sea detectado? tan facil lo hacen...?

rummpel dijo...

Hola, a mi me entro por un email de una tal Lucia. He incoscientemente lo abri.
El mal ya estaba hecho, todos archivos pdf, excel, etc, etc. cifrados.
Pero he podido eliminar el virus, he incluso recuperar todos archivos del disco D.
Utilice para ello la herramienta " ShadowExplorer". Pero no he podido recuperar los del disco F ya que no lo tenia marcado en la configuracion de proteccion.
Esta herramienta busca una version anterior del archivo que se guarda windows.
Espero haber dado una pequeña pista o ayuda para salir del paso.
A ver si encuentro algo para descifrar los archicos del disco F
SALUDOS y Fuerza

isabel dijo...

otro usuario infectado....me están mirando sin con original y copia se puede hacer. Por favor, quién haya pagado que digan el importe....vaya cabr.....

Juan dijo...

300€ aprox en 72h y el doble a partir de ahí y hasta un mes, (600€).
Y todo en bitcoins, te lo dice en el link del html