20/07/2023

BOLETÍN NRO 2023-540

Los nuevos lenguajes de programación a menudo tienen menos medidas de seguridad y mecanismos de detección menos maduros que los bien establecidos. Los actores de amenazas (TA) a menudo intentan eludir las defensas de seguridad tradicionales y evitar la detección mediante el uso de un lenguaje de programación menos conocido.

NIM, un lenguaje de programación creado específicamente para una ejecución eficiente y un rendimiento superior, recientemente llamó la atención de los desarrolladores de malware debido a su novedad única. Una de las razones clave de este interés es la capacidad de NIM para ofrecer soporte multiplataforma, lo que permite la compilación de código en archivos ejecutables adecuados para los sistemas operativos Windows y Linux.

El archivo "Locked_253_BTC.zip" tiene una extensión ZIP y el nombre indica que probablemente contiene contenido relacionado con Bitcoin, potencialmente relacionado con una billetera de criptomonedas. Por otro lado, "Abrir claves privadas para acceder a Wallet.lnk" es un archivo de acceso directo de Windows diseñado para engañar a los usuarios haciéndoles creer que brinda acceso a las claves privadas necesarias para desbloquear los fondos almacenados en "Locked_253_BTC.zip". Las claves privadas son esenciales para administrar y acceder a las billeteras de criptomonedas.

El archivo de acceso directo de Windows ("Abrir claves privadas para acceder a Wallet.lnk") incluye un comando para ejecutar "Locked_253_BTC.zip", cuyo nombre engañoso es un archivo ZIP, pero en realidad es un ejecutable PE. Tras la ejecución del archivo lnk, ejecuta el comando de destino "cmd.exe /c start Locked_253_BTC.zip", que omite la asociación de archivo incorrecta y ejecuta directamente el archivo "Locked_253_BTC.zip" como ejecutable, que es un ransomware binario.

Después de ejecutarse, el ransomware escanea los volúmenes del sistema y usa las funciones de API FindFirstFileW() y FindNextFileW() para buscar archivos y directorios, identificando los archivos que necesitan ser encriptados.

El ransomware excluye de forma selectiva nombres de archivos/carpetas y extensiones de archivo específicos para que no se cifren durante su proceso de cifrado. Al excluir archivos y carpetas específicos del cifrado, los TA responsables del ransomware pueden garantizar archivos críticos del sistema, componentes esenciales del sistema operativo y otros elementos cruciales necesarios para el correcto funcionamiento del sistema.

Una vez que el ransomware identifica los archivos, utiliza el módulo “BCrypt.dll”. Llama a su función API, BCryptGenRandom(), con el indicador BCRYPT_USE_SYSTEM_PREFERRED_RNG, para generar claves seguras y realiza el proceso de encriptación, como se muestra en la Figura 5. El ransomware carga dinámicamente el módulo y resuelve las direcciones esenciales de la función API de Win32 para habilitar sus operaciones principales.

Posteriormente, el ransomware suelta una nota de rescate llamada "Kanti.html" en la ubicación del escritorio . La nota de rescate lanzada por Kanti Ransomware brinda instrucciones a las víctimas sobre cómo establecer contacto con los TA detrás del ransomware, lo que les permite iniciar negociaciones para el pago del rescate.

Los TA de ransomware se están enfocando cada vez más en los usuarios de criptomonedas, atraídos por el potencial de pagos de rescate más altos, el aparente anonimato de las transacciones con criptomonedas y la probabilidad de que las personas con conocimientos tecnológicos posean datos valiosos.

Indicadores de Compromiso

Hash

MD5: c25e3f897192c324d689d5d3bbd180bb

SHA-256: 48eaf4aec9e5b9d51e8b4a98ac22b8f0ed0f7deadeff333d93e1fdc268abd932

MD5: c82127fd8c4f288ebbe07a12606ff87c

SHA-256: 556d38e14124cedbd9c477ffa3dba03979b347f20046733db51a42638cf68849

MD5: d8b6fe900e0a446d3ff44e967d358700

SHA-256: ce61f7dad5a1bb7ef8dedb6938b3e6f4fbd4bf991fdd62212578a92c9ae6dec1