VARIANTE DE WANNAREN DENOMINADO LIFE RANSOMWARE

23/11/2022

BOLETÍN NRO 2022-696

Recientemente investigadores de seguridad detectaron actividad del ransomware WannaRen se hizo conocido en el 2020 después de lanzar ataques contra usuarios de Internet chinos, infectando a decenas de miles de víctimas. Sin embargo, se ha vuelto relativamente silencioso desde ese ataque, y los autores del ransomware incluso compartieron su clave de cifrado privada con una empresa de seguridad.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   CRÍTICA

A diferencia de los ataques de ransomware WannaRen de 2020 que anteriormente se dirigieron a China y Taiwán, los ataques de la nueva variante se dirigieron a organizaciones en India.

La variante del año 2020 del ransomware WannaRen se distribuyó como un código PowerShell malicioso, incluyendo herramientas de activación. Luego, el script obtuvo un downloader de PowerShell que se conectó a un enlace para recuperar los módulos de ransomware maliciosos. A diferencia de su versión anterior, esta nueva variante usa un archivo por lotes para descargar y ejecutar WINWORD.exe para realizar la carga lateral de DLL y cargar el ransomware en la memoria.

Los investigadores de seguridad descubrieron la infección bajo el proceso de un ejecutable no malicioso WINWORD.exe (el archivo ejecutable de Microsoft Word). Sin embargo, una investigación más profunda reveló que esta infección era un malware de varios componentes que abusa de WINWORD.exe para la carga de dlls maliciosos. Además, el life ransomware también se coloca en el dispositivo como un archivo cifrado, y los ciberdelincuentes utilizan los argumentos de la línea de comandos proporcionados a WINWORD para obtener el ransomware.

Además, se identificó que WannaRen imitó ciertos aspectos de WannaCry, particularmente en su método de entrega: se ha observado en el pasado que emplea instaladores troyanos y abusa de exploits como EternalBlue para la entrega. (por estos hechos, obtuvo su nombre). Y después de un tiempo, ha vuelto con algunas mejoras. Los investigadores encontraron, a fines de octubre, variantes que abusaban de NTSD.exe.

La versión anterior de WannaRen se inyectó en varios procesos, incluidos svchost.exe, cmd.exe, mmc.exe, ctfmon.exe y rekeywiz.exe. Esta variante, por otro lado, solo se cargaba en la memoria para ejecutar su rutina de ransomware. Posteriormente de su ejecución, WINWORD.exe cargará un archivo dll denominado wwlib.dll.

Una vez cargado, wwlib.dll comienza analizando los argumentos de ejecución. Primero busca el shellcode encriptado, sc.dat, y verifica si el archivo existe en el mismo directorio donde se encuentran los módulos maliciosos. Al igual que el shellcode, también busca el binario de ransomware cifrado, config.bin, y comprueba si el archivo existe en el mismo directorio donde se encuentran los módulos maliciosos. Si lo encuentra, usa el shellcode descifrado para cargar el ransomware en la memoria.

Después de que Life ransomware cifra un archivo, le agrega la extensión ".life". Luego se crea una nota de rescate, "READ ME.txt", en la carpeta %Desktop%.
Aunque la variante inicial de WannaRen solo estuvo activa por un corto tiempo, logró causar mucho daño durante ese lapso. Con su resurgimiento como una nueva variante, es posible que los operadores originales (o los ciberdelincuentes que lograron acceder a su código) busquen expandirse a otras regiones.

Indicadores de Compromiso

HASH

MD5: 6f015e02b96b417ce0b84d76b6cb8353 

SHA256: 40c0d2006ca35701294a9450cb8d44b0bf7f0e4363641bb890a84e5d89094183 

MD5: 31e384b3ee1145fdb07775c8a089954c 

SHA256: e126e365d0c0d438c9eff87e84f4c4955a103097110c4bbb8f4ace4fec1772cb 

MD5: d9e55393befc2e83d7141dcdefdba26d 

SHA256: 77cd7da20d4d54b515a56ac90e2087d78668469c3ef9f87dde61717bae051978 

MD5: 9854723bf668c0303a966f2c282f72ea 

SHA256: 22a49fd2468178e5b33cad08985adde50f0530a33260affc58bee6b2401005a9

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Considerar deshabilitar PowerShell o monitorear su ejecución, evitando que pueda ser aprovechado por softwares maliciosos.
• Implementar filtrado y segmentación entre redes y utilizar principio de mínimo privilegios.
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: WannaRen Returns as Life Ransomware, Targets India
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​