Nuevo ataque cibernético de ransomware “Bart”

Resumen

Los mismos autores que han creado 220 Dridex y Locky Affid = 3 han introducido un nuevo ransomware llamado "Bart". Están utilizando el malware RockLoader descargar Bart sobre HTTPS. Bart tiene una pantalla de pago como Locky pero encripta archivos sin necesidad de conectarse primero a un servidor de comando y control (C & C).

Análisis

El 24 de junio, investigadores de amenazas informáticas de Proofpoint detectan un ataque cibernético. Se trata de una gran campaña con .zip files, donde los archivos adjuntos contienen código JavaScript. Si estos se abren, estos archivos adjuntos descargan el instalador intermediario RockLoader (previamente descubierto por Proofpoint y utilizado con Locky), que a su vez descarga el nuevo ransomware llamado "Bart". Los mensajes en este ataque cibernético tuvieron como objeto en los emails enviados "Fotos", con archivos adjuntos tipo"photos.zip", "image.zip", "Photos.zip", "photo.zip", "Photo.zip" o "picture.zip." Los archivos zip contenían archivos JavaScript similares a este ejemplo"PDF_123456789.js."

Para alertar a la víctima que están afectados por ransomware y sus archivos son encriptados, este virus crea dos tipos de archivos, similares a muchos otros tipos de virus ransomware. Específicamente, añade un archivo recover.txt en muchas carpetas y sustituye el fondo de escritorio con recover.bmp, como se muestra en la figura 2.

Antes de escribir los archivos de "recuperar", el malware determina el idioma del sistema del usuario. Tiene traducciones disponibles en italiano, francés, alemán y español. El malware también utiliza el idioma del sistema para no infectar a los sistemas de los usuarios de ruso, ucraniano y bielorruso. Este primer ataque cibernético parece estar dirigido mayoritariamente a los intereses estadounidenses, pero, dada la naturaleza global de Locky y Dridex y las traducciones disponibles para los archivos de recuperación, no esperamos que Bart se mantenga tan localizado y creemos que habrá mas países afectados por este ransomware .

Después de ser encriptado, un ". bart.zip" extensión se agrega a los archivos encriptados. De la inspección precipitada, estos archivos estos archivos son encriptados como Zip files. La lista de extensiones de archivo que Bart encripta incluye:

.123 | .3dm |. 3ds | .3g2 |. 3GP |.602 | .aes. ARCO | .asc | .asf | .asm | .asp | .avi | .bak | .bat | .bmp | BRD | .cgm | .cmd | .cpp | .crt | .csr. CSV | .dbf | .dch | .dif | .dip | .djv | djvu. DOC | .docb | .docm | .docx. PUNTO | .dotm | .dotx | .fla | .flv | .frm | .gif | .gpg | .hwp | IBD | .jar |. java | .jpeg | .jpg | .key | .lay | .lay6 | .ldf |. m3u | .m4u |. Max | .mdb | .mdf | .mid | .mkv | .mov |. mp3 |. MP4 | .mpeg | .mpg | .ms11 |. MYD. MYI. NEF | .odb | .odg | .odp | .ods | .odt | .otg | .otp | .ots | .ott |. p12. PAQ | .pas | .pdf | .pem | .php | .png | .pot | .potm | .potx | .ppam | .pps | .ppsm | ppsx. PPT | .pptm | .pptx | .psd | .rar | RAW. RTF | SCH | .sldm | .sldx | .slk | .stc | STD | .sti | .stw | .svg | .swf | .sxc | .sxd | .sxi | .sxm | .sxw | tar | .tbk | .tgz | .tif | .tiff | .txt | .uop | .uot | .vbs | .vdi | .vmdk | VMX | .vob | .wav | .wb2 | .wk1 | .wks | .wma | .wmv | XLC | .xlm. XLS | .xlsb | .xlsm | .xlsx | .xlt | .xltm | .xltx | .xlw | .zip

La nota de rescate insta al usuario a visitar un portal de pago para pagar 3 bitcoins (casi $2000 al tipo de cambio actual). El portal de pago es similar a la utilizada por Locky, se muestra en las figuras 5 y 6 abajo. Visualmente, solamente el título "Decryptor Bart" es nuevo, donde el título era "Locky Decryptor" antes. Mientras que los portales de pago para Locky y Bart son visualmente idénticos, el código de ransomware es en gran parte distinto de Locky.

Actualmente estamos investigando aún los restantes detalles técnicos de cómo funciona el Bart. No parece tener ningún mecanismo de comunicación de red con un servidor de mando y control. En cambio, la información necesaria sobre la máquina infectada es probable pasada al servidor de pago en el parámetro "id" de URL. El malware está utilizando el WProtect de código abierto para virtualización de código.

En Resumen, los atributos del ransomware Bart que le unen a los encargados de distribuir 220 Dridex y Locky Affid = 3 incluyen:

• Mismo mecanismo de distribución de correo electrónico (correo electrónico, texto del cuerpo del correo electrónico, archivos adjuntos de JavaScript comprimido usando zip files descargando RockLoader que a su vez descarga la carga final)
• Estilo de mensaje de rescate similares a Locky
• Estilo del portal de pago es el mismo que el utilizado por Locky
• El servidor RockLoader de alojamiento web para la carga de Bart también fue encontrado como hosting o alojamiento web de affid Locky 3 (MD5: 3d2607a7b5519f7aee8ebd56f2a65021) y Dridex 220 (MD5: ed4191e07f49bbe60f3c00a0b74ec571).
• Cierta cantidad de código compartido/semejanza entre Locky y Bart, por ejemplo en el código que establece el fondo de escritorio del usuario

Conclusión

Mientras que todavía estamos investigando los detalles técnicos de este nuevo ransomware, las conexiones entre Bart y otros tipos de virus ransomware como Dridex/Locky son significativas. Como Bart no requiere comunicación con infraestructura de C & C antes de cifrar archivos, esto significa que Bart podría ser capaz de encriptar unidades detrás de firewalls corporativos que de lo contrario bloquearían el tráfico. Así, las organizaciones necesitan asegurarse de que Bart está bloqueado en la puerta de entrada de correo electrónico usando las reglas que bloquean archivos ejecutables comprimidos. Vamos a seguir controlando y analizando a Bart a medida que otros ataques y más detalles de afectados de ransomware aparezcan.