¿Qué es RobbinHood Ransomware y cómo protegerse contra él?
robbinhoodlleva el nombre del forajido medieval, sólo que con una ortografía diferente: el Robin Hood del bosque de Sherwood solo tiene una 'b'
Los investigadores de ciberseguridad notaron por primera vez este ransomware en abril de 2019. Su primer gran ataque fue en las oficinas del Ciudad de Greenville en Carolina del Norte, y luego atacó la ciudad de Baltimore, Maryland, el mes siguiente.
Como la mayoría de los ransomware, RobbinHood ataca a los ordenadores que ejecutan el ventanas Sistema operativo. El malware introduce un kernel de bajo nivel, destinado a una placa base creada por Gigabyte. Este sistema ha quedado obsoleto y es conocido por sus errores, por lo que las empresas que se recuperan de un ataque de RobbinHood deben restaurar sus archivos y reinstalar el sistema operativo hasta el BIOS para eliminar este defecto. Desafortunadamente, incluso aquellos que pagan el rescate para obtener la clave de descifrado no solucionan este problema del kernel automáticamente.
¿De dónde viene RobbinHood?
RobbinHood no forma parte de una familia de ransomware ni es producto de una conocida banda de piratas informáticos. Los analistas de ciberseguridad no saben nada sobre el grupo que creó RobbinHood ni dónde residen. Sin embargo, hay una pista en la nota de rescate creada para RobbinHood. El segundo párrafo termina con: “¡Así que no pierdas el tiempo y date prisa! ¡Tik Tak, Tik Tak, Tik Tak!
Los relojes dicen cosas diferentes en diferentes idiomas; en inglés, escuchamos relojes que dicen ' TIC Tac .” En japonés los relojes dicen “ kachi kachi ”, en chino es “ dida dida ”, y en coreano, los relojes dicen “ Ttok tak .” Los relojes dicen “ Tik Tok ”en holandés y ruso. Dado que la mayor parte del ransomware del mundo se produce en Rusia, es más probable que RobbinHood es ruso en lugar de holandés.
Otro indicio de que esto es obra de los rusos es que el código de uno de los módulos, Steel.exe, hace referencia a un directorio de usuario con el nombre miguel .
¿Cómo llega el ransomware RobbinHood a una computadora?
RobbinHood ransomware utiliza varios métodos diferentes para ingresar a una computadora. La forma principal en que aparece el ransomware es como un archivo adjunto a un correo electrónico de phishing . Esto incitará al usuario a descargar y ejecutar el archivo adjunto. Otro método es a través sitios web infectados . Este malware agrega una ventana emergente al sitio que le informa al usuario que el navegador no está actualizado. Hacer clic en Aceptar en la ventana emergente genera una descarga que, cuando se ejecuta, instala la primera parte del ataque RobbinHood en lugar de la actualización prometida del navegador. Otro método de distribución es a través de sistemas de intercambio de archivos . El instalador se hace pasar por un vídeo atractivo para engañar a las personas para que lo descarguen y lo abran.
La primera parte del instalador es un programa legítimo que tiene un fallo de seguridad. Esto es un conductor para una placa base Gigabyte. El conductor es lo que se conoce como el núcleo . Interpreta los comandos del sistema operativo en acciones sobre los componentes físicos de la computadora. Desafortunadamente, este controlador tiene un insecto, y Gigabyte lo ha dejado en desuso. Sin embargo, las PC no saben que el archivo ya no es válido porque tiene todas las autorizaciones de seguridad necesarias.
Una vez que este controlador está en la computadora, pone a disposición del pirata informático un punto de entrada a través del error conocido. El controlador permite cargar otros archivos del sistema y reemplazar los sistemas existentes. Esto se encuentra bajo el sistema de gestión de archivos de ventanas y permite a los piratas informáticos eliminar bloqueos de archivos. También permite que los archivos por lotes de piratas informáticos matar procesos .
¿Qué sucede en un ataque de ransomware RobbinHood?
Los archivos por lotes que carga el instalador eliminan muchos procesos en ejecución, incluidos sistemas antivirus . Sin el antivirus en ejecución, el malware puede ejecutarse sin ser detectado. También elimina cualquier editor que pueda tener un archivo abierto. Esto incluiría Word y Excel. Cualquier archivo que esté abierto para edición no se puede sobrescribir con una versión cifrada.
Sorprendentemente, el malware desconecta las unidades conectadas. Esto parece ser una oportunidad perdida para extenderse a otras computadoras. Sin embargo, parece que el flujo de trabajo del proceso de cifrado debe abordar una computadora a la vez . Se espera que un servicio de replicación dentro del paquete de ransomware desparramar el cifrado ejecutable a otras computadoras a través de la red. Por lo tanto, cada punto final se cifrará por separado.
El ransomware ha tenido mucho éxito al apoderarse de la totalidad del sistema corporativo que infecta. No implementa el cifrado inmediatamente pero murga hasta que muchos ordenadores hayan sido infectados. Los analistas no saben cómo sabe el controlador del ransomware cuándo se han alcanzado suficientes puntos finales. Puede utilizar una herramienta de monitoreo de red estándar para generar una lista de todos los puntos finales conectados a la misma red que el objetivo inicial .
El ransomware RobbinHood parece cruzar a otras computadoras en una red usando el Protocolo de escritorio remoto (PDR). Algunos sitios no requieren contraseña para este protocolo implementado como una utilidad en el sistema operativo Windows. Otro fallo de seguridad de este sistema es utilizar una contraseña fácil de adivinar, como por ejemplo contraseña o 123456789 .
La última fase de preparación es una limpiar , que elimina todos los archivos de registro y elimina las instantáneas que crean las funciones de Autoguardado. Este final previo al ataque también desactiva el modo de recuperación de inicio de Windows.
El proceso de cifrado de RobbinHood
Después de realizar todas estas tareas para propagarse por una red y alterar el núcleo de cada computadora comprometida, es posible que el ataque aún se cancele. Los piratas informáticos han integrado un sitio de última hora. mecanismo de control .
El cifrado utiliza dos capas de cifrado y el envoltorio externo se realiza con RSA , un sistema de cifrado de clave pública. Antes de comenzar la rutina de cifrado, el ransomware busca una clave de cifrado RSA almacenada en el directorio temporal de Windows. El dropper probablemente instaló este archivo para el paquete de ransomware. Sin embargo, si el proceso de cifrado no puede encontrarlo, todo el procedimiento de ransomware se cancela. cancelado .
Dado que todo el sistema se instala junto con el mismo cuentagotas, ¿por qué podría ser que el archivo clave no estuviera allí? Es posible que uno de los procesos anteriores elimine opcionalmente el archivo de clave de cifrado. Los hackers rusos no atacarán ordenadores que tengan ruso como idioma del sistema. Esa cortesía se extiende a los idiomas de todas las naciones de la ex URSS, excepto los Estados bálticos. El proceso de reconocimiento podrá eliminar el archivo clave si detecta una nacionalidad protegida.
El proceso de cifrado utiliza un AES cifrar con una nueva clave para cada archivo. El nombre original de cada archivo y la clave utilizada para cifrarlo se almacenan en un archivo, que se cifra con el cifrado RSA utilizando el clave de 4096 bits descubierto en el directorio Temp. Así, cada ataque puede identificarse mediante la misma clave RSA, que protege muchas claves AES.
A medida que se cifra cada archivo, su nombre cambia a Encrypted_
El rescate de RobbinHood
RobbinHood lanza cuatro copias del nota de rescate en formato de texto en la unidad cifrada y genera un HTML versión mostrada en la pantalla de la víctima. Esta nota de demanda incluye un enlace a un formulario de contacto. Sin embargo, la página de destino sólo se puede abrir en un navegador Tor. Los hackers le dan a la víctima cuatro días para pagar el rescate, o aumentará en $10,000 por día si no se gasta. La nota también explica que una vez diez días han pasado sin pago, el registro de la clave de descifrado se eliminará y todas las posibilidades de recuperación se perderán permanentemente.
Los informes sugieren que los piratas informáticos cumplen su promesa y cumplen un descifrador y la llave para quienes pagan. El rescate original oscila entre 0,8 Bitcoin y 13 Bitcoin, dependiendo de cuántas computadoras fueron infectadas.
Resolver el problema terminará costando más que sólo el rescate. Por ejemplo, la ciudad de Greenville calculó que sus costos totales de recuperación ascendieron a $18,2 millones, incluido el rescate que pagaron.
Prevención de ataques de ransomware RobbinHood
Como ocurre con todo malware, más vale prevenir que curar. El gran problema al que te enfrentarás no es la pérdida de datos sino el desorden que núcleo con errores causas de instalación. Deberá desmontar cada computadora y reinstalar todo el sistema operativo desde el metal hacia arriba.
Puede inmunizar rápidamente cualquier computadora contra el cifrado RobbinHood, gracias a esa verificación del archivo de claves. Lamentablemente, las diferentes versiones utilizan nombres diferentes para ese archivo. Por ejemplo, podría ser pub.clave o key.pub . Sin embargo, siempre está en el C:WindowsTemp carpeta. Entonces, cree un archivo vacío para cada uno de esos nombres y protección contra escritura a ellos. De esa manera, el instalador de RobbinHood no podrá copiar el archivo de clave y, cuando comience el proceso de cifrado, no encontrará la clave y, por lo tanto, fallará.
Sin embargo, todavía tendrás que lidiar con ese problema del kernel. Un sistema completo de protección contra malware es un mejor plan que una solución rápida para bloquear una cepa de ransomware específica. Aquí hay dos sistemas que debe considerar para defenderse contra el ransomware RobbinHood y todo el malware.
1. CrowdStrike Falcon Insight (PRUEBA GRATUITA)
Información sobre el halcón de CrowdStrike es un buen paquete de seguridad para protegerse contra una amplia gama de malware , incluido el ransomware RobbinHood. Desafortunadamente, RobbinHood ha pasado por cuatro versiones y el software más reciente para el sistema solo contiene el 23 por ciento del código original. Esto pone de relieve un problema con los antivirus tradicionales que simplemente buscan nombres de archivos o procesos específicos para detectar malware; incluso el mismo malware evoluciona con el tiempo, lo que hace que esos signos reveladores fuera de plazo. En cambio, Falcon Insight utiliza un sistema de detección adaptable que detecta nuevo malware.
El sistema Falcon Insight es de próxima generación detección y respuesta de endpoints (EDR) servicio. Esto rastrea toda la actividad en un punto final e identifica la actividad regular para cada cuenta de usuario. El sistema genera una alerta si de repente surge un comportamiento atípico. El truco de RobbinHood de instalar un nuevo kernel encajaría en esa categoría de comportamiento anormal .
El servicio CrowdStrike Falcon Insight es un coordinador para sistemas de detección residentes en terminales. Estos módulos están disponibles por separado como un producto llamado Halcón prevenir .
El servicio Insight es un módulo basado en la nube que recibe informes de actividad de agentes de punto final y los analiza en busca de comportamientos sospechosos. Esto le da al sistema CrowdStrike dos puntos de detección . El primero analiza la actividad de un endpoint, mientras que el otro busca actividades vinculadas entre endpoints. Esto es útil para detectar actividad de ransomware que se propaga de un punto final a otro.
El sistema en la nube también recibe una fuente de inteligencia sobre amenazas y comunica las acciones recomendadas hasta los módulos de los terminales. Además, el servicio EDR incluye sistemas de remediación que pueden bloquear instantáneamente un ataque en evolución. Por ejemplo, el EDR puede software de cuarentena o matar procesos que parezcan amenazantes. También puede aislar un dispositivo de la red para detener la propagación de una infección.
Puedes conseguir unPrueba gratuita de 15 díasde Falcón Prevent.
CrowdStrike Falcon Insight comienza una prueba GRATUITA de 15 días
dos. GestionarEngine DataSecurity Plus
GestionarEngine DataSecurity Plus es una herramienta esencial para las empresas con un estándar de privacidad de datos, como RGPD , PCI DSS , o HIPAA . Es un protector de datos sensibles.
Afortunadamente, RobbinHood no roba ni publica datos confidenciales. Sin embargo, otros programas maliciosos sí lo hacen. La amenaza de publicar datos robados se está convirtiendo cada vez más en una amenaza adicional estándar en el ransomware para animar a la víctima a pagar.
DataSecurity Plus tiene una descubrimiento electrónico módulo que busca en la red almacenes de datos confidenciales. Una vez que los encuentra, clasifica los datos en cada ubicación. Esto le permite aumentar la seguridad en esos lugares. El paquete también incluye un monitor de integridad de archivos eso generará una alerta si se tocan archivos protegidos. Esta herramienta también puede revertir el daño restaurando desde la copia de seguridad. También puede finalizar procesos y aislar el dispositivo de la red.
ManageEngine DataSecurity Plus está disponible para una prueba gratuita de 30 días .
