Shade Ransomware opera cesa su operación
Un informe reciente indica que los operadores de Shade terminarían todas sus operaciones. Con esto, la cepa de ransomware de más larga duración desde 2014, cuando los investigadores de seguridad detectaron las variantes que encriptan los datos de la víctima, concluye. La pandilla de delincuentes ha estado activa desde ese momento con campañas que se llevan a cabo a un ritmo bastante constante. Sus actividades cayeron por un precipicio con sus anuncios:
“Somos el equipo que creó un encriptador de troyanos conocido principalmente como Shade, Troldesh o Encoder.858. De hecho, detuvimos su distribución a fines de 2019. Ahora tomamos la decisión de poner el último punto en esta historia y publicar todas las claves de descifrado que tenemos (más de 750 mil). También estamos publicando nuestro descifrado suave; También esperamos que, teniendo las claves, las compañías de antivirus emitan sus propias herramientas de descifrado más fáciles de usar. Todos los demás datos relacionados con nuestra actividad (incluidos los códigos fuente del troyano) se destruyeron irrevocablemente. Pedimos disculpas a todas las víctimas del troyano y esperamos que las claves que publicamos les ayuden a recuperar sus datos “.
The Gang recurrió a GitHub en 2019 para hacer este anuncio. Este mensaje confirma que la pandilla lanzó unas 750,000 claves de descifrado para ayudar a las víctimas a recuperar sus archivos. Lo hicieron como un acto de buena fe. El investigador de Kaspersky Labs Sergey Golovanov ya verificó estas claves. La empresa de seguridad ahora está trabajando en una herramienta de descifrado que facilitaría mucho el proceso de descifrado. No se ha anunciado nada sobre los datos cuando se lance esta herramienta, sin embargo, puede anticipar que estará disponible en un futuro próximo. Kaspersky Labs son los que tienen la experiencia de tratar con Shade, ya que lanzaron varias herramientas de descifrado.
Si bien el lanzamiento de la herramienta puede verse como un acto de buena fe, viene con una serie de advertencias. Es cierto que el lanzamiento de la herramienta ayudará a varias víctimas a acceder a sus datos cifrados por el ransomware. Este lanzamiento de la herramienta ayuda al Kaspersky a crear un muy necesario para ser un descifrador otorgado.
Como se dijo anteriormente en la introducción, la historia del ransomware de sombra comenzó en 2014. La pandilla lo distribuyó mediante campañas de correo electrónico no deseado y kits de explotación de ambos. No fue una cepa perfecta, como lo pueden ver los múltiples programas de descifrado desarrollados por Kaspersky y otras empresas de seguridad. El primer método de distribución fue descubierto por Avast. Tuvo lugar en junio de 2019 cuando la empresa de seguridad pudo bloquear 100,000 instancias de ransomware, rastreados como Troldesh. La campaña se dirigió a individuos en Estados Unidos, Reino Unido y Alemania. Sin embargo, con mucho, la mayor detección se produjo en Rusia y México. Avast señaló que el ransomware se había extendido a través de correos electrónicos no deseados, se vio que las instancias del malware se distribuyeron a través de las redes sociales y plataformas de mensajería. Además notaron:
“Vemos un aumento en el número de sus ataques que probablemente tenga más que ver con los operadores de Troldesh que intentan presionar esta tensión con más fuerza y eficacia que cualquier tipo de actualización de código significativa. Troldesh se ha extendido en la naturaleza durante años con miles de víctimas con archivos rescatados y probablemente seguirá siendo frecuente durante algún tiempo “.
La segunda campaña fue analizada por MalwareBytes. Lo hicieron cuando enfrentan un aumento en una detección que comenzó a fines de 2018 y se extendió hasta la mitad del primer trimestre de 2019. El aumento en la actividad parecía que las pandillas de ransomware comenzaron a ralentizar la distribución a favor de la distribución de otro malware como los mineros de criptomonedas.
Nuevamente, el ransomware se propagó al adjuntar el código malicioso dentro de algún archivo como un archivo adjunto de un correo electrónico no deseado. El archivo a menudo era zip, si se abría, extraía un archivo JavaScript que contenía la carga útil del ransomware. Una vez ejecutada, la infección comenzaría con el cifrado de archivos y su adición con cierto nombre de extensión. Después de esto apareció un archivo .txt con una instrucción sobre cómo pagar el rescate para descifrar los archivos. Los investigadores declararon:
“Las víctimas de Troldesh cuentan con un código único, una dirección de correo electrónico y una URL a una dirección de cebolla. Se les pide que se pongan en contacto con la dirección de correo electrónico mencionando su código o que vayan al sitio de cebolla para obtener más instrucciones. No se recomienda pagar a los autores del rescate, ya que financiará su próxima ola de ataques. Lo que distingue a Troldesh de otras variantes de ransomware es la gran cantidad de archivos readme # .txt con la nota de rescate en el sistema afectado y el contacto por correo electrónico con el actor de la amenaza. De lo contrario, emplea un vector de ataque clásico que depende en gran medida de engañar a las víctimas desinformadas. Sin embargo, ha tenido bastante éxito en el pasado y en su ola actual de ataques. Los descifradores gratuitos que están disponibles solo funcionan en algunas de las variantes más antiguas, por lo que las víctimas probablemente tendrán que depender de copias de seguridad o funciones de reversión “.
Si bien una pandilla ha decidido suspender todas las operaciones, para muchos, es lo de siempre. Por lo tanto, no debe bajar la guardia. El equipo de Inteligencia de Protección contra Amenazas de Microsoft emitió una advertencia de que esta vez los atacantes no han amenazado con publicar los datos públicamente, esto no significa que no los hayan robado. Además, declararon:
“Varios grupos de ransomware que han acumulado acceso y han mantenido la persistencia en las redes objetivo durante varios meses activaron docenas de implementaciones de ransomware en las primeras dos semanas de abril de 2020. Hasta ahora, los ataques han afectado a organizaciones de ayuda, compañías de facturación médica, fabricación, transporte, gobierno instituciones y proveedores de software educativo, lo que demuestra que estos grupos de ransomware dan poca importancia a los servicios críticos que impactan, a pesar de la crisis global. Sin embargo, estos ataques no se limitan a servicios críticos, por lo que las organizaciones deben estar atentas a las señales de compromiso ”.
Debes defenderte de ser víctima de las pandillas de ransomware. Microsoft aconseja a los administradores de red que rastreen PowerShell, Cobalt Strike y otras herramientas de prueba de penetración. También deben buscar acceso sospechoso al Servicio del Subsistema de la Autoridad de Seguridad Local y modificaciones sospechosas en el registro, así como evidencia de alteración de los registros de seguridad. Estos consejos se deben a estas vulnerabilidades:
- Puntos finales de escritorio virtual o RDP sin autenticación multifactor
- Servidores de Microsoft Exchange afectados por CVE-2020-0688
- Sistemas Zoho ManageEngine afectados por CVE-2020-10189
- Sistemas Citrix ADC afectados por CVE-2019-19781
- Sistemas VPN Secure Pulse afectados por CVE-2019-11510
- Servidores Microsoft SharePoint afectados por CVE-2019-0604