jueves, 18 de mayo de 2017

WannaCry: Pagas y... ¿Rescatas?

Seguro que ya conoces a WannaCry, WCry, Wannacrypt o sus variantes. Son muchas las denominaciones que suenan estos días en los medios, pero son más las hipótesis sobre cómo y por qué ha entrado en cerca de 200.000 ordenadores en más de 179 países y cuáles serán las consecuencias.

El discurso es variado, la infoxicación dura, muy dura. Caos y locura en la red con el ciberataque del siglo. Esta es la razón por la que no queremos ser portadores de opiniones sin sustancia. Hablar por hablar es fácil. Nuestra intención es informarte con datos objetivos y resultados empíricos para que tú mismo llegues a una conclusión propia.

Muchos de los interrogantes que aparecen en los medios y que abren debate en las redes sociales están relacionados con el pago del rescate:

  • ¿Merece la pena pagar el rescate del ransomware?
  • ¿Deben mostrarse las empresas colaborativas en este tipo de chantajes cibernéticos?
  • ¿qué garantiza el pago de los mencionados 300 dólares en bitcoins?

Por esta razón, a continuación vamos a explicarte cómo funciona el sistema de cifrado de este virus que trae de cabeza a muchas empresas del mundo. También te vamos a mostrar una hipótesis que puede que debas tener en cuenta: todo apunta a la posibilidad de que, durante el proceso de pago del rescate, haya una o varias personas validando el mismo. Por lo que, si esas personas desaparecen o desaparece el servidor que contiene los datos, la empresa puede efectuar el pago y no recibir la información secuestrada.


¡Ojo! Nuestra postura es contraria al pago del rescate.

Obtención de la clave de cifrado Wannacrypt

Check Payment: se puede decir que la clave está en este nombre. Pero, ¿Qué es? Se trata del botón que permite descifrar todos los archivos que han sido cifrados previamente por WannaCrypt.

Botón Check Payment



¿Qué ocurre una vez que pulsas este botón? Nuestro protagonista, Wannacrypt, obtiene nombre de usuario y de sistema de tu ordenador y los envía al servidor de lo ciberdelincuentes. Junto con estos datos, también envía la dirección bitcoins en la que debes ingresar el dinero del rescate (en este caso que exponemos solicita $600, que a día de hoy está a 0.33 btc).

Envío de datos cifrados tras pulsar el botón Check Payment

Junto con toda esta información, también se envía el contenido del archivo 00000000.eky. Este archivo contiene la clave privada que se generó en el sistema cuando el malware cifró los ficheros del ordenador infectado.

A su vez, la clave privada de la que hablamos está asociada a la clave pública, que se usa para cifrar las claves AES128. Esta última se genera nuevamente para cifrar cada archivo.


Además, la clave privada está cifrada con la clave pública maestra de los autores del malware.

Clave privada cifrada que envía el malware al servidor de los ciberdelincuentes

Contenido del archivo 00000000.eky



Toda la comunicación pasa a través de la red TOR y el malware envía toda la información a una serie de dominios ONION controlados por los ciberdelincuentes. Para ello se usa una instancia de la aplicación legítima TOR y realiza la comunicación mediante socks5 en localhost.

Servidor donde se envía los datos



La comunicación, al canalizarse a través de TOR, se anonimiza y, además, los datos se cifran previamente a través de la siguiente función:



Muestra de la función que cifra los datos antes de ser enviados


En esta función, lo datos se cifran mediante XOR usando una custom key y agrupados en bloques. 

Pero, pagas y… ¿rescatas?

¿Cómo saben los ciberdelincuentes que has pagado el rescate? Es más… ¿Está automatizada la verificación del pago y el posterior descifrado o hay un humanoide pendiente de la validación?

Respondemos:


Una vez que has realizado el pago, tienes que ponerte en contacto con los ciberdelincuentes enviando un mensaje mediante el enlace Contact Us:

Enlace Contact Us


En el contenido del mensaje debes incluir el ID de transacción de haber realizado el pago. Esto permite a los ciberdelincuentes comprobar la cadena de bloques y cuántos nodos ha verificado dicha transacción.


Como puedes apreciar en la siguiente captura, además del contenido del mensaje, puedes ver también los parámetros que identifican tu ordenador ya infectado. 

Envío de los datos al servidor de los ciberdelincuentes al finalizar la operación de Contact Us


Una vez validado el pago por el ciberdelincuente, debemos pulsar de nuevo Check Payment inicial para que el servidor de los malos nos devuelva una clave privada, que supuestamente permite descifrar toda la información secuestrada.


Como demuestra la última imagen, no hay campos predefinidos para indicar el ID de la transacción, sino texto libre. Esto significa que la probabilidad de que se necesite inteligencia humana para interpretar ese texto es alta, muy alta. 

No hay comentarios:

Publicar un comentario