En los últimos años, el panorama de las amenazas de ransomware ha ido cambiando gradualmente. Hemos sido testigos de un cambio de paradigma. Desde los brotes masivos de 2017, como WannaCry , NotPetya y Bad Rabbit , muchos actores de ransomware se han movido a la táctica encubierta pero altamente rentable de la “caza mayor”. Las noticias de ransomware que provocan la interrupción de los servicios de algunas corporaciones globales se han convertido en algo común.
En algunos casos, esta tendencia global es solo un reflejo del ciclo de vida continuo de las amenazas: las antiguas familias de ransomware cierran y aparecen otras nuevas que persiguen nuevos objetivos. Sin embargo, hay ocasiones en las que una sola familia de ransomware ha evolucionado de una operación a gran escala a una amenaza muy específica, todo en el lapso de dos años. En este post queremos hablar de una de esas familias, llamada JSWorm.
El ransomware JSWorm se descubrió en 2019 y desde entonces diferentes variantes han ganado notoriedad bajo varios nombres como Nemty , Nefilim , Offwhite y varios otros.
Se lanzaron varias versiones como parte de cada variante “renombrada” que alteraba diferentes aspectos del código, extensiones de archivo renombradas, esquemas criptográficos y claves de cifrado.
En algún momento de 2020, los desarrolladores incluso cambiaron el lenguaje de programación de C ++ a Golang, reescribiendo completamente el código desde cero. Sin embargo, la similitud en el esquema criptográfico, las notas de rescate y el uso de la misma dirección del sitio web de filtración de datos nos llevó a creer que es la misma campaña.
La versión original del malware, así como algunos de los “cambios de marca” posteriores, por ejemplo, Nemty, se anunciaron en un foro clandestino mediante un cartel con el nombre de usuario jsworm.
Desde su creación en 2019 hasta la primera mitad de 2020, JSWorm se ofreció como un RaaS público y se observó que se propagaba a través de:
- Kit de explotación RIG
- Botnet Trik
- Sitios web de pago falsos
- Campañas de spam
Desde la primera mitad de 2020, el RaaS público se cerró y los operadores cambiaron a la caza mayor. Existe evidencia de una infracción inicial a través de la explotación de software vulnerable del lado del servidor (Citrix ADC) y el acceso RDP no seguro. Los archivos se cifran mediante una modificación personalizada de un cifrado Blowfish con una clave de 256 bits. La clave se genera al comienzo de la ejecución del programa y se basa en la concatenación de las cadenas: nombre de usuario, dirección MAC del dispositivo y número de serie del volumen.
Básicamente, el malware guarda la clave que se puede usar para descifrar en las notas de rescate. La decodificación y eliminación de archivos x de Base64 es trivial, y los datos de la víctima se pueden guardar sin pagar el rescate. Incluso si la nota de rescate se pierde por alguna razón, la clave se puede regenerar fácilmente en la máquina infectada.
