Investigadores del grupo Talos, perteneciente a Cisco y dedicado a la investigación y obtención de información en seguridad, publicó el análisis de una muestra de Cryptowall 2.0, detallando muchas de las capacidades conocidas de esta amenaza, como su uso de la red Tor para disfrazar la comunicación de mando y control (C&C).

Una característica permite al ransomware detectar si la ejecución es en un ambiente virtual, algo que dice mucho sobre el compromiso y dedicación de los atacantes, así como su habilidad para detectar arquitecturas de 32 y 64 bits, ejecutando diferentes versiones para cada una.

"Ellos desarrollaron mucho trabajo para esconder el código utilizando cifrado, para incluir la detección de ambientes virtuales y la habilidad de explotar múltiples espacios", dijo el investigador de seguridad de Talos, Earl Carter. "Se puso mucho esfuerzo en Cryptowall 2.0. Alguien realizó mucho trabajo para lograr evitar su detección".

Cryptowall surgió hace casi un año y los atacantes lo han usado para generar ganancias considerables. A diferencia del ransomware de primera generación que bloqueaba el equipo y generaba un mensaje falso informando a la víctima que su máquina había sido incautada debido a actividades ilícitas en línea, Cryptowall y Cryptolocker introdujeron el cifrado de los archivos de las máquinas comprometidas. El malware exige un pago a cambio de la clave para descifrar y restaurar los datos del usuario, la cual muchas veces no se entregada, aunque el pago se haya hecho.

La forma de distribución del ransomware es principalmente mediante campañas de phishing o enlaces a sitios web maliciosos. En el caso de la muestra analizada por Talos, el medio de infección fue la vulnerabilidad de procesamiento de fuentes TrueType de Windows, que se dio a conocer el verano de 2014, la cual permite una elevación de privilegios, comentó Carter.

"Este malware toma lo mejor de ambos mundos; comienza con un exploit de 32 bits que puede tomar ventaja de procesadores AMD de 64 bits. El hecho de que sea tan consistente, que pueda ir y regresar entre una u otra arquitectura es notable", dijo Carter. "Normalmente hace una o la otra".

El reporte de Cisco presenta con gran detalle las etapas de las distintas rutinas de cifrado utilizadas por Cryptowall 2.0, hechas con el fin de evitar la detección por software antimalware y de detección de intrusos.

"Es una verificación muy simple en busca de ejecutables de VMWare o VirtualBox", mencionó Carter. "Si detecta alguno de los dos, asume que se encuentra en una sandbox (ambiente virtual de análisis) y no se ejecutará. En este punto ni siquiera se tiene acceso al código de Cryptowall que se ejecutará".

Las noticias de que Cryptowall estaba usando Tor para mando y control surgieron en otoño del año pasado, aunque no fue el primero en hacerlo. El malware y otras estafas se han vuelto cada vez más presentes en Tor, en donde se oculta la dirección IP origen de un paquete.

"Utilizar Tor hace más difícil identificar el C&C", dijo Carter. "No es evidente que es tráfico de este tipo pasando a través de tu red. Verás tráfico Tor, pero no puedes acceder a la información subyacente para ver la distinción".