GandCrab v5 evoluciona dificultando su desofuscación


GandCrab evoluciona asociándose con un servicio criptológico para ofuscar su código.
El ransomware GandCrab apareció por primera vez en enero de este año y se ha ido actualizando muy rápidamente desde entonces, este mes ha llegado a su versión 5.0.2 mejorando el código y haciéndolo más resistentes a detecciones o eliminaciones.

Para la versión 5 los desarrolladores de GandCrab cuentan con el servicio NTCrypt un servicio dedicado a la ofuscación de malware que permite evadir los antivirus.

Anuncio de asociación NTCrypt + GandCrab
Fuente: securingtomorrow.mcafee.com

Cómo todos los ransomware su objetivo principal es cifrar todos los archivos del sistema infectado y demandar una cantidad de cryptodivisas para poder recuperar los archivos (no hay garantía de que si se pague se recuperen los ficheros).

La versión 5 viene con las siguientes características:
  • Eliminación de archivos.
  • Descubrimiento de información en el sistema objetivo.
  • Ejecución a través de API.
  • Ejecución a través de WMIC.
  • Detección de productos antimalware y de seguridad.
  • Modificación del registro.
  • Descubrimiento de los árboles de directorio para buscar archivos a cifrar.
  • Descubrir recursos compartidos en red para cifrarlos.
  • Enumeración de procesos para poder eliminar algunos concretos.
  • Creación de archivos.
  • Elevación de privilegio.


Esta versión viene con dos exploits que intentan escalar privilegios en el sistema. Uno de ellos es el recientemente lanzado exploit que intenta usar un problema con el sistema de tareas de Windows cuando el sistema maneja incorrectamente las llamadas a un procedimiento local.

El otro exploit que ejecuta es una elevación de privilegios gracias a un objeto defectuoso en el token del proceso del sistema, cambiar este token permite al malware la ejecución del exploit y la escalada de privilegios en el sistema.

Hashes
  • e168e9e0f4f631bafc47ddf23c9848d7: Versión 5.0

  • 6884e3541834cc5310a3733f44b38910: DLL de la versión 5.0

  • 2d351d67eab01124b7189c02cff7595f: Versión 5.0.2

  • 41c673415dabbfa63905ff273bdc34e9: Versión 5.0.2

  • 1e8226f7b587d6cd7017f789a96c4a65: DLL  exploit de 32 bits

  • fb25dfd638b1b3ca042a9902902a5ff9: DLL  exploit de 64 bits

  • df1a09dd1cc2f303a8b3d5097e53400b: botnet relacionada con el malware (IP 
  • 92.63.197.48)
Fuente: https://unaaldia.hispasec.com/