El programa chantajista Cry se distribuye con UDP, Imgur y Google Maps

Investigadores de seguridad han descubierto un programa chantajista que se hace pasar por una agencia gubernamental inexistente, la Organización Central de Regímenes de Seguridad (CSTO).

El programa chantajista, conocido por nombres como Cry y ransomware CSTO, usa el protocolo de datagramas de usuario (UDP) para comunicarse, y los servicios para compartir imágenes de Imgur y Google Maps para distribuir sus infecciones.

Un investigador de seguridad que opera bajo el seudónimo MalwareHunterTeam descubrió el programa el jueves pasado.

Lawrence Abrams, encargado de BleepingComputer.com, analizó el programa chantajista junto con MalwareHunterTeam y el investigador de seguridad Daniel Gallagher. Abrams informó sobre los descubrimientos del equipo el lunes por la noche en su blog.

Los investigadores siguen analizando el programa, por lo que no tienen todos los detalles sobre su distribución y no saben si es posible descifrarlo. Lo que sí se sabe es que en sólo 2 semanas ha conseguido casi 8.000 víctimas.

Abrams comentó a Threatpost que el 2 de septiembre, cuando comenzó a analizar el programa chantajista con MalwareHunterTeam, había alrededor de 3.200 víctimas. Esta cifra no tardó en inflarse hasta llegar a las 6.800 víctimas dos días después, y a 8.000 cuando volvió a revisar el conteo el lunes. El programa chantajista sigue en desarrollo; Abrams dice que Gallagher descubrió un nuevo ejemplar hoy mismo.

Después de infectar los equipos, Cry deja las notas de rescate “Recovery_[random_chars].html” y “!Recovery_[random_chars].txtencrypts” en el escritorio de la víctima, notificándole que sus archivos están infectados con la extensión “.cry” – de donde adopta el nombre. Las notas exigen 1,1 bitcoins, o alrededor de 635 US$ para descrifrar los datos.

De allí en adelante, usa el protocolo UDP para transmitir información sobre el equipo infectado a más de 4.000 direcciones IP, incluyendo su versión de Windows, el tipo de bits de su sistema, qué service pack tiene instalado, el nombre del equipo y tipo de CPU.

Arams cree que este método ayuda a los atacantes a esconder sus servidores de comando y control de las autoridades. Es similar al del programa chantajista Cerber. Los investigadores de Invincea encontraron en mayo una variante de Cerber que generaba cantidades masivas de tráfico UDP saliente, hasta el punto que inundaba las subredes con paquetes UDP en el puerto 6892. Los expertos no descartaron que el programa podría realizar ataques distribuidos de denegación de servicio.

Además de UDP, Cry utiliza dos servicios que suelen ser ajenos a este tipo de amenazas: Imgur y Google Maps.

El programa selecciona la información que manda a las direcciones IP y las inserta en un archivo de imagen PNG que sube a una galería de fotos de Imgur.

“Cuando el archivo se sube con éxito, Imgur responde con un nombre único para el filename”, explicó Abrams. “Este filename (puede) compartirse mediante UDP a las 1096 direcciones IP para notificar al servidor de comando y control que se ha infectado una nueva víctima”.

El programa también usa el API de Google Maps para determinar el SSID de los paquetes que envía por cualquier red inalámbrica cercana. La función WlanGetNetworkBssList de Windows le ayuda a conseguir la lista de redes inalámbricas e SSIDs. Cuando encuentra los SSID visibles para el equipo infectado, utiliza Google Maps para obtener la dirección de la víctima. Este dato tiene un valor innegable, pero Abrams no está seguro sobre cuál es su función, aunque cree que podría usarse para asustar a la víctima y forzarla a que pague.

Abrams declaró a Threatpost que, aunque no se lo descubrió hasta el 1° de septiembre, el desarrollador de Cry comenzó a probarlo en la red el 25 de agosto. Abrams, Gallagher y MalwareHunterTeam vieron que el desarrollador comenzó a probar los archivos PNG que había subido con los caracteres “LOLWTFAMIDOINGHERE”, una frase sin espacios que en inglés significa “jajaja ¿qué diablos hago aquí?”.

Así como la Organización Central de Regímenes de Seguridad no existe, también son inventados el Departamento de Acuerdos Pre-Juidiciales y la Agencia Federal de Investigación, a los que el programa malicioso dice que representa en su sitio de pagos ubicado en la red Tor. El sello de la organización falsa combina el escudo, ramas y estrellas del logo del FBI y la cabeza de águila de la CIA.

Fuentes: Threatpost