Ragnarok: acciones de respuesta y recuperación

Fecha de publicación
06/07/2023
Autor
INCIBE (INCIBE)
Ragnarok: acciones de respuesta y recuperación

La primera muestra descubierta del ransomware Ragnarok (también conocido como Asnarok) data de finales de 2019, apareciendo por primera vez en informes de amenazas el 1 de enero de 2020.

Sus operadores seguían un modelo de negocio que consistía en seleccionar a grandes entidades, en busca de maximizar la probabilidad de recibir pagos. Para ello, practicaban la doble extorsión, ya que amenazaban con el borrado y la divulgación de los datos comprometidos, si no se efectuaba el pago.

En agosto de 2021, cesaron todas sus actividades y liberaron sus claves privadas junto con instrucciones para descifrar los datos comprometidos.

Características

Motivación  
Como la mayoría del ransomware, fue diseñado con el propósito principal de extorsionar a las víctimas en busca de un beneficio económico, infiltrándose en los sistemas de las víctimas, para cifrar sus datos y luego exigir un pago, generalmente en criptomonedas (normalmente bitcoins), para desbloquearlos y no divulgarlos públicamente.

Los ciberdelincuentes implementaron un mecanismo para verificar la configuración de idioma del sistema objetivo a partir del registro de Windows:

Imagen de registro de windows

Los atacantes buscaban objetivos de habla inglesa o francesa. Para ello, crearon una lista blanca de algunos idiomas, como el ruso, el chino o el español, para evitar que el malware se ejecutara en países donde predominaran dichas lenguas. Se desconoce el verdadero motivo, pero podría tratarse de una forma de evitar llamar la atención de las fuerzas del orden de los países de donde son originarios los grupos delictivos o de apuntar a regiones con una mayor disposición a pagar rescates.

Imagen de países en la lista blanca de Ragnarok

- Países en la lista blanca de Ragnarok - Fuente -

Evasión de la detección y recuperación

Ragnarok hace uso de varias técnicas habituales para eludir los mecanismos antimalware, como:

  • Autoeliminación de ficheros iniciales, borrando los ficheros iniciales del malware y trabajando principalmente en memoria.
  • Desactivación de Windows Defender para eludir la detección a través del cambio de valores en el registro de Windows.

imagen desactivación de windows defender  
- Desactivación de Windows Defender - Fuente -

  • Desactivación del cortafuegos en todos los perfiles del sistema objetivo, para evitar el bloqueo de las conexiones de red establecidas por el malware.

Imagen de desactivación de firewall de windows  
- Desactivación de Firewall de Windows - Fuente -

  • Eliminación de las shadow copies, o instantáneas de backup, tomadas por Windows como mecanismo de protección, para evitar que el sistema pueda restaurarse a un estado previo a la infección.

Imagen de eliminación de las shadow copies

- Eliminación de las shadow copies - Fuente -

  • Desactivación del modo de recuperación y a prueba de fallos, modificando los datos de la configuración de arranque para evitar que el sistema pueda iniciar estos modos

    Imagen de la desactivación de modos recuperación y prueba de fallos

- Desactivación de modos recuperación y prueba de fallos - Fuente -

Cifrado 
Ragnarok utiliza un método de autoinyección para desempaquetar una librería DLL llamada cry_demo.dll. Este archivo es particularmente importante, ya que contiene el código y la lógica necesarios para ejecutar el cifrado de los archivos de la víctima.

El proceso de cifrado se realiza de una manera bastante sistemática. El ransomware recorre los directorios del sistema, seleccionando los archivos objetivo para cifrarlos mediante el algoritmo AES 256. Esta operación se realiza con una clave simétrica generada aleatoriamente, garantizando que cada archivo esté cifrado de manera única.

Después, buscando que el proceso de descifrado resulte aún más difícil, cifra esta clave simétrica, utilizada para el cifrado con RSA 4096, mediante la clave pública correspondiente. Este proceso añade una capa adicional de cifrado, ya que la clave simétrica, necesaria para descifrar los archivos, solo puede ser descifrada por la clave privada de RSA, que está en posesión de los atacantes.

Finalmente, cambia la extensión de los archivos cifrados a ".thor" o a ".ragnarok". Este paso final simboliza que el proceso de cifrado se ha completado y que los archivos solamente son accesibles para quienes estén en posesión de la clave de descifrado.

Infección y propagación 
Los informes iniciales de las campañas de Ragnarok indicaron la existencia de dos vectores de ataque diferentes:

  • Path traversal en Citrix ADC (CVE-2019-19781): permite la ejecución de código arbitrario en el host. Una vez explotada, el atacante descarga y ejecuta un script bash llamado "ld.sh" que descarga a su vez una serie de scripts Python y recursos adicionales para lanzar el ataque. Tras la descarga, el script "de.py" descomprime y descifra el fichero "piz.Lan", que es un archivo zip que contiene scripts de explotación de la conocida vulnerabilidad EternalBlue de Windows (CVE-2017-0144), cuya explotación permite la ejecución remota de código en el servicio de bloque de mensajes del servidor (SMB) en Windows, lo que permite acceder a los sistemas Windows vulnerables en la red del host afectado inicialmente. Esta misma vulnerabilidad fue utilizada por WannaCry hace unos años y suele utilizarse para propagar la amenaza lo máximo posible dentro de la red.

Imagen de cargador ld.sh 
- Cargador ld.sh -

  • Inyección de SQL en Firewall Sophos (CVE-2020-12271). Mediante una inyección de SQL, en PostgreSQL, se descarga y ejecuta un archivo llamado "Install.sh" desde “hxxps://sophosfirewallupdate.com”, que intenta manipular la base de datos y descargar varios archivos adicionales (como "lp.sh"). Además, agrega persistencia en un archivo de servicio utilizado por el firewall para mantener el acceso remoto cada vez que se inicie el sistema. También, se reemplaza la dirección IP del sistema, que deja de ser visible en la interfaz del firewall. La carga útil está en un binario ejecutable llamado "b", que propaga la amenaza EternalBlue al resto de sistemas Windows de la red.

Imagen de Efecto del ataque tras su edición de la base de datos del Firewall Sophos 
- Efecto del ataque tras su edición de la base de datos del Firewall Sophos. Fuente

Prevención y respuesta

La mejor forma de prevenir un ataque que se aproveche de alguna vulnerabilidad es aplicando los parches de seguridad y manteniendo el software actualizado a la última versión disponible. Para ello, es recomendable realizar un seguimiento y monitorización de vulnerabilidades, mediante los avisos o boletines de seguridad publicados por fabricantes y CERT de referencia, que permita la detección temprana de las mismas. Para este caso concreto, será fundamental aplicar los parches de seguridad que corrigen las vulnerabilidades de Shopos, Citrix y Windows.

Además, la realización de copias de seguridad es otra medida recomendable para anticiparse a los efectos de un posible caso de ataque de Ragnarok, ya que nos permitiría recuperar la información en caso de vernos comprometidos. Sin embargo, esto no evitaría la posible divulgación de dicha información por parte del atacante.

Como medida de respuesta, el proyecto No More Ransom facilita una herramienta de descifrado, publicada y documentada por Emsisoft, después de que el operador de Ragnarok liberara su clave privada. Es fácil de usar, aunque no parece que todas las variantes de Ragnarok estén soportadas. El proceso de desinfección sería el siguiente:

  • Descargar, aceptar los términos e instalar el programa:

    Imagen de pantalla instalación de herramienta de descifrado de Ragnarok 
    - Pantalla instalación de Herramienta de descifrado de Ragnarok -

  • Adjuntar a la herramienta la nota de rescate del sistema afectado. Este paso falla si la variante del ataque no está soportada.

    Imagen de Pantalla de opciones iniciales de la herramienta 
    - Pantalla de opciones iniciales de la herramienta -

     

    Imagen de pantalla de verificación de la nota de rescate 
    - Pantalla de verificación de la nota de rescate -

  • Tras seleccionar las carpetas con los ficheros afectados, la herramienta comienza el proceso de descifrado. La herramienta permite la opción de guardar una copia de los ficheros cifrados.

    Imagen de Pantalla de opciones

    - Pantalla de opciones -

     

    Imagen Pantalla de finalización de escaneo

- Pantalla de finalización de escaneo -

  • Al concluir el proceso, se presenta un informe del proceso de descifrado, señalando cualquier problema que se haya encontrado. Esta información se puede registrar en un log usando el botón “save log” para compartirla con otros investigadores o almacenarla como evidencia del proceso.

Conclusiones

Durante las campañas conocidas de Ragnarok, se utilizó como vector principal la explotación de vulnerabilidades en Sophos y Citrix. Esto demuestra la necesidad crítica de que las organizaciones mantengan sus sistemas actualizados y protegidos contra estas amenazas. Es importante recordar que, aunque las herramientas de descifrado pueden ser útiles en algunas circunstancias, la mejor defensa contra el ransomware es la prevención, que incluye la adopción de buenas prácticas de seguridad, como actualizaciones regulares, copias de seguridad de datos y una buena formación y concienciación en ciberseguridad.

La historia de Ragnarok sirve como un poderoso recordatorio de la importancia de la ciberseguridad y cómo una amenaza puede surgir, evolucionar y eventualmente desvanecerse, solo para ser reemplazada por otra nueva amenaza.

botón arriba