Ironcat ransomware
Ironcat Ransomware es una amenaza de bloqueo de cifrado escrita en el lenguaje GO y detectada para estar operativa en la naturaleza. Inicialmente, los investigadores tienden a conectar la amenaza con otras familias de ransomware existentes, como Sodinokibi Ransomware o REvil Ransomware, debido a las similitudes en la nota de rescate. Resulta que este no es el caso, y Ironcat es un malware único evidenciado por un análisis de la amenaza lanzado por su propio autor.
Aparentemente, Ironcat Ransomware nunca tuvo la intención de ser una amenaza real. Los binarios se crearon con el único propósito de ser utilizados como herramientas de entrenamiento implementadas solo en una red de rango cerrado con los entornos que se borran después del final de los ejercicios; se suponía que nunca debían ser divulgados al público. La forma en que escaparon de los confines de sus sistemas de prueba previstos, según el desarrollador de Ironcat, es a través de un estudiante que eliminó los binarios y luego los cargó en VirusTotal.
Al convertirse en una amenaza de malware en toda regla, Ironcat puede cifrar los archivos almacenados en el sistema informático del usuario comprometido. Sin embargo, antes de que pueda iniciar el proceso malicioso, la amenaza debe ejecutarse como administrador y fallará en ciertas acciones si se ejecuta con privilegios de usuario. Ironcat en sí no está equipado con ningún método para el aumento de privilegios o mecanismos de omisión. Otro umbral que la amenaza debe eliminar es establecer una conexión enviando un paquete a Fakebook.com, un sitio web de entorno de formación.
Si todo sale bien, Ironcat procederá a cifrar los archivos en los directorios de destino y agregará '.encrypted' al nombre de archivo original de cada archivo. Esto también cambiará el tipo de archivo registrado a "CIFRADO". La nota de rescate, que en la versión original de Ironcat era una copia casi idéntica de REevil, se coloca en cada carpeta que contiene datos cifrados como un archivo de texto llamado "pay_the_piper.txt".
Más allá de sus capacidades de cifrado, Ironcat Ransomware colocó cuatro archivos por lotes en el directorio ' C: \ Windows ':
- Chtes.bat: inicia una consola de administración cmd.exe al presionar cualquier tecla cinco veces en la pantalla de inicio de sesión
- Netlogin.bat: crea una clave de registro que inicia admin cmd.exe cada vez que se inicia ultiman.exe
- Shadow.bat: elimina las copias del Volume Shadow Service del servicio de respaldo predeterminado de Windows mediante el comando ' cmd / C vssadmin delete shadows / all '
- Mssupdate.bat: elimina todos los registros de eventos de Windows
El autor de Ironcat también proporcionó formas para que cualquier víctima afectada intente restaurar sus datos afectados. El ransomware debe ejecutarse de la misma manera, pero esta vez con la función de descifrado . La misma contraseña que se utilizó para el cifrado debe utilizarse para el descifrado, por lo que los usuarios deben obtenerla. El autor de los binarios ofrece tres formas posibles, aunque hay algunas salvedades. Primero, capture la solicitud HTTP POST que contiene los datos codificados en base64 e invierta la codificación, lo que requiere que se haya establecido un servicio de captura de paquetes antes de que se ejecute Ironcat. De lo contrario, la entrada del registro de seguridad de eventos de Windows contendrá la línea de comando utilizada para iniciar el binario si no se ha borrado. Por último, conhost.exe se puede utilizar para acceder a la ventana de la consola en la que se ejecutó originalmente el binario. Esto permitirá al usuario enumerar el comando y la contraseña utilizados para ejecutar el cifrado a través del comando ' doskey / history '. Sin embargo, para que este método funcione, el atacante debe haber dejado conhost.exe activo y las víctimas deben iniciar sesión en la misma sesión.
