Los recientes temores sobre la amenaza de ransomware GandCrab y la posibilidad de que haya adquirido nuevas capacidades de propagación similares a WannaCry parecen haber crecido luego de que los autores de este malware, que se ha convertido en la mayor amenaza de su categoría en los últimos 6 meses, continúan modificándolo para que sea más difícil detenerlo.

De hecho, la firma de seguridad Fortinet publicó un informe el pasado 12 de julio donde revela que se agregó una capacidad al estilo de WannaCry para difundir este ransomware a través de acciones SMB (Server Message Block), un protocolo de red que permite compartir impresoras, archivos, etc., entre nodos de una red de ordenadores con Windows.

Fortinet informó que la nueva versión 4.1 de GandCrab, al igual que su predecesora, se distribuye a través de sitios comprometidos diseñados para mostrarse como sitios de descarga de aplicaciones conocidas. Al igual que con la versión 4 y la herramienta del ransomware Petya, la versión 4.1 de GandCrab utiliza el cifrado de flujo ‘Salsa 2.0’ para cifrar datos más rápido en lugar del cifrado RSA-2048 que se utilizó en las primeras versiones de GandCrab.

La característica más distintiva de GandCrab 4.1 es que contiene una lista larga y codificada de sitios web a los que se conecta el malware, lo que hace que, una vez conectado a una URL en la lista, el malware envía datos, como direcciones IP, nombres de usuarios, nombre del equipo, dominios de red e incluso las herramientas antimalware del sistema, desde el sistema que ha sido afectado.

De manera curiosa, según Fortinet, no existe evidencia de que los sitios web en la lista codificada de GandCrab hayan sido comprometidos. De hecho, no existen razones para que los hackers deseen enviar información de usuarios de tantos hosts al mismo tiempo, cuando lo único que necesitan es que los datos sean enviados al sistema. La única explicación para ello, según la firma, es que los hackers están probando la funcionalidad del malware o sólo lo hacen como método de distracción.

El análisis de Fortinet también reveló que esta versión 4.1 está diseñada para eliminar numerosos procesos, como sqlagent.exe, msaccess.exe, msftesql.exe, powerpnt.exe oracle.exe, y wordpad.exe, lo que significa que puede lograr el cifrado completo de cualquier archivo. En este sentido, la firma asegura que cualquier archivo abierto también se cierra para permitir que se sobrescriba y garantizar que la rutina de encriptación se complete de manera efectiva.

El informe no encontró evidencia de que GandCrab se propague a través de acciones SMB, como WannaCry y Petya, por ello, cualquier temor sobre la propagación de exploits mediante SMB es considero como especulativo por el momento. Por su parte, Microsoft ha presentado una actualización llamada MS17-010 para corregir la vulnerabilidad y ayudar a prevenir los ataques.

Más en TekCrispy