2025/03/23

 


La nueva cara de PowerShell: ransomware potenciado por ataques basados ​​en PowerShell

 


Resumen

 

PowerShell es una forma habitual de escribir código malicioso. Anteriormente, PowerShell solía desempeñar un papel secundario, como la ejecución de cmdlets o cargadores. Sin embargo, esta tendencia está cambiando. Crear un ransomware utilizando exclusivamente PowerShell es algo nunca visto, y recientemente se descubrieron muchos ejemplos, lo que me animó a investigar lo sucedido.

 

Análisis de la técnica

 

Las muestras de ransomware PowerShell tienen las mismas capacidades, como eliminar sombras, detener procesos que interfieren, deshabilitar el defensor, propagarse a la red y agregar persistencia del registro, etc.; todo esto lo hace un solo PowerShell.

 

Esquema de cifrado de software de terceros

Uno de los ransomware de PowerShell utiliza un software gratuito de cifrado de terceros llamado VeraCrypt para ayudar a cifrar los datos de la unidad; se descargará desde la dirección remota https[:]//Launchpad[.]net/veracrypt/trunk/1.25.9/+download/VeraCrypt_Setup_x64_1.25.9[.]msi e instalará VeraCrypt cuando se ejecute PowerShell.

El hash MD5 de muestra: 982433cb4f485fb6f3cd9fb32cce3bb2

Fig.1 Esquema de VeraCrypt de terceros mediante PowerShell


Los hashes MD5 de muestra:

f3b663ef29fd2f8b41cdcf17b4a4300d

ffef1e40446902adc8071354fd39c1c6

Fig.2 Esquema de VeraCrypt de terceros mediante PowerShell

 

Esquema de cifrado RSA y AES

Uno de los propósitos del ransomware PowerShell es cifrar los datos de las posibles víctimas combinando los algoritmos RSA y AES, una solución común entre otros grupos de ransomware. Sin embargo, aquí no se abordan los detalles del cifrado, como cómo guardar la clave AES y el IV, ni cómo usar la clave pública.

Los hashes MD5 de muestra:

118bd1887d7a1f825826e3a00f06b98e

4e7fd80028d4d0b227d48da1843762ab

Fig.3 Esquema RSA+AES de PowerShell

 

 

Conclusión

Como saben, al igual que otro grupo de ransomware, su código fuente se filtró, y posteriormente surgirán más actores de amenazas. Los scripts de PowerShell se volverán más populares para escribir código malicioso más potente. Obviamente, se utilizarán más, y su función, antes secundaria, también cambiará a medida que se detecten más casos. Y en aquellas muestras sin ninguna técnica de ofuscación, esto cambiará.

 

COI

Archivos:

982433cb4f485fb6f3cd9fb32cce3bb2

f3b663ef29fd2f8b41cdcf17b4a4300d

ffef1e40446902adc8071354fd39c1c6

118bd1887d7a1f825826e3a00f06b98e

4e7fd80028d4d0b227d48da1843762ab

 

Fin.


Representaciones gráficas de notas de rescate

Etiquetas:  ,  ,  ,  ,  , 

-

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

Microsoft abraza las passkeys: ahora podemos iniciar sesión de manera mucho más sencilla (y segura) en todos sus servicios

  Microsoft abraza las passkeys: ahora podemos iniciar sesión de manera mucho más sencilla (y segura) en todos sus servicios Passkeys es una...