El análisis la reutilización de código de Purelocker revela que el ransomware está relacionado con "more_eggs", un malware de puerta trasera usado a menudo por Cobalt Gang y FIN6, que se vende en la Deep Web.
El ransomware está escrito en el lenguaje de programación PureBasic y es muy difícil para los proveedores de AV escribir una firma para los binarios de PureBasic ya que es portable entre Windows, Linux y OS-X.
PureLocker apunta principalmente a la infraestructura de Windows y Linux y los atacantes utilizan muchas técnicas de evasión para pasar desapercibido y así el ransomware no fue detectado durante varios meses.
PureLocker se distribuye como un Ransomware como Servicio (RaaS) que se utiliza en ataques dirigidos contra servidores empresariales.

- No hay ninguna conexión al código Crypto++, lo que significa que la muestra no es una biblioteca real.
- El archivo contiene código reutilizado de varias familias de malware, principalmente de binarios de Cobalt Gang. Esto significa que el archivo es malicioso y puede tener relaciones con el mismo.
- La mayoría del código relevante en este archivo es único, lo que indica que es probable que sea un malware nuevo o altamente modificado.
- Durante la infección, el código de malware realiza una serie de verificaciones para asegurarse de que el archivo es ejecutado según lo esperado por los autores del malware y sale si falla alguna de estas comprobaciones.
- Una vez que el malware ejecuta su carga útil, se elimina a sí mismo y también utiliza varias técnicas antianálisis.
- Según la investigación de Intezer, en caso de que se satisfagan todas las pruebas de análisis e integridad realizadas por el malware, se procede a cifrar los archivos en la máquina de la víctima con la combinación estándar AES + RSA, utilizando una clave RSA codificada.
- Después de completar el proceso de cifrado, el ransomware agrega la extensión ".CR1" para cada archivo cifrado y elimina el original para evitar la recuperación.
- La nota de rescate no contiene ninguna información de pago, en cambio, el atacante solicita a los usuarios que se comuniquen por correo electrónico utilizando el servicio Proton, se anónimo y cifrado.

0 comentarios:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!