Ultimas noticias de Ciber Seguridad del Centro Criptológico Nacional
  • El documento está disponible en la parte pública del portal del CCN-CERT.
  • El informe ‘CCN-CERT ID-05/20’ recoge el análisis de la muestra de código dañino perteneciente a la familia de ransomware NetWalker, cuyo objetivo es cifrar los ficheros de los sistemas infectados para, posteriormente, solicitar el pago de un rescate a cambio de la herramienta de descifrado.
  • El modelo de Ransomware as a Service (RaaS), el proceso de infección, el rescate, la desinfección, la regla de detección Yara y los indicadores de compromiso son los principales apartados del documento.

El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo documento en la parte pública de su portal. Se trata del Informe Código Dañino CCN-CERT ID-05/20 “NetWalker”. Este recoge el análisis de la muestra de código dañino perteneciente a esta familia de ransomware, cuyo objetivo es cifrar los ficheros de los sistemas infectados para, posteriormente, solicitar el pago de un rescate a cambio de la herramienta de descifrado.

La muestra de ransomware NetWalker objetivo de análisis ha sido distribuida utilizando un dropper desarrollado en Visual Basic Script (VBS), que se incluye como fichero adjunto en la campaña de SPAM. Como peculiaridad, una vez recibido el correo dañino no se precisa de conexión a Internet, pues tanto el componente dropper como el ransomware contienen toda la información necesaria para desarrollar el proceso de infección y cifrado de forma offline.

El proyecto lleva en marcha desde septiembre de 2019 y el pasado 19 de marzo de 2020, el actor Bugatti abría la oportunidad a otros criminales de formar parte de su programa de afiliados. En el Anexo A que se incluye en este documento, se facilita una traducción al español del anuncio original para formar parte de este programa.

La reciente distribución de esta campaña de malware, que sigue el modelo de Ransomware as a Service (RaaS), se lleva a cabo a través de correos electrónicos que simulan aportar información sobre el estado de la situación actual del coronavirus (COVID-19). Si bien no es ninguna sorpresa que los grupos criminales se aprovechen de las situaciones de crisis para utilizar la temática en sus campañas, la criticidad de la situación hace preciso extremar las medidas de seguridad, también en lo que respecta al ámbito digital.

Además de los detalles mencionados, el documento ofrece información de interés sobre el proceso de infección, el rescate, la desinfección, la regla de detección Yara y los indicadores de compromiso. Asimismo, se incluye un segundo anexo (Anexo B) con el fichero de configuración.

CCN (30/03/2020)

Informe Código Dañino CCN-CERT ID-05/20 “NetWalker”


Más información