El creador del ransomware WannaRen comparte la clave de recuperación

En Abril de este año tuvo lugar un importante ataque con ransomware que afectó principalmente a ciudadanos chinos. Durante una semana, esta amenaza conocida como WannaRen, afectó a decenas de miles de personas y empresas chinas y taiwanesas.

Parte de la viralidad alcanzada por este reciente ransomware se debe a que mucho de su código es compartido con Wannacry, el más conocido desde el 2017 y que puso de rodillas a medio mundo.

Así que hemos tenido un malware de tipo ransom que se ha difundido rápidamente por grandes áreas de Asia, con el exploit EternalBlue incorporado, permitiendo así moverse sin restricciones en redes públicas antes de comenzar a cifrar archivos.

Al final, lo curioso es que los creadores de esta amenaza tan seria se lo han pensado mejor y han decidido entregar las claves de desifrado sin pedir nada a cambio.

El grupo Hidden Shadow y los movimientos laterales en redes corporativas

Hoy sabemos que aquella amenaza tan conocida (Wannacry) fue un desarrollo del gobierno de Corea del Norte -mejor dicho, de sus hackers freelance- como una forma de obtener fondos para financiar su propio régimen (!) o lo que es lo mismo, crímenes de estado.

Es cierto que no querían seguramente levantar tanto revuelo como al final pasó, dado que esto puso muy de manifiesto sus otras actividades ilícitas. En el caso de los autores de WannaRen se puede decir lo mismo, al menos es lo que piensa la firma de antivirus Qihoo en sus pesquisas.

Este grupo ha estado activo durante 5 años, relacionado normalmente con actividades de distribución de malware en sitios relacionados con piratería. Han desarrollado anteriormente malware de tipo cryptominer, keyloggers, RATs y recopiladores de contraseñas.

Este marketplace de apps es ampliamente utilizado para este propósito porque el gobierno chino prohíbe la descarga de Notepad++ por la posición del desarrollador respecto a su país. No tardaron en hacerse oír las súplicas de miles de usuarios de origen chino tras estos hechos.

Movimientos laterales

Muchos de estos usuarios procupados eran de hecho administradores de sistemas que gestionan redes corporativas, donde WannaRen ha sido excepcionalmente agresivo, debido a su forma de funcionar.

En aquellos ordenadores donde aterrizaba la versión manipulada del software Notepad++, era descargado de inmediato un troyano / backdoor que descargaba por su parte el exploit EternalBlue para poder moverse lateralmente en aquellas redes corporativas que aún usan SMB v1 (samba es una protocolo de compartición de ficheros en red).

En cuanto los equipos de los usuarios eran bloqueados, el ransomware solicitaba el pago de 0.05 bitcoin (500 €) para recuperar los archivos. En esta nota aparece un retrato de Kim Jong-un.

Todos los equipos afectados son fácilmente identificables, dado que se emplea la extensión:

.wannaren

La clave de descifrado ahora es gratuita

Teniendo en cuenta la moderada demanda de dinero y la expansión final de la amenaza, parece claro que el éxito superó con creces las planificaciones e Hidden Shadow.

Parece ser que, temiendo represalias de las autoridades chinas en caos de descubrirlos, menos de una semana después de comenzar a distribuir el ransomware los ciberdelincuentes contactaron con una empresa de ciberseguridad china, con el objetivo de compartir la clave privada de cifrado.

En una serie de emails que ya son de dominio público se ve como los responsables solicitan a los expertos la creación de una herramienta gratuita de descifrado, en base a su propia clave de cifrado privada.

Ahora, los usuarios afectados por esta herramienta tinen dos opciones:

• Descargar la utilidad de recuperación de Huorong
• Utilizar la herramienta antiransomware de Bitdefender creada a tal efecto