Saltar al contenido

El creador del ransomware WannaRen comparte la clave de recuperación

wannaren-2

En Abril de este año tuvo lugar un importante ataque con ransomware que afectó principalmente a ciudadanos chinos. Durante una semana, esta amenaza conocida como WannaRen, afectó a decenas de miles de personas y empresas chinas y taiwanesas.

Parte de la viralidad alcanzada por este reciente ransomware se debe a que mucho de su código es compartido con Wannacry, el más conocido desde el 2017 y que puso de rodillas a medio mundo.

Así que hemos tenido un malware de tipo ransom que se ha difundido rápidamente por grandes áreas de Asia, con el exploit EternalBlue incorporado, permitiendo así moverse sin restricciones en redes públicas antes de comenzar a cifrar archivos.

Al final, lo curioso es que los creadores de esta amenaza tan seria se lo han pensado mejor y han decidido entregar las claves de desifrado sin pedir nada a cambio.

El grupo Hidden Shadow y los movimientos laterales en redes corporativas

Hoy sabemos que aquella amenaza tan conocida (Wannacry) fue un desarrollo del gobierno de Corea del Norte -mejor dicho, de sus hackers freelance- como una forma de obtener fondos para financiar su propio régimen (!) o lo que es lo mismo, crímenes de estado.

Es cierto que no querían seguramente levantar tanto revuelo como al final pasó, dado que esto puso muy de manifiesto sus otras actividades ilícitas. En el caso de los autores de WannaRen se puede decir lo mismo, al menos es lo que piensa la firma de antivirus Qihoo en sus pesquisas.

Este grupo ha estado activo durante 5 años, relacionado normalmente con actividades de distribución de malware en sitios relacionados con piratería. Han desarrollado anteriormente malware de tipo cryptominer, keyloggers, RATs y recopiladores de contraseñas.

WannaRen comenzó a ser distribuido el 4 de Abril como parte de un paquete Notepad++ infectado en cr173.com.

Este marketplace de apps es ampliamente utilizado para este propósito porque el gobierno chino prohíbe la descarga de Notepad++ por la posición del desarrollador respecto a su país. No tardaron en hacerse oír las súplicas de miles de usuarios de origen chino tras estos hechos.

Movimientos laterales

Muchos de estos usuarios procupados eran de hecho administradores de sistemas que gestionan redes corporativas, donde WannaRen ha sido excepcionalmente agresivo, debido a su forma de funcionar.

En aquellos ordenadores donde aterrizaba la versión manipulada del software Notepad++, era descargado de inmediato un troyano / backdoor que descargaba por su parte el exploit EternalBlue para poder moverse lateralmente en aquellas redes corporativas que aún usan SMB v1 (samba es una protocolo de compartición de ficheros en red).

En cuanto los equipos de los usuarios eran bloqueados, el ransomware solicitaba el pago de 0.05 bitcoin (500 €) para recuperar los archivos. En esta nota aparece un retrato de Kim Jong-un.

Todos los equipos afectados son fácilmente identificables, dado que se emplea la extensión:

.wannaren

La clave de descifrado ahora es gratuita

Teniendo en cuenta la moderada demanda de dinero y la expansión final de la amenaza, parece claro que el éxito superó con creces las planificaciones e Hidden Shadow.

Parece ser que, temiendo represalias de las autoridades chinas en caos de descubrirlos, menos de una semana después de comenzar a distribuir el ransomware los ciberdelincuentes contactaron con una empresa de ciberseguridad china, con el objetivo de compartir la clave privada de cifrado.

En una serie de emails que ya son de dominio público se ve como los responsables solicitan a los expertos la creación de una herramienta gratuita de descifrado, en base a su propia clave de cifrado privada.

Ahora, los usuarios afectados por esta herramienta tinen dos opciones:

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: