El análisis la reutilización de código de Purelocker revela que el ransomware está relacionado con «more_eggs», un malware de puerta trasera usado a menudo por Cobalt Gang y FIN6, que se vende en la Deep Web.
El ransomware está escrito en el lenguaje de programación PureBasic y es muy difícil para los proveedores de AV escribir una firma para los binarios de PureBasic ya que es portable entre Windows, Linux y OS-X.
PureLocker apunta principalmente a la infraestructura de Windows y Linux y los atacantes utilizan muchas técnicas de evasión para pasar desapercibido y así el ransomware no fue detectado durante varios meses.
PureLocker se distribuye como un Ransomware como Servicio (RaaS) que se utiliza en ataques dirigidos contra servidores empresariales.
Una muestra de ransomware compatible con Windows, que se hizo pasar por una biblioteca de criptografía C++, llamada Crypto++, fue utilizada por los investigadores para profundizar y analizar la muestra. Encontraron las siguientes características:
- No hay ninguna conexión al código Crypto++, lo que significa que la muestra no es una biblioteca real.
- El archivo contiene código reutilizado de varias familias de malware, principalmente de binarios de Cobalt Gang. Esto significa que el archivo es malicioso y puede tener relaciones con el mismo.
- La mayoría del código relevante en este archivo es único, lo que indica que es probable que sea un malware nuevo o altamente modificado.
- Durante la infección, el código de malware realiza una serie de verificaciones para asegurarse de que el archivo es ejecutado según lo esperado por los autores del malware y sale si falla alguna de estas comprobaciones.
- Una vez que el malware ejecuta su carga útil, se elimina a sí mismo y también utiliza varias técnicas antianálisis.
- Según la investigación de Intezer, en caso de que se satisfagan todas las pruebas de análisis e integridad realizadas por el malware, se procede a cifrar los archivos en la máquina de la víctima con la combinación estándar AES + RSA, utilizando una clave RSA codificada.
- Después de completar el proceso de cifrado, el ransomware agrega la extensión «.CR1» para cada archivo cifrado y elimina el original para evitar la recuperación.
- La nota de rescate no contiene ninguna información de pago, en cambio, el atacante solicita a los usuarios que se comuniquen por correo electrónico utilizando el servicio Proton, se anónimo y cifrado.
Fuente: Gbhackers