Smaug: ¿cómo funciona un ransomware as a service?

Para muchos, Smaug es un nombre que evoca el universo nacido de la la mente del maestro Tolkien, el último de los grandes dragones de la Tierra Media, uno de los muchos obstáculos a los que se tuvo que enfrentar Bilbo para hacerse con el anillo. Sin embargo, un ciberdelincuente, presumiblemente chino, ha decidido emplear su nombre para ofrecer su servicio de ransomware as a service, una modalidad de malware de la que no hablamos demasiado, pero que no ha dejado de crecer los últimos años.

Cuando alguien desea cometer algún tipo de delito informático, tradicionalmente contaba con dos opciones: hacerlo uno mismo o contratar a un tercero, ya sea por no contar con los conocimientos necesarios, o por no querer ver su nombre directamente involucrado en dicha acción si algo sale mal. Ahora, de un tiempo a esta parte, también existe un modelo intermedio, en el que un proveedor nos ofrece, con servicios como Smaug, todo lo que necesitamos para que, aún sin los conocimientos y/o el tiempo para diseñar el ataque desde cero, podamos llevar a cabo nuestros planes.

Aunque, como digo, servicios como Smaug han ido creciendo, tanto en cantidad como en relevancia, todavía hay muchas personas que no saben de su existencia o, en el mejor de los casos, sobre su funcionamiento. Y es por ello que vamos a aprovechar una investigación llevada a cabo por la firma de seguridad Anomali para hacer un repaso, en profundidad, a qué ofrecen y cómo funcionan este tipo de servicios.

La historia empieza en una web rusa dedicada a la seguridad, con un foro bastante activo y en el que, entre otras cosas, todos aquellos usuarios que hagan propuestas comerciales deben realizar un ingreso económico, como fondo, para prevenir las estafas. Es en ese foro donde nos encontramos al usuario Corinda, creador de Smaug, dando los primeros pasos en relación con el mismo.

Revisando el historial de mensajes de su cuenta, que ya ha sido suspendida en el foro (por no realizar la provisión de fondos), podemos ver que publicó su primer mensaje en octubre del año pasado. En el mismo ofrecía trabajo a un desarrollador especializado en front-end para web, con experiencia previa y dominio del inglés (lo que indica que no es angloparlante). Su presupuesto era de alrededor de 2.000 dólares al cambio en bitcoin. No sabemos en qué estado se encontraba entonces, pero lo que es seguro es que ya estaba trabajando en Smaug.

Smaug ve la luz

Tras la publicación de esa oferta laboral, que apenas si consiguió llamar la atención de los usuarios (hasta el punto de que la única respuesta pública al mensaje original era otro de Corinda, en el que animaba a la gente a participar) saltamos hasta el 5 de mayo de este mismo año, cuando Corinda presenta Smaug en sociedad, con este mensaje en el foro:

Anuncio de Smaug

Imagen de Anomali

De dicho mensaje podemos destacar varios aspectos:

  • Precio: Una cuota de registro de 0,2 bitcoins (algo más de 9.500 euros al cambio actual) y el 20% de lo recaudado por los usuarios del servicio con sus ataques.
  • Multiplataforma: Según afirma su creador, Smaug puede atacar cualquier sistema operativo de 64 bits. En el mensaje se citan, explícitamente, Windows, Linux (no se especifican distribuciones) y MacOS X.
  • Configuración: Todo el proceso de configuración y gestión de la campaña se realiza a través de una interfaz gráfica. No son necesarios conocimientos técnicos para llevar a cabo el ataque.
  • Automatización: Todos los procesos relacionados con Smaug (generación del patógeno y las claves, interacción con las víctimas, etcétera) se realiza de manera automatizada por el sistema.
  • Personalización: El sistema permite personalizar múltiples aspectos de la campaña: nota de secuestro, importe del rescate y el plazo límite para el pago.
  • Tipos de campaña: Smaug permite crear campañas masivas, en las que cada payload generará una clave única, así como específicas para empresas, en las que todos los patógenos emplearán la misma clave (con el fin de facilitar el descifrado de todos los activos, si finalmente optan por pagar).
  • Servicio de asistencia a la víctima: Smaug cuenta con un servicio de atención a la víctima para, según afirman, facilitarle todo el proceso de recuperación de sus ficheros, una vez que hayan pagado el rescate.
  • Estadísticas: Para demostrar la autenticidad del ataque y la existencia de la clave, Smaug permite descifrar un único archivo a cada víctima. Esta función se emplea para llevar un control estadístico de las víctimas.

De la descripción de Smaug se deduce, rápidamente, que se trata de un servicio diseñado para personas sin conocimientos técnicos, pero que aún así desean introducirse en el mundo del cibercrimen. Esto me ha recordado a los primeros tiempos de Back Orifice y Back Orifice 2000, la herramienta que hizo que crear un troyano fuera tan sencillo como pulsar cuatro botones y hacer un par de ajustes.

Otro aspecto importante es que, vista su descripción, podemos deducir que Smaug no realiza exfiltración de archivos, algo que cuadra con tener una orientación más centrada en las campañas masivas que en las dirigidas a empresas. Y es que, en empresas con políticas activas de backups seguros, en principio la recuperación debería resultar bastante más económica que el pago del rescate. Aunque, como ocurre con todo, hay casos y casos…

Gestión de la campaña

¿Y cómo funciona Smaug? El primer paso es, claro, visitar la página web indicada en el mensaje de Corinda en el foro. Una página que, como habrás visto, tiene la extensión .onion, por lo que para acceder a la misma tendremos que emplear el navegador Tor. Lo primero que veremos al acceder a la web es la función, destinada a las víctimas, para recuperar el contenido de un archivo cifrado. En la esquina superior derecha encontraremos enlaces tanto para registrarnos como para acceder, si es que ya somos usuarios de Smaug.

Para el registro en Smaug, como ya indicamos anteriormente, es necesario realizar un pago de 0,2 bitcoins. Una vez que nuestra cuenta ya esté activa, podremos empezar a crear campañas, para lo que emplearemos esta interfaz

Configuración de campaña en Smaug

En la misma, como puedes comprobar, solo es necesario realizar unos pocos ajustes:

  • Nombre de la campaña.
  • Tipo de campaña (masiva o dirigida a una empresa).
  • Precio del rescate (en bitcoins).
  • Texto de la nota de rescate.
  • Fecha de finalización de la campaña.

Como te indicamos al principio, verás que no es necesario conocimiento técnico alguno para emplear Smaug. Es lo que podríamos calificar como una macabra democratización del cibercrimen, pues lo pone al alcance de cualquier persona que disponga del dinero necesario para registrarse en el servicio.

Una vez puesta en marcha la campaña, llega el siguiente punto: su gestión, que se lleva a cabo desde esta interfaz:

Gestión de campaña en Smaug

En la misma, como puedes comprobar, se muestra información sobre los ingresos generados, las fechas de vigencia de la campaña, la lista de los tipos de archivos, por tipo de extensión, que serán secuestrados en el ataque. Son los siguientes:

#A

*.3fr *.accdb *.aes *.ai *.ARC *.arw *.asc *.asf *.asm *.asp *.avi

#B

*.backup *.bak *.bat *.bay *.bmp *.brd

#C

*.c *.cdr *.cer *.cgm *.class *.cmd *.cpp *.cr2 *.crt *.crw *.csr *.CSV

#D

*.dbf *.dch *.dcr *.der *.dif *.dip *.djv *.djvu *.dng *.doc *.DOC *.docb *.docm *.docx *.dot *.DOT *.dotm *.dotx *.dwg *.dxf *.dxg

#E

*.eps *.erf

#F

*.fla *.flv *.frm

#G

*.gif *.go *.gpg *.gz

#H

*.h *.html *.hwp

#I

*.ibd *.indd

#J

*.jar *.java *.jpe *.jpeg *.jpegm *.jpg

#K

*.kdc *.key

#L

*.lay *.lay6 *.ldf

#M

*.max *.mdb *.mdf *.mef *.mid *.mkv *.mml *.mov *.mpeg *.mpg *.mrw *.ms11 *.MYD *.MYI

#N

*.nef *.NEF *.nrw

#O

*.odb *.odg *.odm *.odp *.ods *.odt *.orf *.otg *.otp *.ots *.ott

#P

*.p12 *.p7b *.p7c *.PAQ *.pas *.pdd *.pdf *.pef *.pem *.pfx *.php *.png *.pot *.potm *.potx *.ppam *.pps *.ppsm *.ppsx *.ppt *.PPT *.pptm *.pptx *.psd *.pst *.ptx *.py

#Q

*.qcow2

#R

*.r3d *.raf *.rar *.raw *.rb *.rtf *.RTF *.rw2 *.rwl

#S

*.sch *.sldm *.sldx *.slk *.sql *.sqlite3 *.SQLITE3 *.sqlitedb *.SQLITEDB *.srf *.srw *.stc *.std *.sti *.stw *.svg *.swf *.sxc *.sxd *.sxi *.sxm *.sxw

#T

*.tar *.tar.bz2 *.tbk *.tgz *.tif *.tiff *.txt

#U

*.uop *.uot

#V

*.vbs *.vdi *.vmdk *.vmx *.vob

#W

*.wav *.wb2 *.wks *.wma *.wmv *.wpd *.wps

#X

*.xlc *.xlk *.xlm *.xls *.XLS *.xlsb *.xlsm *.xlsx *.xlt *.xltm *.xltx *.xlw *.xml

#Z

*.zip

Como puedes comprobar, no hace ascos a prácticamente ningún tipo de archivo.

Pero hay otro punto muy importante, y sobre el que posiblemente te estés preguntando: la distribución de Smaug.

La carga útil

Como puedes ver, en la página de gestión de la campaña, se encuentran los enlaces para descargar el payload de Smaug para los diferentes sistemas operativos. Y es que, efectivamente, la distribución del malware será tarea del contratante del servicio, los responsables del malware no se hacen cargo de esta parte de la operativa.

Esta es, evidentemente, la razón por la que Coronda ofrece su ransonware como servicio, y con una tasa de entrada al alcance de la mayoría, puesto que en realidad, lo que está haciendo es crear una red de distribuidores de Smaug que, probablemente, en muchos casos actuarán de manera dirigida hacia objetivos concretos, afinando en los ataques para lograr que estos sean exitosos.

Y sí, es cierto que, de cumplirse las condiciones indicadas (algo en lo que el contratante debe confiar en los operadores de Smaug), el 80% de los beneficios del ataque van a quien haya contratado el servicio. Pero, claro, dado que si la red de clientes crece, también lo hará el alcance del ransomware. Una relación en la que todos ganan… todos, menos las víctimas.

 

Imagen: David Demaret

La entrada Smaug: ¿cómo funciona un ransomware as a service? es original de MuySeguridad. Seguridad informática.