Ranion es un Ransom-as-a-Service (RaaS) que ha disfrutado de una longevidad inusual, ya que ha estado activo desde al menos febrero de 2017. Si bien sus actividades y propósito: cifrar archivos en máquinas comprometidas y recibir el pago de rescate del usuario para recuperar su archivos: pueden parecer iguales a otros ransomware a los ojos del público, la verdad es que el funcionamiento interno de Ranion RaaS es diferente a otros ransomware.
En este blog, FortiGuard Labs explicará cómo funciona Ranion RaaS.
Las primeras líneas de The Tale of Heike, una epopeya marcial sobre la guerra civil entre los clanes Taira y Minamoto en el Japón del siglo XII , ayudan a describir el ascenso y la caída de varios grupos de ransomware en 2021.
“Las campanas del Templo de Jetavana hacen
sonar el paso de todas las cosas.
Los árboles de sala gemelos, blancos en plena flor,
declaran la caída segura del gran hombre.
Los arrogantes no duran mucho:
son como un sueño una noche de primavera.
Los valientes y valientes perecen al final:
son como polvo ante el viento «.
– Royall Tyler, El cuento de Heike
Las operaciones de ransomware son de corta duración
Para aquellos de nosotros que monitoreamos organizaciones ciberdelincuentes y malware , el ransomware a menudo tiene una vida útil muy corta. Algunos de los movimientos de ransomware más notables en 2021 incluyen:
Desaparición:
- La pandilla REvil (también conocida como Sodinokibi) que había estado activa desde 2019 se apagó en junio.
- El grupo de ransomware Avaddon detuvo sus operaciones en junio. Había iniciado sus operaciones en 2019.
- La banda de ransomware Ragnarok, en funcionamiento desde 2019, se cerró en agosto y lanzó su clave de descifrado.
- Darkside apareció por primera vez en 2020 y cerró en mayo después de comprometer a una importante empresa de oleoductos de EE. UU.
- El ransomware FonixCrypter abandonó su vida criminal en enero y lanzó una herramienta de descifrado y su clave maestra de descifrado. La clave maestra de descifrado puede descifrar todos los archivos, independientemente de la víctima, que FonixCrypter había cifrado previamente.
Debut y cambio de marca:
- Los anuncios de ransomware Blackmatter se publicaron en foros cibernéticos clandestinos en julio. Si bien Blackmatter no es un cambio de marca de otro ransomware, se rumorea su afiliación con la pandilla Darkside.
- El ransomware Haron debutó en julio y se basa en el ransomware Thanos y Abaddon.
- El ransomware Doppelpaymar fue rebautizado como Grief (PayOrGrief).
- El ransomware SynAck fue rebautizado como El_Cometa en agosto.
Figura 1. Período activo para ransomware que detuvo / comenzó a operar en 2021La vida media del ransomware mencionado anteriormente, que desapareció o se renombró en 2021, es un poco menos de dos años. Las razones para detener las operaciones varían de un grupo de ransomware a otro, pero generalmente lo hacen para escapar de las atenciones no deseadas de los investigadores de seguridad y las fuerzas del orden.
Ranion sigue funcionando cuatro años después
La variante de ransomware Ranion con la que FortiGuard Labs se encontró recientemente con esa tendencia. La familia de ransomware Ranison parece haber existido desde al menos principios de 2017, lo que le da más de cuatro años de longevidad. En febrero de ese año, Daniel Smith de Radware Security arrojó la primera luz sobre el ransomware Ranion, y lo describió como Ransomware-as-a-service. Sorprendentemente, su sitio web en la Dark Web se ha mantenido relativamente sin cambios: el desarrollador de Ranion aún mantiene su afirmación de que Ranion se creó con fines educativos y pide a los usuarios que no utilicen el ransomware para actividades ilegales.
La última versión de Ranion, la versión 1.21, se lanzó en julio de 2021. Sorprendentemente, el desarrollador de Ranion actualizó el ransomware todos los meses en 2021 (excepto en mayo), incluidas actualizaciones para la detección de evasión, lo que arroja dudas sobre la afirmación de que el ransomware es con fines educativos. Otro dato interesante es que la versión 1.08 se lanzó al menos en enero de 2018 y solo se actualizó siete veces durante un período de 35 meses (enero de 2018 – diciembre de 2020). Sin embargo, ha experimentado una rápida aceleración en su desarrollo en 2021, con seis actualizaciones durante un período de siete meses por razones desconocidas. Cada actualización realizada en 2021 contiene código adicional que utiliza un programa de código abierto llamado ConfuserEx para evadir la detección y proteger las identidades de los proveedores de seguridad. Tocaremos esta parte más adelante.
Ranion RaaS explicado
Figura 2. Parte superior de la página web del ransomware Ranion en la web oscuraLa última versión de Ranion ransomware está diseñada para cifrar archivos en una máquina comprometida usando las siguientes 44 extensiones de archivo, un aumento de cinco nuevos tipos de archivos en comparación con los análisis anteriores (las extensiones recién agregadas están resaltadas en naranja):
.wallet , .txt, .rtf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .ods, .pdf , .jpg, .jpeg, .png, .gif , .bmp , .csv, .sql, .mdb, .db, .accdb, .sln, .php, .jsp, .asp, .aspx, .html, .htm, .xml, .psd, .cs, .java,. cpp, .cc, .cxx, .zip, .rar , .pst, .ost, .eml , .pab, .oab, .msg
Aunque el ransomware no está diseñado para cifrar archivos ejecutables, los desarrolladores de Ranion afirman que los usuarios «pueden solicitar otros tipos de archivos / extensiones adicionales para cifrar de forma gratuita, ya que cualquier archivo puede ser un objetivo del ransomware Ranion».
Cómo gana dinero Ranion
Originalmente, en 2017, Ranion ofrecía a los usuarios dos paquetes de soporte (un servicio de 1 año y otro de 6 meses). Hoy, el equipo de Ranion ofrece cuatro paquetes de soporte: Elite, Premium, Standard y Test.
| Élite | Prima | Estándar | Prueba |
Ranion ransomware de 32 bits | 〇 | 〇 | 〇 | 〇 |
Ranion ransomware de 64 bits | 〇 | 〇 | 〇 | 〇 |
Descifrador | 〇 | 〇 | 〇 | 〇 |
Duración de la suscripción (mes) | 12 | 12 | 6 | 1 |
Porcentaje de recompensa | N / A | N / A | N / A | N / A |
Funciones de ransomware | ||||
Comienzo demorado | 〇 | 〇 | 〇 | 〇 |
Cifrado retrasado | 〇 | 〇 | 〇 | 〇 |
Administrador de tareas | 〇 | 〇 | 〇 | 〇 |
Deshabilitador del editor de registro | 〇 | 〇 | 〇 | 〇 |
Derivación de UAC | 〇 | 〇 | 〇 | 〇 |
Cambio de fondo de escritorio | 〇 | 〇 | 〇 | 〇 |
Seguimiento de IP | 〇 | 〇 | 〇 | 〇 |
Cifrado sin conexión | 〇 | 〇 | 〇 | N / A |
Apoyo | 〇 | 〇 | 〇 | N / A |
Administrador de clientes en tiempo real | 〇 | 〇 | 〇 | N / A |
Complemento: cuentagotas (+90 USD) | 〇 | AUP [1] | AUP | N / A |
Complemento: Clon (+90 USD) | 〇 | AUP | AUP | N / A |
Complemento: FUD + (+300 USD) | 〇 | AUP | AUP | AUP |
Complemento: Proceso imposible de matar (+90 USD) | 〇 | AUP | AUP | N / A |
Precio (dólares americanos) | 1900 | 900 | 490 | 120 |
Figura 3: Paquetes y precios de ransomware Ranion
Anteriormente, el paquete más caro se ofrecía por 0,95 bitcoins y el más barato por 0,60 bitcoins. En febrero de 2017, un bitcoin valía alrededor de 1.200 dólares estadounidenses, lo que significa que estos paquetes se vendieron por alrededor de 1.140 dólares y 720 dólares, respectivamente. A partir de septiembre de 2021, un bitcoin se intercambió por alrededor de 50,000 USD, por lo que los desarrolladores de Ranion ajustaron sus precios y ahora también ofrecen descuentos para opciones complementarias fáciles de comprar.
El modelo de negocio de Ranion es bastante diferente al de otros proveedores de RaaS. Por lo general, los proveedores de ransomware como servicio pagan entre el 60% y el 80% de los rescates cobrados a sus «afiliados» que han instalado con éxito su ransomware en la máquina de la víctima. Los desarrolladores de Ranion no aceptan la parte de un intermediario. En cambio, sus afiliados pagan por el servicio RaaS por adelantado y luego reciben el 100% de los rescates cobrados. Y aunque algunos proveedores de RaaS intentan reclutar afiliados experimentados y, a menudo, seleccionan a los afiliados potenciales antes de permitirles que se registren en el servicio, los desarrolladores de Ranion no lo hacen. Esta es una de las razones por las que muchos afiliados sin experiencia comienzan con Ranion. Permite luego acostumbrarse a la operación de rescate. También es una opción para los afiliados que no pudieron pasar el proceso de selección impuesto por otras bandas de ransomware.
Para ver qué tan bien funciona este modelo, rastreamos algunas billeteras de Bitcoin utilizadas por una de las muestras más antiguas de Ranion para el pago de rescate. Se realizaron dos pagos moderados, por un total de aproximadamente USD $ 153 y $ 460 en Bitcoin, a la billetera dentro de una semana después de que la muestra de Ranion estuvo disponible. Pero una billetera Bitcoin utilizada por Ranion ha registrado transacciones de otras dos billeteras Bitcoin. Se transfirieron alrededor de $ 4.7 millones de dólares en Bitcoin a una de esas billeteras desde más de 300 billeteras Bitcoin diferentes.
Complemento de cuentagotas
Otra característica notable de Ranion es que brinda a los compradores la oportunidad de comprar un complemento de cuentagotas. A primera vista, un «cuentagotas» puede parecer un complemento de malware que los afiliados de Ranion pueden utilizar para distribuir ransomware, pero no lo es. Según una pregunta frecuente publicada en el sitio de compra, el cuentagotas adicional tiene la siguiente descripción: “ RANION puede descargar un programa suyo (archivo exe) y ejecutarlo después de que finalice el proceso de cifrado. »
Por ejemplo, un atacante podría usar este complemento para descargar e instalar silenciosamente una herramienta de acceso remoto «RAT» en la máquina de una víctima infectada con Ranion. Incluso si la víctima opta por pagar un rescate, el descifrador de Ranion solo descifra los archivos cifrados, pero no elimina la RAT. Luego, el afiliado de Ranion puede recurrir a otros servicios de RaaS que estén dispuestos a comprar acceso corporativo existente (rápidamente vienen a la mente Lockbit 2.0 y Blackmatter RaaS) y vender esa víctima comprometida para obtener ganancias adicionales. Este esquema seguramente puede ser «educativo», pero solo es bueno para los afiliados de ransomware.
1 AUP disponible para su compra
Figura 4: Preguntas frecuentes sobre el complemento de pago «Dropper».
Figura 5: Muestra del panel C&C de RanionEl método de entrega de Ranion Ransomware
El método de entrega del ransomware Ranion observado recientemente por FortiGuard Labs es muy sencillo. Se hizo a través de un correo electrónico de spearphishing con un archivo zip adjunto que incluía el ejecutable del ransomware Ranion. Como Ranion es más adecuado para los actores de amenazas principiantes, la falta de sofisticación en su entrega de ransomware podría ser una razón por la que Ranion no ha ganado el estatus de hogar en el ámbito del ransomware. Esta también puede ser la razón por la que han logrado permanecer fuera del radar durante más de cuatro años.
Figura 6: Correos electrónicos recientes de spearphishing (en español y francés) utilizados para entregar el ransomware RanionEl mensaje de rescate de Ranion admite ocho idiomas de forma predeterminada (inglés, ruso, alemán, francés, español, italiano, holandés y persa). Cualquier región en la que se utilicen principalmente esos idiomas puede ser un objetivo de Ranion.
Origen de Ranion Ransomware: ¿Imitación de HiddenTear?
Ranion basa su código en el ransomware de prueba de concepto de código abierto conocido como HiddenTear. Hay algunas similitudes de código entre los dos proyectos.
Figura 7: cifrado HiddenTear AESLa captura de pantalla anterior es de la implantación de HiddenTear de una función de cifrado. Se puede encontrar en https://github.com/goliate/hidden-tear/blob/master/hidden-tear/hidden-tear/Form1.cs . A modo de comparación, la implementación de Ranion está a continuación:
Figura 8: Cifrado Ranion AESPara cifrar archivos, HiddenTear utiliza esta función.
Figura 9: Cifrado de archivos HiddenTearRanion implementa su cifrado de manera similar.
Figura 10: Cifrado de archivos RanionEstos son solo dos ejemplos. La semejanza general de programación se puede ver en una variedad de lugares. Además, Ranion mantuvo su sección de recursos similar a la de HiddenTear.
Figura 11: Recurso RanionNOTA: Esta variante de Ranion es de 2017 y tiene un valor hash SHA256 de eed03a9564aee24a68b2cade89d7fbe9929e95751a9fde4539c7896fda6bdcb5
Ser FFFFUUUUDDDD
Para ser completamente indetectable, el equipo de Ranion ha confiado constantemente en el proyecto ConfuserEx, que es el sucesor del ahora desaparecido proyecto Confuser. Es un ofuscador gratuito y de código abierto que dificulta el análisis del malware al “proteger” las aplicaciones .NET mediante el cambio de nombre de símbolos, la eliminación de errores, el cifrado, la compresión y otras funciones. (Para obtener más información, consulte la página del proyecto github aquí ).
La variante de Ranion 2017 analizada a continuación estaba «protegida» por el proyecto Confuser.
Figura 12: Ranion 2017 usando ConfuserLa siguiente variante 2021 de Ranion fue «protegida» mediante el proyecto ConfuserEx.
Figura 13: Ranion 2021 usando ConfuserExSi bien ConfuserEx es capaz de hacer lo que dice, que es «proteger» las aplicaciones .NET, en este caso está protegiendo el malware para que no sea detectado por la industria antivirus a través de técnicas de evasión.
Conclusión: Ranion Ransomware
Ranion basado en HiddenTear es un RaaS de bajo perfil y bajo costo que no ha logrado el mismo éxito que otras bandas de ransomware más notorias. Sin embargo, este servicio de rescate proporciona suficientes funciones básicas para que los nuevos actores de amenazas lo utilicen como trampolín para trabajar con servicios maliciosos más sofisticados. Ranion es solo «educativo» en el sentido de que ayuda a entrenar a los aspirantes a ciberdelincuentes que infligen el mismo daño que otras variantes de ransomware que simplemente han adoptado mecanismos de distribución y propagación más refinados y sofisticados.
Protecciones Fortinet
Los clientes de Fortinet ya están protegidos contra este malware por los servicios AntiVirus y FortiEDR de FortiGuard , de la siguiente manera:
MSIL / Kryptik.LMX! Tr
MSIL / Agent.AZG! Tr
MSIL / Agent.BJU! Tr
MSIL / Bladabindi.FM! Tr
MSIL / Filecoder.FU! Tr
MSIL / GenKryptik.BLYY! Tr
MSIL / GenKryptik.FEWS! Tr
W32 / Crypmodadv.A! Tr
W32 / DOTHETUK.FU! Tr.ransom
W32 / Hesv.BXFI! Tr
Indicadores de compromiso (IOC):
SHA2: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ón de MITRE ATT & CK
Ejecución
– T1204.002: Archivo malicioso
Persistencia
– T1547.001: Llaves de ejecución del registro / carpeta de inicio
Escalada de privilegios
– T1548.002: Omitir el control de cuentas de usuario
Evasión de defensa
– T1027.002: Paquete de software
– T1548.002: Omitir el control de cuentas de usuario
– T1562.001: Deshabilitar o modificar herramientas
Descubrimiento
– T1083: Descubrimiento de archivos y directorios
Impacto
– T1486: datos cifrados para impacto
– T1491.001: Desfiguración interna
Fuente: https://www.fortinet.com/blog/threat-research/ranion-ransomware-quiet-and-persistent-raas
