Ha surgido una nueva y avanzada cepa de ransomware, denominada Dark 101, que representa una amenaza significativa para las organizaciones a nivel global. Este malware exhibe técnicas de evasión sofisticadas y una notable capacidad destructiva, poniendo en riesgo la integridad de los sistemas y la disponibilidad de datos.
Un ataque de múltiples etapas con alta persistencia
Dark 101 se distingue por el uso de un binario .NET ofuscado para ejecutar un ataque de varias etapas. Su objetivo principal es desmantelar sistemáticamente los mecanismos de recuperación de los sistemas de las víctimas, a la vez que maximiza el daño y asegura su persistencia.
La cadena de infección comienza con la detección del entorno, seguida por el cifrado de archivos, la modificación del sistema y, finalmente, la implementación de la demanda de rescate. El ransomware busca cifrar archivos personales, eliminar copias de seguridad y catálogos, deshabilitar funciones críticas de recuperación del sistema y bloquear el acceso al Administrador de Tareas para impedir la intervención del usuario. Al final, exige un pago en Bitcoin para el descifrado de los archivos, siguiendo los patrones de monetización criminal ya conocidos.
Detección y técnicas de evasión
Analistas de Fortinet lograron identificar esta amenaza mediante un análisis de comportamiento exhaustivo utilizando FortiSandbox 5.0, que capturó la secuencia completa del ataque a pesar de las técnicas de evasión del malware. Los investigadores documentaron cómo Dark 101 intenta detectar entornos de análisis al verificar la ubicación de ejecución e introducir retrasos intencionados cuando se ejecuta fuera de los directorios esperados.
Una de las sofisticaciones del malware es su método para comprometer el sistema: se copia en la carpeta %Appdata% y se renombra como «svchost.exe» para hacerse pasar por un proceso legítimo de Windows. Esta táctica explota la confianza del usuario y evade las herramientas de seguridad automatizadas, dado que el svchost.exe genuino normalmente reside en C:\Windows\System32.
Manipulación del registro y eliminación de la recuperación
La capacidad más dañina de Dark 101 reside en su eliminación sistemática de las opciones de recuperación del sistema a través de comandos específicos del sistema y modificaciones del registro. El ransomware ejecuta una serie de comandos diseñados para eliminar permanentemente las posibilidades de restauración, como:
vssadmin delete shadows /all /quietwmic shadowcopy deletewbadmin delete catalog -quiet
Estos comandos eliminan eficazmente las instantáneas de volumen y las entradas del catálogo de copias de seguridad de Windows, impidiendo el acceso a versiones anteriores de archivos y a copias de seguridad de imágenes del sistema.
Simultáneamente, el malware modifica el Registro de Windows estableciendo el valor DisableTaskMgr en 1 en la clave HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System. Esta modificación impide que los usuarios accedan al Administrador de Tareas, dificultando su capacidad para finalizar procesos maliciosos o monitorear la actividad del sistema. Este cambio en el registro demuestra la comprensión del ransomware sobre los patrones de comportamiento del usuario y su compromiso con mantener la persistencia durante el proceso de cifrado.
La estrategia de cifrado de Dark 101 se centra en directorios accesibles que contienen datos personales y confidenciales, evitando archivos críticos del sistema para no causar inestabilidad. Una vez que comienza el cifrado, los archivos reciben extensiones aleatorias de cuatro caracteres, y se colocan notas de rescate denominadas «read_it.txt» en los directorios afectados, exigiendo un pago de $1,500 en Bitcoin.
