.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Ya hemos hablado anteriormente de las ofertas de empaquetadores como servicio del mundo informático clandestino, analizando las campañas de suplantación de identidad y el auge de HeartCrypt, ambos muy populares entre los grupos de ransomware. Sin embargo, se trata de un panorama que cambia rápidamente y ahora estamos viendo una nueva encarnación del mismo tipo de servicio: el encriptador Shanya, que ya cuenta con el favor de los grupos de ransomware y está asumiendo (hasta cierto punto) el papel que HeartCrypt ha desempeñado en el kit de herramientas de ransomware. Analizaremos sus orígenes aparentes, descomprimiremos el código y examinaremos una infección dirigida que aprovecha esta herramienta. Las protecciones de Sophos contra este empaquetador específico se describen al final del artículo.
Primer vistazo: promociones clandestinas
A finales de 2024, encontramos referencias en foros clandestinos a una nueva oferta, VX Crypt, atribuida a una entidad llamada «Shanya» (que también es el nombre de un río en el oeste de Rusia). Cabe señalar que la identificación del autor de la publicación, que hemos ocultado en la figura 1, no era «Shanya», sino otra cadena completamente diferente.
Figura 1: una publicación en ruso enumera las características de la oferta VX Crypt de «Shanya»
La parte interesante de la traducción al inglés de las características dice lo siguiente:
Non-standard module loading into memory, wrapper over the system loaderStub uniqueization. Each customer receives their own (relatively) unique stub with a unique encryption algorithm upon purchase. AMSI bypass for your .NET assemblies; the payload is not detected in memory.Icons, version information, privilege escalation via manifest (UAC Bypass), Autorun with rerun are available.Anti-VM, doesn't run in sandboxes, doesn't unpack in the cloud. Runtime protection is available for native and 32-bit files (during testing). If it's a RAT (for example), then with this protection it can run undetected for a long time (_Indy inspired)· We can try sideloading with the right software. It's possible to load your file in the context of another process, but it takes time to find vulnerabilities in the right software and time for testing.La dirección de contacto del creador del empaquetador es un nombre de usuario de Telegram que incluye la cadena «Shanya», como se muestra en la figura 2:
Figura 2: la publicación proporciona la información de contacto de Telegram de «Shanya» (pero nosotros no)
El conjunto de características descrito coincide con las características de un empaquetador que hemos encontrado en varias muestras, por lo que creemos que nuestras muestras contienen el mismo empaquetador como servicio que esta publicación identifica como procedente de «Shanya». Es muy improbable que dos ofertas similares estén asociadas al mismo nombre.
Lee el artículo completo en inglés aquí.