Análisis del código dañino RobbinHood

  • Este nuevo documento está disponible en la parte pública del portal del CCN-CERT y en la sección CIBERCOVID19.
  • El principal objetivo de la muestra analizada es cifrar los ficheros de los sistemas infectados para, posteriormente, solicitar el pago de un rescate a cambio de la herramienta de descifrado.
  • El Informe Código Dañino CCN-CERT ID-19/20 recoge detalles generales sobre RobbinHood, el proceso de infección, rescate y desinfección, así como una regla YARA e Indicadores de Compromiso (IOCs). Además, se incluyen tres anexos con las extensiones objetivo del cifrado y procesos y servicios a finalizar.

El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo documento en la parte pública de su portal. Se trata del Informe Código Dañino CCN-CERT ID-19/20 “RobbinHood”, al que también se puede acceder desde la sección CIBERCOVID19.

En el documento se recoge el análisis de la muestra de código dañino identificada por la firma SHA256 67d8888c4ef9b58a9f17b8afe5ec6dd9155dd334ef60729fc8bb7c6f6f144b6a, un ejecutable para sistemas Windows de 32-bit perteneciente a la familia de ransomware RobbinHood. Este código dañino tiene por objetivo cifrar los ficheros de los sistemas infectados para, posteriormente, solicitar el pago de un rescate a cambio de la herramienta de descifrado.

RobbinHood protagonizó los titulares de mayo de 2019 en lo que respecta a los incidentes causados por el despliegue masivo de ransomware, cuando la red interna del gobierno de Baltimore se vio afectada por esta variante. Esta tendencia de desplegar ransomware en las etapas de post-explotación se ha convertido en una de las principales actividades de numerosos grupos cibercriminales que, junto con la exfiltración de información y consecuente extorsión, están poniendo a prueba los planes de continuidad de negocio y recuperación ante desastres de compañías de todos los rincones del mundo.

En este informe se desarrollan los detalles técnicos sobre la muestra analizada, el proceso de infección, rescate y desinfección y se proporcionan una regla YARA e indicadores de compromiso con los que identificar la amenaza. Asimismo, incluye tres anexos con las extensiones objetivo del cifrado (Anexo A), procesos a finalizar (Anexo B) y servicios a finalizar (Anexo C).

CCN-CERT (22/06/2020)

Informe Código Dañino CCN-CERT ID-19/20 “RobbinHood”

 

Ministerio de Defensa
CNI
CCN
CCN-CERT