Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Ataque masivo y global del ransomware Wanna Decrypt0r 2.0




La alerta saltaba esta mañana en España cuando la empresa Telefónica, con sede central en Madrid, era víctima de un ransomware que obligaba a sus trabajadores a apagar los ordenadores de manera urgente. Horas más tarde, el Servicio Nacional de Salud británico (NHS por sus siglas en inglés), ha confirmado el mismo ataque ( al menos 16 hospitales del Reino Unido también han sido blanco) y añade que afecta también a "otras organizaciones de una amplia gama de sectores" y que el virus responde al nombre de "Wanna Decryptor", una variante de Wanna Cry. España, Portugal, Reino Unido y Rusia, entre los afectados.



  • Ransomware que aprovecha reciente vulnerabilidad de Windows para propagarse en forma de gusano 
  • WCry pide 0,1675 bitcoin para liberar los equipos, lo que al cambio son unos 300 dólares
  • Más de 74 países y 57.000 ataques: el ransomware WannaCry se propaga a nivel mundial

El pasado viernes 14 de abril, The Shadow Brokers publicó una gran cantidad de herramientas pertenecientes al arsenal de Equation Group s (sospechosamente vinculado a la NSA). Se puede encontrar dichas herramientas en el repositorio de Github de misterch0c. Las recientes graves vulnerabilidades en Windows bautizada como EternalBlue y DoublePulsar, una de las herramientas utilizadas por la NSA, parece que es el principal vector de ataque.

A diferencia de otros ransomware que utilizan principlamente ataques de phishing con suplantación de identidad para que el usuario se auto infecte, éste nuevo método, usa una vulnerabilidad para propagarse y expandirse.

Contramedidas urgentes:


Microsoft Windows - 'SrvOs2FeaToNt' SMB Remote Code Execution (MS17-010)
Parche reglas Yara

WanaCrypt0r 2.0 ransomware "Wanna Cry" (WCry/WannaCry)

El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB - Server Message Block  (MS17-010), se distribuye al resto de máquinas Windows que haya en esa misma red.



Este ransomware cifra todos los ficheros con extensiones "populares", les añade una extensión .WNCRY y además crea un fichero de texto en el disco duro de la víctima llamado @PleaseReadMe@.txt

La aplicación Anti Ransom v3 es capaz de detectar y bloquear la infección.

Probablemente el malware que ha infectado al “paciente 0”, para el caso de las organizaciones,  ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCryptor que es una variante de las versiones anteriores de WannaCry.

Microsoft publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.

WCry funciona cifrando los archivos con el estándar AES-128. Después los renombra añadiéndoles la extensión .wcry. Por ejemplo, una fotografía que se llama "foto.jpg" pasaría a llamarse "foto.jpg.wcry". El ransomware que ha atacado Telefónica indica que el importe del pago subirá si no se hace antes de 2 días, xx horas, xx minutos y xx segundos, así como que los archivos bloqueados serán borrados en x días, xx horas, xx minutos y xx segundos. 

Se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante:






Comunicado oficial de Teléfonica:


La imagen del comunicado tiene fecha del 13/03/2017

 Red de hospitales de Inglaterra afectada también por el ciberataque informático de ransomware


El problema con la red de hospitales inglesa parece ser similar al de Telefónica: los atacantes tomaron control de los equipos y están pidiendo rescate en dinero. En el caso de los hospitales, la situación es definitivamente más delicados cuando tratamientos médicos (incluso de emergencia) se ven completamente afectados, lo que podría traer nefastas consecuencias en pacientes graves.

El Servicio Nacional de Salud británico (NHS por sus siglas en inglés), ha confirmado este ataque, y añade que afecta también a "otras organizaciones de una amplia gama de sectores" y que el virus responde al nombre de "Wanna Decryptor", informa AFP.



El NHS ha confirmado que se encuentra trabajando en la resolución del problema y que ofrecerá más detalles pronto. Asimismo, a través de la página NHS Digital, ha indicado que no hay pruebas de que los atacantes hayan tenido acceso a información de los pacientes, y ha añadido que “el ataque no tenía como objetivo específico al NHS y está afectando a organizaciones de diversos sectores". Se trata, ha confirmado el NHS, de un ataque con “una variante de malware Wanna Decryptor”.

Análisis de Wanna Decrypt0r 2.0 


Captura de Pantalla de Wanna Drecryptor 1.0


Imagen Wana Decrypt0r 2.0


Una de las muestras de Wana Descrypt0r, aunque casi seguro que todas, elimina las copias de seguridad copias instantáneas del sistema (Shadow Copy) mediante la ejecución del comando: "vssadmin.exe Delete Shadows /All /Quiet" 

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet


El ransomware cifra las extensiones de archivos:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
Reglas para IDS:

alert tcp $HOME_NET 445 -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:2;)
Idiomas soportados

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese


  • attrib +h .
  • icacls . /grant Everyone:F /T /C /Q
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe
  • @WanaDecryptor@.exe fi
  • 300921484251324.bat
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe

Registry Keys:

  • HKLM\SOFTWARE\WanaCrypt0r
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\: “”\tasksche.exe””
  • HKLM\SOFTWARE\WanaCrypt0r\wd: “
  • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”
  • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “\@WanaDecryptor@.bmp”
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = “\tasksche.exe”
  • HKLM\SOFTWARE\WanaCrypt0r\\wd = “
En cada carpeta crea:




  • @Please_Read_Me@.txt – 
  • @WanaDecryptor@.exe.lnk –


  • Direcciones .onion C&C
    • gx7ekbenv2riucmf.onion
    • 57g7spgrzlojinas.onion
    • Xxlvbrloxvriy2c5.onion
    • 76jdd2ir2embyv47.onion
    • cwwnhwhlz52maqm7.onion
    • sqjolphimrr7jqw6.onion

    Ransomware Overview, extensiones:
    También se especula con que los autores del virus están cobrando en estas cuentas BitCoin los pagos:


    Muestras, samples, etc


    Mapas en Vivo de las infecciones



    Fuentes:
    https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
    https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
    https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
    https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

    0 comentarios :

    Publicar un comentario

    Los comentarios pueden ser revisados en cualquier momento por los moderadores.

    Serán publicados aquellos que cumplan las siguientes condiciones:
    - Comentario acorde al contenido del post.
    - Prohibido mensajes de tipo SPAM.
    - Evite incluir links innecesarios en su comentario.
    - Contenidos ofensivos, amenazas e insultos no serán permitidos.

    Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.