Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
957
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
mayo
(Total:
10
)
- El hacker que ayudó a capturar a Dámaso López trat...
- Los autores del ransomware WannaCry podrían ser de...
- WikiLeaks desvela más malware de la CIA: AfterMidn...
- Detienen la propagación del ransomware Wanna Cry r...
- Ataque masivo y global del ransomware Wanna Decryp...
- Phreaking: la historia del hacking telefónico
- Programador de Nissan copia código de Stack Overflow
- Yahoo recompensa con 7 mil $ investigador de segur...
- HackerOne niega el acceso de FlexiSpy a su program...
- Google Docs soluciona un sofisticado ataque de phi...
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
346
)
ransomware
(
337
)
vulnerabilidad
(
295
)
Malware
(
259
)
Windows
(
239
)
android
(
239
)
tutorial
(
232
)
cve
(
231
)
manual
(
217
)
software
(
201
)
hardware
(
189
)
linux
(
123
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
84
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
50
)
youtube
(
50
)
adobe
(
43
)
firmware
(
41
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Loki es un sistema de agregación de logs creado por GrafanaLabs, es escalable horizontalmente, puede contar con alta disponibilidad y está i...
-
Si estos días vas a cualquiera de las plataformas de venta que hay en internet y buscas un USB probablemente te encuentras con no pocos con ...
Los autores del ransomware WannaCry podrían ser de Corea del Norte
martes, 16 de mayo de 2017
|
Publicado por
el-brujo
|
Editar entrada
¿Quién o quiénes son los autores del ransomware Wanna Cry? Hasta el momento sólo hay una pista fiable. Una gran similitud en parte del código de la primera versión de Wanna Cry de febrero de 2017 (sin propagación vía SMB) con un backdoor llamado Contopee del grupo Lazarus, financiado por Corea del Norte.
El ransomware conocido como WannaCry que se extendió rápidamente a 300.000 máquinas en 150 países en los últimos días comparte código con malware escrito por un grupo de hackers nortecoreanos conocidos como el Grupo Lazarus. Aunque el código compartido es importante, los expertos advirtieron que está lejos de ser una prueba de quién creó y lanzó los ataques de ransomware.
Las empresas de seguridad informática Symantec y Kaspersky han informado de que están investigando ciertas pistas que relacionan el ataque informático con el virus gusano WannaCry con el grupo de piratas informáticos Grupo Lazarus, presuntamente perteneciente con Corea del Norte.
"Creemos firmemente que la muestra de febrero de 2017 fue compilada por la misma gente", escribe Kaspersky, "o por personas con acceso al mismo código fuente que WannaCry de mayo de 2017 utilizado en la onda de ataques del 11 de mayo".
Symantec encontró conexiones similares, según un informe en Cyberscoop, aunque la compañía dijo que era difícil soslayar el significado del código compartido. "Aunque estas conexiones existen, hasta ahora sólo representan conexiones débiles", dijo la compañía en un comunicado. "Continuamos investigando las conexiones más fuertes".
Neel Mehta, un investigador de seguridad en Google, señaló por primera vez el código compartido el lunes en Twitter. El vínculo se hizo eco rápidamente por numerosos otros expertos. Además, las empresas de seguridad cibernética Symantec y Kaspersky han encontrado independientemente distintas instancias de superposición de código entre WannaCry y Lazarus Group.
Una gran similitud en parte del código de la primera versión de Wanna Cry de febrero de 2017 con un backdoor del grupo Lazarus. Descubierta por un investigador de seguridad de Google, llamado Neel Mehta, que Costin Raiu de Kaspersky Labs ha comentado:
Haz click en la imagen para agrandar:
Contopee es un troyano de puerta trasera usado para apoderarse de la computadora de un objetivo. Ha sido utilizado por los hackers vinculados a Corea del Norte para atacar la industria financiera en el sudeste asiático. La campaña es una de las facetas de las operaciones de piratería bancaria más importantes de Corea del Norte que incluyeron un robo de 81 millones de dólares desde Bangladesh el año pasado. Se sabe que el Grupo Lazarus utiliza y dirige a Bitcoin en sus operaciones de hacking.
El código compartido no es lo mismo que la atribución. El código puede ser escrito y borrado por cualquier persona, y el código compartido a menudo se reutiliza. Las fugas recientes de la CIA muestran el reuso de código de diferentes grupos porque es un ahorro de tiempo obvio. La misma técnica podría usarse para enmarcar a otro grupo como responsable de un hack pero, a pesar de mucha especulación reciente, no hay ninguna prueba definitiva.
la contraseña, que es muy similar al comportamiento del gusano de Brambul.
Según Intezer, se hna visto conexiones de código claras entre las familias de programas maliciosos no relacionados anteriormente: WannaCry con Lazarus, Joanap y Brambul.
Esta evidencia sugiere fuertemente que estas herramientas de hacking fueron escritas o modificadas por el mismo autor. En numerosas publicaciones, algunas de las familias ya están atribuidas a Corea del Norte.
Después de analizar cada una de las notas de rescate localizados de WannaCry, disponible en 28 idiomas diferentes, los dos investigadores estan bastante seguros de que la nota de rescate fue escrito por personas con fluidez en chino, sino también en Inglés.
Descubiertas dos plantillas de la nota de rescate inglés y chino
Los investigadores dicen que parece que hay dos notas de rescate en la base de todas las demás notas WannaCry. Hay un escrito en chino, y otro en Inglés, que fue utilizado como molde para las otras notas de rescate. Ademas dicen que si alguien copia el texto de la nota de rescate WannaCry Inglés y lo pasa a través de Google Translate, conseguiría traducciones que son en promedio un 95% idéntica a las notas de rescate que se encuentran en el paquete WannaCry real.
Esto ha llevado a los investigadores a creer que el autor WannaCry - o autores - han utilizado la nota Inglés como un texto modelo para los otros idiomas, excepto chino.
Esto se debe a que Google Translate mejora las traducciones de Inglés a otros idiomas. Por otro lado, la traducción entre otros idiomas da muchos errores y traducciones inexactas.
La nota de rescate de WannaCry en chino son diferentes del resto
Fuentes:
https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware
El ransomware conocido como WannaCry que se extendió rápidamente a 300.000 máquinas en 150 países en los últimos días comparte código con malware escrito por un grupo de hackers nortecoreanos conocidos como el Grupo Lazarus. Aunque el código compartido es importante, los expertos advirtieron que está lejos de ser una prueba de quién creó y lanzó los ataques de ransomware.
Las empresas de seguridad informática Symantec y Kaspersky han informado de que están investigando ciertas pistas que relacionan el ataque informático con el virus gusano WannaCry con el grupo de piratas informáticos Grupo Lazarus, presuntamente perteneciente con Corea del Norte.
- Kaspersky: https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
- Symantec: https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware
- https://blog.comae.io/wannacry-links-to-lazarus-group-dcea72c99d2d
"Creemos firmemente que la muestra de febrero de 2017 fue compilada por la misma gente", escribe Kaspersky, "o por personas con acceso al mismo código fuente que WannaCry de mayo de 2017 utilizado en la onda de ataques del 11 de mayo".
Symantec encontró conexiones similares, según un informe en Cyberscoop, aunque la compañía dijo que era difícil soslayar el significado del código compartido. "Aunque estas conexiones existen, hasta ahora sólo representan conexiones débiles", dijo la compañía en un comunicado. "Continuamos investigando las conexiones más fuertes".
Neel Mehta, un investigador de seguridad en Google, señaló por primera vez el código compartido el lunes en Twitter. El vínculo se hizo eco rápidamente por numerosos otros expertos. Además, las empresas de seguridad cibernética Symantec y Kaspersky han encontrado independientemente distintas instancias de superposición de código entre WannaCry y Lazarus Group.
9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598— Neel Mehta (@neelmehta) May 15, 2017
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution
Una gran similitud en parte del código de la primera versión de Wanna Cry de febrero de 2017 con un backdoor del grupo Lazarus. Descubierta por un investigador de seguridad de Google, llamado Neel Mehta, que Costin Raiu de Kaspersky Labs ha comentado:
Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. pic.twitter.com/hmRhCSusbR— Costin Raiu (@craiu) May 15, 2017
Haz click en la imagen para agrandar:
Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta - Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5— Matthieu Suiche (@msuiche) May 15, 2017
Contopee es un troyano de puerta trasera usado para apoderarse de la computadora de un objetivo. Ha sido utilizado por los hackers vinculados a Corea del Norte para atacar la industria financiera en el sudeste asiático. La campaña es una de las facetas de las operaciones de piratería bancaria más importantes de Corea del Norte que incluyeron un robo de 81 millones de dólares desde Bangladesh el año pasado. Se sabe que el Grupo Lazarus utiliza y dirige a Bitcoin en sus operaciones de hacking.
El código compartido no es lo mismo que la atribución. El código puede ser escrito y borrado por cualquier persona, y el código compartido a menudo se reutiliza. Las fugas recientes de la CIA muestran el reuso de código de diferentes grupos porque es un ahorro de tiempo obvio. La misma técnica podría usarse para enmarcar a otro grupo como responsable de un hack pero, a pesar de mucha especulación reciente, no hay ninguna prueba definitiva.
Librería unzip
Al extraer miles de piezas de código ("genes") de las muestras de WannaCry e identificarlas. Se han encontrado varias piezas de código de una versión rara de una biblioteca muy conocida. La librería es:unzip 0.15 Copyright 1998 Gilles VollanAdemás otra pista, aparece que esta muestra contiene una capacidad de fuerza bruta SMB hardcodeada
la contraseña, que es muy similar al comportamiento del gusano de Brambul.
hardcoded password strings
Según Intezer, se hna visto conexiones de código claras entre las familias de programas maliciosos no relacionados anteriormente: WannaCry con Lazarus, Joanap y Brambul.
Esta evidencia sugiere fuertemente que estas herramientas de hacking fueron escritas o modificadas por el mismo autor. En numerosas publicaciones, algunas de las familias ya están atribuidas a Corea del Norte.
Análisis lingüístico del Ransomware Wanna Cry apunta a un origen chino
Un análisis lingüístico de las notas de rescate WannaCry parece ser la obra de un autor de habla china, de acuerdo con Jon Condra y John Costello, investigadores de Flashpoint.Después de analizar cada una de las notas de rescate localizados de WannaCry, disponible en 28 idiomas diferentes, los dos investigadores estan bastante seguros de que la nota de rescate fue escrito por personas con fluidez en chino, sino también en Inglés.
Descubiertas dos plantillas de la nota de rescate inglés y chino
Los investigadores dicen que parece que hay dos notas de rescate en la base de todas las demás notas WannaCry. Hay un escrito en chino, y otro en Inglés, que fue utilizado como molde para las otras notas de rescate. Ademas dicen que si alguien copia el texto de la nota de rescate WannaCry Inglés y lo pasa a través de Google Translate, conseguiría traducciones que son en promedio un 95% idéntica a las notas de rescate que se encuentran en el paquete WannaCry real.
Esto ha llevado a los investigadores a creer que el autor WannaCry - o autores - han utilizado la nota Inglés como un texto modelo para los otros idiomas, excepto chino.
Esto se debe a que Google Translate mejora las traducciones de Inglés a otros idiomas. Por otro lado, la traducción entre otros idiomas da muchos errores y traducciones inexactas.
La nota de rescate de WannaCry en chino son diferentes del resto
Fuentes:
https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware
Enviar por correo electrónico
Escribe un blog
Compartir con Twitter
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.