Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Autor ransomware SamSam ha ganado casi 6 millones de dólares




El autor (se indica que podría ser ua única persona) del ransomware SamSam ha conseguido ganar 5,9 millones de dólares en apenas 3 años. Así lo apunta un reciente y exteneso informe de Sophos en forma de análsisis llamado SamSam: The (Almost) Six Million Dollar Ransomware  dónde analizar en profundidad algunas claves del ransomware, cómo el método de funcionamiento y las cuentas BitCoin (BTC) para hacerse una idea de los ingresos generados por el cibercriminal. Algunas de sus víctimas han sido la ciudad de Atlanta que perdió años de grabaciones del coche (dashcam) de la policía y dejó el 90%  de las computadoras del Departamento de Obras Públicas inaccesibles. La ciudad de Atlanta decidió no pagar el rescate. SamSam obligó al Departamento de Transporte de Colorado a cerrar más de 2.000 máquinas y obligó a un hospital de Indiana a perder el acceso a los historiales de pacientes y citas, al final el hospital si decidió pagar el rescate de 55.000$ a pesar de tener copias de seguridad.





Casi 6 millones de dólares en tres años

Todo este dinero, según el informe, desde el año 2015 en el que se iniciaron las actividades de SamSam. Además, también se apunta a que detrás de estos ataques podría haber un único cibercriminal. De ser así, todo este dinero lo habría ganado una única persona en sólo tres años.



En el ataque a la ciudad de Atlanta tenía sus sistemas infectados un año antes de SamSam por el exploit Eternal Blue, que se utilizó para ayudar a propagar el ransomware WannaCry y NotPetya. Aunque Atlanta decidió no pagar, la verdad es que en respuesta a los ataques cibernéticos, la Ciudad de Atlanta acabó gastando un total $ 2.6 millones para responder al rescate inicial de $ 52,000. que pedían los autores.

Prudencia y selección de las víctimas

El informe también habla de algunas de las particularidades de los ataques relacionados con SamSam. Una de ellas es la de haber atacado a objetivos de perfil alto, como proveedores de atención médica como Allscripts y Adams Memorial Hospital, a los servicios gubernamentales de la ciudad de Atlanta, o el Departamento de Transporte de Colorado, además de la Universidad Estatal de Mississippi Valley.



Con todo ello, se estima que el atacante ha llegado a amasar los 5,9 millones de dólares gracias a aproximadamente 233 víctimas, de las cuales sólo 86 han hecho público que han pagado el rescate. La mayoría de quienes decidieron pagar los rescates residen en en Estados Unidos, aunque también se han encontrado otros afectados en Reino Unido, Bélgica y Canadá.

Algunos datos interesantes del ransomware SamSam son:


  • 74% de las víctimas son de Estados Unidos, de un total de unas 233 víctimas
  • El rescate de pago más grande que ha conseguido por una víctima individual más grande es el pago de  64.000$ 
  • El ataque de cifrado se ejecuta por la noche, mientras las víctimas duermen o a primera hora de la mañana
  • el Ransomware no sólo cifra documentos o ficheros, también ficheros de configuración, para que sea complicado restablecer el sistema.
  • Algunas de las primeras víctimas del 2016 fueron atacadas mediante fuerza-bruta por RDP (Remote Desktop Protocol) Puerto 3389 y versiones JBoss vulnerables
  • A difrencia del ransomware WannaCry no es un gusano y no se progpaga automáticamente por una red, usa herramientas de Hacking para ganarse el acceso a otros ordenadores
  • Algunas de las extensiones del cifrado del ranswomare son: .stubbin , .berkshire  y .sophos
  • Utiliza cifrado AES en los strings
  • Primero cifra ficheros de menos peso y luego los mayor peso
  • Se estima que la media de ganancias son unos 300,000$ al mes


El autor podría ser una única persona


Además, la consistencia en el lenguaje en todas las notas del desarrollo de SamSam indican a que detrás de los ataques podría haber una única persona, que por sus fallos ortográficos y gramaticales es definida como "semi-competente" en inglés. Vamos, que no parece una persona nativa. Esta tésis la apoya también la capacidad del responsable de no haber filtrado ningún dato para seguir en el anonimato, algo mucho más difícil cuando hay varias personas involucradas.

El informe también hace constatar cómo la persona o personas detrás de SamSam se han ido haciendo más precavidas con el tiempo. De hecho, el ransomware ha recibido hasta tres grandes revisiones, cada una de las cuales destinada a aumentar las medidas de seguridad como codificación hexadecimal, código basura para eludir los sistemas de detección automatizados, y una carga cifrada activada por una contraseña.




A día de hoy todavía no se ha conseguido descubrir la identidad de quien esté operando este ransomware, por lo que la cifra del dinero recaudado podría seguir aumentando hasta que finalmente se de con él o con ellos.

Detalles técnicos



Algunas de las herrmientas usadas por el atacante son:


  • JexBoss — A tool for testing and exploiting vulnerabilities in JBoss Application Servers.
  • Mimikatz —  herramienta para extraer credecnciales de la memoria• 
  • reGeorg — “Provides TCP tunneling over HTTP and bolts a SOCKS4/5 proxy on top of it, so, reGeorg is a fully-functional SOCKS proxy and gives ability to analyze target internal network.”
  • Hyena — An Active Directory and Windows system management software, which can be used for remote administration of servers and workstations. 
  • csvde.exe — Imports and exports data from Active Directory Lightweight Directory Services (AD LDS) using files that store data in the comma-separated value (CSV) format.
  • NLBrute — A tool to brute-force Remote Desktop Protocol (RDP) passwords.
  • xDedic RDP Patch – Used to create new RDP user accounts.
  • xDedic SysScan – Used to profile servers for potential sale on the dark net
  • Wmiexec — A PsExec-like tool, which executes commands through Windows Management Instrumentation (WMI).
  • RDPWrap — Allows a user to be logged in both locally and remotely at the same time.
  • PsExec – A light-weight telnet-replacement that lets you execute processes on other  systems, complete with full interactivity for console applications, without having to  manually install client software. When a command is executed on a remote computer using PsExec, then the service PSEXESVC will be installed on that system, which  means that an executable called psexesvc.exe will execute the commands.
  • PAExec – A PsExec-like tool, which lets you launch Windows programs on remote Windows computers without needing to install software on the remote computer first. When the PAExec service is running on the remote computer, the name of the source system is added to service’s name, e.g., paexec--.exe, which can help to identify the entry point of the attack


Fuentes:
https://www.genbeta.com/seguridad/casi-6-millones-dolares-tres-anos-botin-misterioso-operador-ransomware-samsam

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.