Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
agosto
(Total:
13
)
- Joven de 16 años logró hackear 90GB datos de Apple
- Descubren backdoor que activa Modo Dios en antiguo...
- FakesApp permite manipular mensajes enviados por W...
- Alertan nueva nueva campaña de phishing haciéndos...
- Acusado de robar más de 5 millones de dólares en B...
- Ejecución remota en múltiples impresoras HP
- Expuestos datos médicos de 2 millones de Méxicanos
- Nuevo método de ataque en redes Wifi WPA/WPA2 PSK ...
- Alertan de los peligros de utilizar un puerto USB ...
- 200 mil routers MikroTik infectados para minar Cri...
- 11 millones de usuarios espiados gracias a estas A...
- Incidente de seguridad en Reddit por utilizar 2FA ...
- Autor ransomware SamSam ha ganado casi 6 millones ...
-
▼
agosto
(Total:
13
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Autor ransomware SamSam ha ganado casi 6 millones de dólares
jueves, 2 de agosto de 2018
|
Publicado por
el-brujo
|
Editar entrada
El autor (se indica que podría ser ua única persona) del ransomware SamSam ha conseguido ganar 5,9 millones de dólares en apenas 3 años. Así lo apunta un reciente y exteneso informe de Sophos en forma de análsisis llamado SamSam: The (Almost) Six Million Dollar Ransomware dónde analizar en profundidad algunas claves del ransomware, cómo el método de funcionamiento y las cuentas BitCoin (BTC) para hacerse una idea de los ingresos generados por el cibercriminal. Algunas de sus víctimas han sido la ciudad de Atlanta que perdió años de grabaciones del coche (dashcam) de la policía y dejó el 90% de las computadoras del Departamento de Obras Públicas inaccesibles. La ciudad de Atlanta decidió no pagar el rescate. SamSam obligó al Departamento de Transporte de Colorado a cerrar más de 2.000 máquinas y obligó a un hospital de Indiana a perder el acceso a los historiales de pacientes y citas, al final el hospital si decidió pagar el rescate de 55.000$ a pesar de tener copias de seguridad.
Con todo ello, se estima que el atacante ha llegado a amasar los 5,9 millones de dólares gracias a aproximadamente 233 víctimas, de las cuales sólo 86 han hecho público que han pagado el rescate. La mayoría de quienes decidieron pagar los rescates residen en en Estados Unidos, aunque también se han encontrado otros afectados en Reino Unido, Bélgica y Canadá.
Algunos datos interesantes del ransomware SamSam son:
Además, la consistencia en el lenguaje en todas las notas del desarrollo de SamSam indican a que detrás de los ataques podría haber una única persona, que por sus fallos ortográficos y gramaticales es definida como "semi-competente" en inglés. Vamos, que no parece una persona nativa. Esta tésis la apoya también la capacidad del responsable de no haber filtrado ningún dato para seguir en el anonimato, algo mucho más difícil cuando hay varias personas involucradas.
El informe también hace constatar cómo la persona o personas detrás de SamSam se han ido haciendo más precavidas con el tiempo. De hecho, el ransomware ha recibido hasta tres grandes revisiones, cada una de las cuales destinada a aumentar las medidas de seguridad como codificación hexadecimal, código basura para eludir los sistemas de detección automatizados, y una carga cifrada activada por una contraseña.
A día de hoy todavía no se ha conseguido descubrir la identidad de quien esté operando este ransomware, por lo que la cifra del dinero recaudado podría seguir aumentando hasta que finalmente se de con él o con ellos.
Algunas de las herrmientas usadas por el atacante son:
Fuentes:
https://www.genbeta.com/seguridad/casi-6-millones-dolares-tres-anos-botin-misterioso-operador-ransomware-samsam
Casi 6 millones de dólares en tres años
Todo este dinero, según el informe, desde el
año 2015 en el que se iniciaron las actividades de SamSam. Además,
también se apunta a que detrás de estos ataques podría haber un único cibercriminal. De ser así, todo este dinero lo habría ganado una única persona en sólo tres años.
En el ataque a la ciudad de Atlanta tenía sus sistemas infectados un año antes de SamSam por el exploit Eternal Blue, que se utilizó para ayudar a propagar el ransomware WannaCry y NotPetya. Aunque Atlanta decidió no pagar, la verdad es que en respuesta a los ataques cibernéticos, la Ciudad de Atlanta acabó gastando un total $ 2.6 millones para responder al rescate inicial de $ 52,000. que pedían los autores.
Prudencia y selección de las víctimas
El informe también habla de algunas de las particularidades de los ataques relacionados con SamSam. Una de ellas es la de haber atacado a objetivos de perfil alto, como proveedores de atención médica como Allscripts y Adams Memorial Hospital, a los servicios gubernamentales de la ciudad de Atlanta, o el Departamento de Transporte de Colorado, además de la Universidad Estatal de Mississippi Valley.Con todo ello, se estima que el atacante ha llegado a amasar los 5,9 millones de dólares gracias a aproximadamente 233 víctimas, de las cuales sólo 86 han hecho público que han pagado el rescate. La mayoría de quienes decidieron pagar los rescates residen en en Estados Unidos, aunque también se han encontrado otros afectados en Reino Unido, Bélgica y Canadá.
Algunos datos interesantes del ransomware SamSam son:
- 74% de las víctimas son de Estados Unidos, de un total de unas 233 víctimas
- El rescate de pago más grande que ha conseguido por una víctima individual más grande es el pago de 64.000$
- El ataque de cifrado se ejecuta por la noche, mientras las víctimas duermen o a primera hora de la mañana
- el Ransomware no sólo cifra documentos o ficheros, también ficheros de configuración, para que sea complicado restablecer el sistema.
- Algunas de las primeras víctimas del 2016 fueron atacadas mediante fuerza-bruta por RDP (Remote Desktop Protocol) Puerto 3389 y versiones JBoss vulnerables
- A difrencia del ransomware WannaCry no es un gusano y no se progpaga automáticamente por una red, usa herramientas de Hacking para ganarse el acceso a otros ordenadores
- Algunas de las extensiones del cifrado del ransomware son: .stubbin , .berkshire y .sophos
- Utiliza cifrado AES en los strings
- Primero cifra ficheros de menos peso y luego los mayor peso
- Se estima que la media de ganancias son unos 300,000$ al mes
El autor podría ser una única persona
Además, la consistencia en el lenguaje en todas las notas del desarrollo de SamSam indican a que detrás de los ataques podría haber una única persona, que por sus fallos ortográficos y gramaticales es definida como "semi-competente" en inglés. Vamos, que no parece una persona nativa. Esta tésis la apoya también la capacidad del responsable de no haber filtrado ningún dato para seguir en el anonimato, algo mucho más difícil cuando hay varias personas involucradas.
El informe también hace constatar cómo la persona o personas detrás de SamSam se han ido haciendo más precavidas con el tiempo. De hecho, el ransomware ha recibido hasta tres grandes revisiones, cada una de las cuales destinada a aumentar las medidas de seguridad como codificación hexadecimal, código basura para eludir los sistemas de detección automatizados, y una carga cifrada activada por una contraseña.
A día de hoy todavía no se ha conseguido descubrir la identidad de quien esté operando este ransomware, por lo que la cifra del dinero recaudado podría seguir aumentando hasta que finalmente se de con él o con ellos.
Detalles técnicos
Algunas de las herrmientas usadas por el atacante son:
- JexBoss — A tool for testing and exploiting vulnerabilities in JBoss Application Servers.
- Mimikatz — herramienta para extraer credecnciales de la memoria•
- reGeorg — “Provides TCP tunneling over HTTP and bolts a SOCKS4/5 proxy on top of it, so, reGeorg is a fully-functional SOCKS proxy and gives ability to analyze target internal network.”
- Hyena — An Active Directory and Windows system management software, which can be used for remote administration of servers and workstations.
- csvde.exe — Imports and exports data from Active Directory Lightweight Directory Services (AD LDS) using files that store data in the comma-separated value (CSV) format.
- NLBrute — A tool to brute-force Remote Desktop Protocol (RDP) passwords.
- xDedic RDP Patch – Used to create new RDP user accounts.
- xDedic SysScan – Used to profile servers for potential sale on the dark net
- Wmiexec — A PsExec-like tool, which executes commands through Windows Management Instrumentation (WMI).
- RDPWrap — Allows a user to be logged in both locally and remotely at the same time.
- PsExec – A light-weight telnet-replacement that lets you execute processes on other systems, complete with full interactivity for console applications, without having to manually install client software. When a command is executed on a remote computer using PsExec, then the service PSEXESVC will be installed on that system, which means that an executable called psexesvc.exe will execute the commands.
- PAExec – A PsExec-like tool, which lets you launch Windows programs on remote Windows computers without needing to install software on the remote computer first. When the PAExec service is running on the remote computer, the name of the source system is added to service’s name, e.g., paexec-
-.exe, which can help to identify the entry point of the attack
Fuentes:
https://www.genbeta.com/seguridad/casi-6-millones-dolares-tres-anos-botin-misterioso-operador-ransomware-samsam
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.