Blog sobre informática, tecnología, privacidad y seguridad. Con entradas sobre noticias con información completa. Especial atención a todo tipo de malware, sobre todo el ransomware, ataques DDoS, así como análisis de malware y spyware. También se tratarán novedades de software, manuales, tutoriales y documentación de herramientas de sysadmin, hacking , networking, hardware, etc
jueves, 2 de agosto de 2018
Autor ransomware SamSam ha ganado casi 6 millones de dólares
El autor (se indica que podría ser ua única persona) del ransomware SamSam ha conseguido ganar 5,9 millones de dólares en apenas 3 años. Así lo apunta un reciente y exteneso informe de Sophos en forma de análsisis llamado SamSam: The (Almost) Six Million Dollar Ransomwaredónde analizar en profundidad algunas claves del ransomware, cómo el método de funcionamiento y las cuentas BitCoin (BTC) para hacerse una idea de los ingresos generados por el cibercriminal. Algunas de sus víctimas han sido la ciudad de Atlanta que perdió años de grabaciones del coche (dashcam) de la policía y dejó el 90% de las computadoras del Departamento de Obras Públicas inaccesibles. La ciudad de Atlanta decidió no pagar el rescate. SamSam obligó al Departamento de Transporte de Colorado a cerrar más de 2.000 máquinas y obligó a un hospital de Indiana a perder el acceso a los historiales de pacientes y citas, al final el hospital si decidió pagar el rescate de 55.000$ a pesar de tener copias de seguridad.
Casi 6 millones de dólares en tres años
Todo este dinero, según el informe, desde el
año 2015 en el que se iniciaron las actividades de SamSam. Además,
también se apunta a que detrás de estos ataques podría haber un único cibercriminal. De ser así, todo este dinero lo habría ganado una única persona en sólo tres años.
En el ataque a la ciudad de Atlanta tenía sus sistemas infectados un año antes de SamSam por el exploit Eternal Blue, que se utilizó para ayudar a propagar el ransomware WannaCry y NotPetya. Aunque Atlanta decidió no pagar, la verdad es que en respuesta a los ataques cibernéticos, la Ciudad de Atlanta acabó gastando un total $ 2.6 millones para responder al rescate inicial de $ 52,000. que pedían los autores.
Prudencia y selección de las víctimas
El informe también habla de algunas de las particularidades de los ataques relacionados con SamSam. Una de ellas es la de haber atacado a objetivos de perfil alto,
como proveedores de atención médica como Allscripts y Adams Memorial
Hospital, a los servicios gubernamentales de la ciudad de Atlanta, o el
Departamento de Transporte de Colorado, además de la Universidad
Estatal de Mississippi Valley.
Con todo ello, se estima que el atacante ha llegado a amasar los 5,9
millones de dólares gracias a aproximadamente 233 víctimas, de las
cuales sólo 86 han hecho público que han pagado el rescate. La mayoría
de quienes decidieron pagar los rescates residen en en Estados Unidos, aunque también se han encontrado otros afectados en Reino Unido, Bélgica y Canadá.
Algunos datos interesantes del ransomware SamSam son:
74% de las víctimas son de Estados Unidos, de un total deunas 233 víctimas
El rescate de pago más grande que ha conseguido por una víctima individual más grande es el pago de 64.000$
El ataque de cifrado se ejecuta por la noche, mientras las víctimas duermen o a primera hora de la mañana
el Ransomware no sólo cifra documentos o ficheros, también ficheros de configuración, para que sea complicado restablecer el sistema.
Algunas de las primeras víctimas del 2016 fueron atacadas mediante fuerza-bruta por RDP (Remote Desktop Protocol) Puerto 3389 y versiones JBoss vulnerables
A difrencia del ransomware WannaCry no es un gusano y no se progpaga automáticamente por una red, usa herramientas de Hacking para ganarse el acceso a otros ordenadores
Algunas de las extensiones del cifrado del ransomware son: .stubbin , .berkshire y .sophos
Utiliza cifrado AES en los strings
Primero cifra ficheros de menos peso y luego los mayor peso
Se estima que la media de ganancias son unos 300,000$ al mes
El autor podría ser una única persona
Además, la consistencia en el lenguaje en todas las notas del desarrollo de SamSam indican a que detrás de los ataques podría haber una única persona,
que por sus fallos ortográficos y gramaticales es definida como
"semi-competente" en inglés. Vamos, que no parece una persona nativa.
Esta tésis la apoya también la capacidad del responsable de no haber
filtrado ningún dato para seguir en el anonimato, algo mucho más difícil
cuando hay varias personas involucradas.
El informe también hace constatar cómo la persona o personas detrás
de SamSam se han ido haciendo más precavidas con el tiempo. De hecho, el ransomware ha recibido hasta tres grandes revisiones,
cada una de las cuales destinada a aumentar las medidas de seguridad
como codificación hexadecimal, código basura para eludir los sistemas de
detección automatizados, y una carga cifrada activada por una
contraseña.
A día de hoy todavía no se ha conseguido descubrir la identidad de
quien esté operando este ransomware, por lo que la cifra del dinero
recaudado podría seguir aumentando hasta que finalmente se de con él o
con ellos.
Detalles técnicos
Algunas de las herrmientas usadas por el atacante son:
JexBoss — A tool for testing and exploiting vulnerabilities in JBoss Application Servers.
Mimikatz — herramienta para extraer credecnciales de la memoria•
reGeorg — “Provides TCP tunneling over HTTP and bolts a SOCKS4/5 proxy on top of it, so, reGeorg is a fully-functional SOCKS proxy and gives ability to analyze target internal network.”
Hyena — An Active Directory and Windows system management software, which can be used for remote administration of servers and workstations.
csvde.exe — Imports and exports data from Active Directory Lightweight Directory Services (AD LDS) using files that store data in the comma-separated value (CSV) format.
NLBrute — A tool to brute-force Remote Desktop Protocol (RDP) passwords.
xDedic RDP Patch – Used to create new RDP user accounts.
xDedic SysScan – Used to profile servers for potential sale on the dark net
Wmiexec — A PsExec-like tool, which executes commands through Windows Management Instrumentation (WMI).
RDPWrap — Allows a user to be logged in both locally and remotely at the same time.
PsExec – A light-weight telnet-replacement that lets you execute processes on other systems, complete with full interactivity for console applications, without having to manually install client software. When a command is executed on a remote computer using PsExec, then the service PSEXESVC will be installed on that system, which means that an executable called psexesvc.exe will execute the commands.
PAExec – A PsExec-like tool, which lets you launch Windows programs on remote Windows computers without needing to install software on the remote computer first. When the PAExec service is running on the remote computer, the name of the source system is added to service’s name, e.g., paexec--.exe, which can help to identify the entry point of the attack
No hay comentarios:
Publicar un comentario