Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET
Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
▼
julio
(Total:
24
)
-
Gmail quiere acabar con el Phishing: cuentas verif...
-
Demandan a T-Mobile por permitir el robo de 8.7 mi...
-
Vulnerabilidad crítica en GRUB2 llamada BootHole
-
El FBI alerta de nuevos vectores de ataques DDoS
-
Exigen 10 millones de dólares a Garmin por el secu...
-
Actualizada distro REMnux Linux 7 para el análisis...
-
Fileless malware: ataques malware sin archivos
-
La Guardia Civil quiere usar el reconocimiento fac...
-
Ataque de ransomware a la empresa ADIF: 800GB dato...
-
Orange y Telecom víctimas de un ataque de Ransomware
-
Crecen los ataques a routers domésticos para forma...
-
Microsoft presenta Process Monitor para Linux de c...
-
Empleado de Twitter ayudó a secuestrar las cuentas...
-
Grave fallo en SAP NetWeaver permite secuestrar y ...
-
Vulnerabilidad crítica en el servidor DNS de Windo...
-
El móvil del presidente del Parlament de Catalunya...
-
El FBI detiene al "príncipe nigeriano" por estafar...
-
Vulnerabilidad crítica de ejecución remota de códi...
-
Intel anuncia oficialmente Thunderbolt 4
-
Hashcat 6.0.0 llega con 51 nuevos algoritmos y mej...
-
Cae red de comunicaciones privada EncroChat utiliz...
-
Alertan múltiples problemas de privacidad en TikTok
-
Ransomware Maze anuncia que LG habría perdido códi...
-
Universidad de California paga 1,14 millones a los...
-
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d... -
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de... -
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Exigen 10 millones de dólares a Garmin por el secuestro de sus datos privados
Cuatro días lleva ya la popular firma de accesorios y servicios deportivos Garmin sin ofrecer una solución a todos los usuarios que utilizan sus dispositivos para registrar diariamente su actividad debido a el ransonware WastedLocker por el que los ciberdelincuentes podrían haber pedido un total de 10 millones de dólares para desbloquearlos.
27/8/20 - Finalmente Garmin se recupera poco a poco de su caída generalizada, y se ha especulado que su vuelta a la normalidad se debe a que ha conseguido la clave de descifrado, según han confirmado varios medios como Zdnet, BleepingComputer, o dicho de otra manera, que Garmin ha pagado el dinero del rescate.
Garmin podría enfrentarse sanciones si paga el rescate de 10 millones de dólares. Podrían estar en problemas legales con el gobierno de los Estados Unidos.
Los atacantes que infectaron Garmin con el ransomware WastedLocker piden 10 millones de dólares por desscifrar los datos que impiden sus usuarios usar el servicio.
La plataforma sigue sin servicio y la incidencia les empieza a pasar factura. Demasiado tiempo para que una empresa como Garmin no diera ninguna respuesta a los usuarios, que en España se están viendo especialmente afectados.
INCIDENCIA GARMIN
Finalmente Garmin reconoce el ataque:
Evil Corp. (también conocidos por el malware Dridex y el ransomware BitPaymer.) es un grupo de ciberdelincuentes con sede en Rusia activo desde al menos 2007, conocidos por ser los que están detrás de famosos malwares y por utilizar su propio software de rescate como parte de sus ataques, entre ellos el conocido BitPaymer.
Yakubets, conocido bajo el alias "Aqua", es buscado por su participación en un ataque malware informático que infectó a decenas de miles de computadoras tanto en América del Norte como en Europa. Esto resultó en pérdidas financieras reales por un valor aproximado de USD 100 millones.
Declarado como la "mayor amenaza para la ciberseguridad del Reino Unido"por la NCA británica. Mientras tanto, llama poderosamente la atención la vida de lujos que lleva Yakubets en Moscú y que no duda en publicar en redes sociales como Instagram y Vkontakte, la red social rusa creada por Pavel Durov, el fundador de Telegram.
Yakubets también se asoció directamente con Evgeniy "Slavik" Bogachev, un ciberdelincuente ruso previamente designado responsable de la distribución de los esquemas de malware Zeus, Jabber Zeus y GameOver Zeus que ya en 2017 ofrecía una recompensa del FBI de $ 3 millones por pistas sobre su paradero.
En un comunicado a finales del año pasado, el Departamento del Tesoro de EEUU aseguró que el Yakubets había pasado a colaborar directamente con el gobierno ruso, en concreto con el Servicio Federal de Seguridad (FSB, en sus siglas en inglés), una de las principales agencias de seguridad del país.
Un Lamborhini, un Nissan GT-R, un Audi A8 y un Dodge Challenger, comprados con transferencias falsas, una boda en 2017 de 300.000 euros. Hay varias fotos publicadas que reflejan el lujoso estilo de vida que llevan y cómo gastan los millones de dólares que se les acusa de robar
Forma parte de los ransomware especialmente agresivos como REvil y NetWalker. Ya que no solo se limita a cifrar los datos, sino que busca archivos personales, bases de datos, servidores de archivo e incluso entornos en la nube. De ahí que WastedLocker tenga como objetivo empresas, ya que cifra todos los datos que puede y así sirve como motor para exigir la mayor recompensa posible.
Igor Olegovich Turashev también buscado por su participación en malware informático que infectó a decenas de miles de computadoras, tanto en América del Norte como en Europa, lo que resultó en pérdidas financieras de decenas de millones de dólares. Turashev supuestamente manejó una variedad de malware Bugat / Cridex / Dridex. Supuestamente conspiró para difundir el malware a través de correos electrónicos de phishing, usar el malware para capturar credenciales bancarias en línea y usar estas credenciales capturadas para robar dinero de las cuentas bancarias de las víctimas. Posteriormente, utilizó el malware para instalar ransomware en las computadoras de las víctimas.
Un listado de grupos de ranwsomware, que a parte de cifrar los datos, los roban para publicarlos si no pagas el rescate sería:
Se han visto afectados los siguientes productos:
Dridex, un poderoso malware para robar contraseñas que se usó para robar más de $ 100 millones de cientos de bancos en la última década.
Esto se realiza mostrando alertas de actualización de software falsas del navegador que entregan cargas útiles de malware (.js o .hta) en los dispositivos de los objetivos en forma de actualizaciones de programas falsas, generalmente del navegador.
En Google Chrome basta con abrir Ayuda > Información de Google Chrome y revisar si aparece el mensaje “Google Chrome está actualizado”
Evil Corp, un elemento muy notable no ha cambiado, la distribución a través del marco de actualización falso de SocGholish. Este marco todavía está en uso, aunque ahora se usa para distribuir directamente un cargador CobaltStrike personalizado,.Una de las características más notables de este marco es la evaluación de si un sistema de víctima comprometido es parte de una red más grande, ya que un único sistema de usuario final no sirve para los atacantes. El robot JavaScript SocGholish tiene acceso a la información del propio sistema, ya que se ejecuta bajo los privilegios del usuario del navegador wscript.exe. El bot recopila una gran cantidad de información y la envía al lado del servidor SocGholish que, a su vez, devuelve una carga útil al sistema de la víctima.
Ransom note
lab.sentinel, explica que el nombre se debe a que los archivos cifrados, cambian el nombre agregándolos con una extensión “wasted” y el nombre de la empresa ‘1.jpg.garminwasted’ o ‘2.jpg.garminwasted’, siendo el archivo original ‘1.jpg’.
Los archivos se cifran a través de AES (modo de encadenamiento de bloques cifrados + IV / vector de inicialización) (256-bit in CBC mode) con claves generadas para cada archivo cifrado. Las claves AES (+ IV) se cifran con una clave pública RSA-4096.
Las notas de rescate contienen una representación base64 de la clave pública RSA. Los archivos cifrados se renombrarán con una combinación del nombre de la compañía objetivo junto con la cadena "wasted". Por ejemplo, si la compañía Garmin estuviera infectada, los archivos se verían como "file.pdf.garminwasted" (del fichero pdf).
La reciente aparición de un actor de amenazas que actualmente está aprovechando una familia de ransomware conocida como "WastedLocker". El adversario detrás de estos ataques se está aprovechando de varios conjuntos de herramientas de "doble uso" como Cobalt Strike, Mimikatz, Empire y PowerSploit para facilitar el movimiento lateral a través de los entornos en los que se apunta.
Procesos
Proceso de cifrado:Para cifrar los archivos, el ransomware WastedLocker utiliza algoritmos AES y RSA.
El ransomware se dirige a los siguientes tipos de unidades:
Por ejemplo: Nombre de archivo cifrado después del cifrado: File_Name.doc.garminwasted
Ransom Nota: File_Name.doc.garminwasted_info
Lista de extensiones excluidas:
Lista de directorios excluidos:
Una muestra del ransomware WastedLocker
Fuentes:
https://labs.sentinelone.com/wastedlocker-ransomware-abusing-ads-and-ntfs-file-attributes/
https://blog.malwarebytes.com/threat-spotlight/2020/07/threat-spotlight-wastedlocker-customized-ransomware
https://blog.talosintelligence.com/2020/07/wastedlocker-emerges.html
https://kc.mcafee.com/corporate/index?page=content&id=KB93106
https://research.nccgroup.com/2020/06/23/wastedlocker-a-new-ransomware-variant-developed-by-the-evil-corp-group/
27/8/20 - Finalmente Garmin se recupera poco a poco de su caída generalizada, y se ha especulado que su vuelta a la normalidad se debe a que ha conseguido la clave de descifrado, según han confirmado varios medios como Zdnet, BleepingComputer, o dicho de otra manera, que Garmin ha pagado el dinero del rescate.
Garmin podría enfrentarse sanciones si paga el rescate de 10 millones de dólares. Podrían estar en problemas legales con el gobierno de los Estados Unidos.
- Garmin está caído, no solo en España sino en todo el mundo, el fabricante de pulseras y relojes de actividad
Los atacantes que infectaron Garmin con el ransomware WastedLocker piden 10 millones de dólares por desscifrar los datos que impiden sus usuarios usar el servicio.
La plataforma sigue sin servicio y la incidencia les empieza a pasar factura. Demasiado tiempo para que una empresa como Garmin no diera ninguna respuesta a los usuarios, que en España se están viendo especialmente afectados.
INCIDENCIA GARMIN
Garmin está experimentando incidencias que afectan a los servicios de Garmin, lo que incluye Garmin Connect. Como consecuencia de esto, algunas funciones y servicios de estas plataformas no están disponibles.
Adicionalmente, nuestras líneas de atención telefónica se han visto afectadas por esta incidencia y consecuentemente no podemos contestar llamadas, mails o chats de atención al cliente.
Estamos trabajando para recuperar nuestros sistemas lo más rápido posible y lamentamos las molestias causadas. Proporcionaremos actualizaciones tan pronto como estén disponibles.
Finalmente Garmin reconoce el ataque:
Garmin Ltd. was the victim of a cyber attack that encrypted some of our systems on July 23, 2020. As a result, many of our online services were interrupted including website functions, customer support, customer facing applications, and company communications. We immediately began to assess the nature of the attack and started remediation.
We have no indication that any customer data, including payment information from Garmin Pay, was accessed, lost or stolen. Additionally, the functionality of Garmin products was not affected, other than the ability to access online services. Affected systems are being restored and we expect to return to normal operation over the next few days.
As our affected systems are restored, we expect some delays as the backlog of information is being processed. We are grateful for our customers’ patience and understanding during this incident and look forward to continuing to provide the exceptional customer service and support that has been our hallmark and tradition.
Garmin Connect y la aplicación Strava: víctimas de Evil Corp
- Evil Corp es selectivo en términos de la infraestructura que eligen como objetivo cuando implementan su ransomware.
En la fotografía: miembros de Evil Corp.: L-R Kirill SLOBODSKOY, Maksim YAKUBETS, Dmitriy SLOBODSKOY, Artem YAKUBETS
Evil Corp. (también conocidos por el malware Dridex y el ransomware BitPaymer.) es un grupo de ciberdelincuentes con sede en Rusia activo desde al menos 2007, conocidos por ser los que están detrás de famosos malwares y por utilizar su propio software de rescate como parte de sus ataques, entre ellos el conocido BitPaymer.
El supuesto líder del grupo cibercriminal es un individuo
ruso llamado, Maksim Yakubets. Este reconocido criminal, fue acusado por
el Departamento de Justicia de los Estados Unidos en 2019. También fue incluido en la lista de los "Más Buscados" del FBI, con una recompensa establecida en los USD 5 millones, la recompensa más alta ofrecida en la historia por las autoridades del país por el arresto de un cibercriminal.
Reward:
The United States Department of State’s Transnational Organized Crime Rewards Program is offering a reward of up to $5 million for information leading to the arrest and/or conviction of Maksim Viktorovich Yakubets.
Yakubets, conocido bajo el alias "Aqua", es buscado por su participación en un ataque malware informático que infectó a decenas de miles de computadoras tanto en América del Norte como en Europa. Esto resultó en pérdidas financieras reales por un valor aproximado de USD 100 millones.
Declarado como la "mayor amenaza para la ciberseguridad del Reino Unido"por la NCA británica. Mientras tanto, llama poderosamente la atención la vida de lujos que lleva Yakubets en Moscú y que no duda en publicar en redes sociales como Instagram y Vkontakte, la red social rusa creada por Pavel Durov, el fundador de Telegram.
- Como Yakubets reside en Rusia, estas acusaciones no tendrán efecto a menos que abandone el país. "Si abandona la seguridad de Rusia será arrestado y extraditado a Estados Unidos", sentencia la agencia.
Yakubets también se asoció directamente con Evgeniy "Slavik" Bogachev, un ciberdelincuente ruso previamente designado responsable de la distribución de los esquemas de malware Zeus, Jabber Zeus y GameOver Zeus que ya en 2017 ofrecía una recompensa del FBI de $ 3 millones por pistas sobre su paradero.
En un comunicado a finales del año pasado, el Departamento del Tesoro de EEUU aseguró que el Yakubets había pasado a colaborar directamente con el gobierno ruso, en concreto con el Servicio Federal de Seguridad (FSB, en sus siglas en inglés), una de las principales agencias de seguridad del país.
Un Lamborhini, un Nissan GT-R, un Audi A8 y un Dodge Challenger, comprados con transferencias falsas, una boda en 2017 de 300.000 euros. Hay varias fotos publicadas que reflejan el lujoso estilo de vida que llevan y cómo gastan los millones de dólares que se les acusa de robar
Forma parte de los ransomware especialmente agresivos como REvil y NetWalker. Ya que no solo se limita a cifrar los datos, sino que busca archivos personales, bases de datos, servidores de archivo e incluso entornos en la nube. De ahí que WastedLocker tenga como objetivo empresas, ya que cifra todos los datos que puede y así sirve como motor para exigir la mayor recompensa posible.
Igor Olegovich Turashev también buscado por su participación en malware informático que infectó a decenas de miles de computadoras, tanto en América del Norte como en Europa, lo que resultó en pérdidas financieras de decenas de millones de dólares. Turashev supuestamente manejó una variedad de malware Bugat / Cridex / Dridex. Supuestamente conspiró para difundir el malware a través de correos electrónicos de phishing, usar el malware para capturar credenciales bancarias en línea y usar estas credenciales capturadas para robar dinero de las cuentas bancarias de las víctimas. Posteriormente, utilizó el malware para instalar ransomware en las computadoras de las víctimas.
Un listado de grupos de ranwsomware, que a parte de cifrar los datos, los roban para publicarlos si no pagas el rescate sería:
- Ako
- Clop
- DoppelPaymer
- Maze
- Mespinoza (Pysa)
- Nefilim
- Nemty
- NetWalker
- RagnarLocker
- REvil (Sodinokibi)
- Sekhmet
- Snatch
Se han visto afectados los siguientes productos:
- Garmin Connect
- Garmin Explore
- Garmin inReach
- flyGarmin
Dridex, un poderoso malware para robar contraseñas que se usó para robar más de $ 100 millones de cientos de bancos en la última década.
SocGholish
Los ataques de Evil Corp comenzaron con el marco SocGholish (TA569) utilizado para infectar objetivos. "Soc"de "social engineering,"Esto se realiza mostrando alertas de actualización de software falsas del navegador que entregan cargas útiles de malware (.js o .hta) en los dispositivos de los objetivos en forma de actualizaciones de programas falsas, generalmente del navegador.
You Are Using an Older Version
Estás utilizando una versión anterior de
En Google Chrome basta con abrir Ayuda > Información de Google Chrome y revisar si aparece el mensaje “Google Chrome está actualizado”
- Chrome, Internet Explorer (Edge), Opera, and/or Firefox browser update
- Adobe Flash Updates (Fake Flash Player update)
- Fuente no instalada
Evil Corp, un elemento muy notable no ha cambiado, la distribución a través del marco de actualización falso de SocGholish. Este marco todavía está en uso, aunque ahora se usa para distribuir directamente un cargador CobaltStrike personalizado,.Una de las características más notables de este marco es la evaluación de si un sistema de víctima comprometido es parte de una red más grande, ya que un único sistema de usuario final no sirve para los atacantes. El robot JavaScript SocGholish tiene acceso a la información del propio sistema, ya que se ejecuta bajo los privilegios del usuario del navegador wscript.exe. El bot recopila una gran cantidad de información y la envía al lado del servidor SocGholish que, a su vez, devuelve una carga útil al sistema de la víctima.
Ransom note
*ORGANIZATION_NAME*
YOUR NETWORK IS ENCRYPTED NOW
USE *EMAIL1* | *EMAIL2* TO GET THE PRICE FOR YOUR DATA
DO NOT GIVE THIS EMAIL TO 3RD PARTIES
DO NOT RENAME OR MOVE THE FILE
THE FILE IS ENCRYPTED WITH THE FOLLOWING KEY:
[begin_key]*[end_key]
KEEP IT
lab.sentinel, explica que el nombre se debe a que los archivos cifrados, cambian el nombre agregándolos con una extensión “wasted” y el nombre de la empresa ‘1.jpg.garminwasted’ o ‘2.jpg.garminwasted’, siendo el archivo original ‘1.jpg’.
Los archivos se cifran a través de AES (modo de encadenamiento de bloques cifrados + IV / vector de inicialización) (256-bit in CBC mode) con claves generadas para cada archivo cifrado. Las claves AES (+ IV) se cifran con una clave pública RSA-4096.
Las notas de rescate contienen una representación base64 de la clave pública RSA. Los archivos cifrados se renombrarán con una combinación del nombre de la compañía objetivo junto con la cadena "wasted". Por ejemplo, si la compañía Garmin estuviera infectada, los archivos se verían como "file.pdf.garminwasted" (del fichero pdf).
La reciente aparición de un actor de amenazas que actualmente está aprovechando una familia de ransomware conocida como "WastedLocker". El adversario detrás de estos ataques se está aprovechando de varios conjuntos de herramientas de "doble uso" como Cobalt Strike, Mimikatz, Empire y PowerSploit para facilitar el movimiento lateral a través de los entornos en los que se apunta.
- SocGholish --> JavaScript (.js) --> wscript.exe
- Cobalt Strike (Donut) ProcDump
- Mimikatz
- Empire
- PowerSploit
- Windows Management Instrumentation Command Line Utility (wmic.exe)
- Windows Sysinternals tool PsExec
Procesos
- vssadmin.exe
- takeown.exe
- icacls.exe
Vssadmin.exe Delete Shadows /All /Quiet
Proceso de cifrado:Para cifrar los archivos, el ransomware WastedLocker utiliza algoritmos AES y RSA.
El ransomware se dirige a los siguientes tipos de unidades:
- Removable
- Fixed
- Shared
- Remote
Por ejemplo: Nombre de archivo cifrado después del cifrado: File_Name.doc.garminwasted
Ransom Nota: File_Name.doc.garminwasted_info
Lista de extensiones excluidas:
* \ ntldr, * .386, * .adv, * .ani, * .bak, * .bat, * .bin, * .cab, * .cmd, * .com, * .cpl, * .cur, *. dat, * .diagcab, * .diagcfg, * .dll, * .drv,* .exe, * .hlp, * .hta, * .icl, * .icns, * .ics, * .idx, * .ini, * .key, * .lnk, * .mod, * .msc, *. msi, * .msp, * .msstyles, * .msu, * .nls,* .nomedia, * .ocx, * .ps1, * .rom, * .rtp, * .scr, * .sdi, * .shs, * .sys, * .theme, * .themepack, * .wim, *. wpx, * \ bootmgr, * \ grldr.
Lista de directorios excluidos:
* \ $ recycle.bin, * \ appdata, * \ bin, * \ boot, * \ caches, * \ dev, * \ etc, * \ initdr, * \ lib, * \ programdata, * \ run, * \ sbin , * \ sys,* \ información del volumen del sistema, * \ users \ all users, * \ var, * \ vmlinuz, * \ webcache, * \ windowsapps, c: \ program files (x86), c: \ program files, c: \ programdata, c : \ recovery, c: \ users \% USERNAME% \ appdata \ local \ temp, c: \ users \% USERNAME% \ appdata \ roaming, c: \ windows
Una muestra del ransomware WastedLocker
Fuentes:
https://labs.sentinelone.com/wastedlocker-ransomware-abusing-ads-and-ntfs-file-attributes/
https://blog.malwarebytes.com/threat-spotlight/2020/07/threat-spotlight-wastedlocker-customized-ransomware
https://blog.talosintelligence.com/2020/07/wastedlocker-emerges.html
https://kc.mcafee.com/corporate/index?page=content&id=KB93106
https://research.nccgroup.com/2020/06/23/wastedlocker-a-new-ransomware-variant-developed-by-the-evil-corp-group/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.