Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Exigen 10 millones de dólares a Garmin por el secuestro de sus datos privados




Cuatro días lleva ya la popular firma de accesorios y servicios deportivos Garmin sin ofrecer una solución a todos los usuarios que utilizan sus dispositivos para registrar diariamente su actividad debido a el ransonware WastedLocker por el que los ciberdelincuentes podrían haber pedido un total de 10 millones de dólares para desbloquearlos.





27/8/20 - Finalmente Garmin se recupera poco a poco de su caída generalizada, y se ha especulado que su vuelta a la normalidad se debe a que ha conseguido la clave de descifrado, según han confirmado varios medios como Zdnet, BleepingComputer, o dicho de otra manera, que Garmin ha pagado el dinero del rescate.



Garmin podría enfrentarse sanciones si paga el rescate de 10 millones de dólares. Podrían estar en problemas legales con el gobierno de los Estados Unidos.
  •  Garmin está caído, no solo en España sino en todo el mundo, el fabricante de pulseras y relojes de actividad
Lo que empezó aparentemente como una caída de Garmin ha resultado ser otro ataque de ransomware a gran escala.


 Los atacantes que infectaron Garmin con el ransomware WastedLocker piden 10 millones de dólares por desscifrar los datos que impiden sus usuarios usar el servicio.

La plataforma sigue sin servicio y la incidencia les empieza a pasar factura. Demasiado tiempo para que una empresa como Garmin no diera ninguna respuesta a los usuarios, que en España se están viendo especialmente afectados.



INCIDENCIA GARMIN

Garmin está experimentando incidencias que afectan a los servicios de Garmin, lo que incluye Garmin Connect. Como consecuencia de esto, algunas funciones y servicios de estas plataformas no están disponibles.

Adicionalmente, nuestras líneas de atención telefónica se han visto afectadas por esta incidencia y consecuentemente no podemos contestar llamadas, mails o chats de atención al cliente.
Estamos trabajando para recuperar nuestros sistemas lo más rápido posible y lamentamos las molestias causadas. Proporcionaremos actualizaciones tan pronto como estén disponibles.

Finalmente Garmin reconoce el ataque:


Garmin Ltd. was the victim of a cyber attack that encrypted some of our systems on July 23, 2020. As a result, many of our online services were interrupted including website functions, customer support, customer facing applications, and company communications. We immediately began to assess the nature of the attack and started remediation.

We have no indication that any customer data, including payment information from Garmin Pay, was accessed, lost or stolen. Additionally, the functionality of Garmin products was not affected, other than the ability to access online services. Affected systems are being restored and we expect to return to normal operation over the next few days.

As our affected systems are restored, we expect some delays as the backlog of information is being processed. We are grateful for our customers’ patience and understanding during this incident and look forward to continuing to provide the exceptional customer service and support that has been our hallmark and tradition.

Garmin Connect y la aplicación Strava: víctimas de Evil Corp

  • Evil Corp es selectivo en términos de la infraestructura que eligen como objetivo cuando implementan su ransomware.
En la fotografía: miembros de Evil Corp.: L-R Kirill SLOBODSKOY, Maksim YAKUBETS, Dmitriy SLOBODSKOY, Artem YAKUBETS



Evil Corp. (también conocidos por el malware Dridex y el ransomware BitPaymer.) es un grupo de ciberdelincuentes con sede en Rusia activo desde al menos 2007, conocidos por ser los que están detrás de famosos malwares y por utilizar su propio software de rescate como parte de sus ataques, entre ellos el conocido BitPaymer.



El supuesto líder del grupo cibercriminal es un individuo ruso llamado, Maksim Yakubets. Este reconocido criminal, fue acusado por el Departamento de Justicia de los Estados Unidos en 2019. También fue incluido en la lista de los "Más Buscados" del FBI, con una recompensa establecida en los USD 5 millones, la recompensa más alta ofrecida en la historia por las autoridades del país por el arresto de un cibercriminal.

Reward:

The United States Department of State’s Transnational Organized Crime Rewards Program is offering a reward of up to $5 million for information leading to the arrest and/or conviction of Maksim Viktorovich Yakubets.


Yakubets, conocido bajo el alias "Aqua", es buscado por su participación en un ataque malware informático que infectó a decenas de miles de computadoras tanto en América del Norte como en Europa. Esto resultó en pérdidas financieras reales por un valor aproximado de USD 100 millones.

Declarado como la "mayor amenaza para la ciberseguridad del Reino Unido"por la NCA británica. Mientras tanto, llama poderosamente la atención la vida de lujos que lleva Yakubets en Moscú y que no duda en publicar en redes sociales como Instagram y Vkontakte, la red social rusa creada por Pavel Durov, el fundador de Telegram.

  • Como Yakubets reside en Rusia, estas acusaciones no tendrán efecto a menos que abandone el país. "Si abandona la seguridad de Rusia será arrestado y extraditado a Estados Unidos", sentencia la agencia. 

Yakubets también se asoció directamente con Evgeniy "Slavik" Bogachev, un ciberdelincuente ruso previamente designado responsable de la distribución de los esquemas de malware Zeus, Jabber Zeus y GameOver Zeus que ya en 2017 ofrecía una recompensa del FBI de $ 3 millones por pistas sobre su paradero.

En un comunicado a finales del año pasado, el Departamento del Tesoro de EEUU aseguró que el Yakubets había pasado a colaborar directamente con el gobierno ruso, en concreto con el Servicio Federal de Seguridad (FSB, en sus siglas en inglés), una de las principales agencias de seguridad del país.

Un Lamborhini, un Nissan GT-R, un Audi A8 y un Dodge Challenger, comprados con transferencias falsas, una boda en 2017 de 300.000 euros. Hay varias fotos publicadas que reflejan el lujoso estilo de vida que llevan y cómo gastan los millones de dólares que se les acusa de robar

Forma parte de los ransomware especialmente agresivos como REvil y NetWalker. Ya que no solo se limita a cifrar los datos, sino que busca archivos personales, bases de datos, servidores de archivo e incluso entornos en la nube. De ahí que WastedLocker tenga como objetivo empresas, ya que cifra todos los datos que puede y así sirve como motor para exigir la mayor recompensa posible.


Igor Olegovich Turashev también  buscado por su participación en malware informático que infectó a decenas de miles de computadoras, tanto en América del Norte como en Europa, lo que resultó en pérdidas financieras de decenas de millones de dólares. Turashev supuestamente manejó una variedad de malware Bugat / Cridex / Dridex. Supuestamente conspiró para difundir el malware a través de correos electrónicos de phishing, usar el malware para capturar credenciales bancarias en línea y usar estas credenciales capturadas para robar dinero de las cuentas bancarias de las víctimas. Posteriormente, utilizó el malware para instalar ransomware en las computadoras de las víctimas.

Un listado de Ranwsomware, que a parte de cifrar los datos, los roban para publicarlos si no pagas el rescate sería:

  • Ako
  • Clop
  • DoppelPaymer
  • Maze
  • Mespinoza (Pysa)
  • Nefilim
  • Nemty
  • NetWalker
  • RagnarLocker
  • REvil (Sodinokibi)
  • Sekhmet
  • Snatch


Se han visto afectados los siguientes productos:

  • Garmin Connect
  • Garmin Explore
  • Garmin inReach
  • flyGarmin



 Dridex, un poderoso malware para robar contraseñas que se usó para robar más de $ 100 millones de cientos de bancos en la última década.

SocGholish

Los ataques de Evil Corp comenzaron con el marco SocGholish (TA569) utilizado para infectar objetivos. "Soc"de "social engineering,"

Esto se realiza mostrando alertas de actualización de software falsas del navegador que entregan cargas útiles de malware (.js o .hta) en los dispositivos de los objetivos en forma de actualizaciones de programas falsas, generalmente del navegador.

You Are Using an Older Version
Estás utilizando una versión anterior de 

En Google Chrome basta con abrir Ayuda > Información de Google Chrome y revisar si aparece el mensaje “Google Chrome está actualizado”
  • Chrome, Internet Explorer (Edge), Opera, and/or Firefox browser update
  • Adobe Flash Updates (Fake Flash Player update)
  • Fuente no instalada




Evil Corp, un elemento muy notable no ha cambiado, la distribución a través del marco de actualización falso de SocGholish. Este marco todavía está en uso, aunque ahora se usa para distribuir directamente un cargador CobaltStrike personalizado,.Una de las características más notables de este marco es la evaluación de si un sistema de víctima comprometido es parte de una red más grande, ya que un único sistema de usuario final no sirve para los atacantes. El robot JavaScript SocGholish tiene acceso a la información del propio sistema, ya que se ejecuta bajo los privilegios del usuario del navegador wscript.exe. El bot recopila una gran cantidad de información y la envía al lado del servidor SocGholish que, a su vez, devuelve una carga útil al sistema de la víctima.

Ransom note


*ORGANIZATION_NAME*
YOUR NETWORK IS ENCRYPTED NOW
USE *EMAIL1* | *EMAIL2* TO GET THE PRICE FOR YOUR DATA
DO NOT GIVE THIS EMAIL TO 3RD PARTIES
DO NOT RENAME OR MOVE THE FILE
THE FILE IS ENCRYPTED WITH THE FOLLOWING KEY:
[begin_key]*[end_key]
KEEP IT


 lab.sentinel, explica que el nombre se debe a que los archivos cifrados, cambian el nombre agregándolos con una extensión “wasted” y el nombre de la empresa  ‘1.jpg.garminwasted’ o ‘2.jpg.garminwasted’, siendo el archivo original ‘1.jpg’.


Los archivos se cifran a través de AES (modo de encadenamiento de bloques cifrados + IV / vector de inicialización) (256-bit in CBC mode)  con claves generadas para cada archivo cifrado. Las claves AES (+ IV) se cifran con una clave pública RSA-4096.


Las notas de rescate contienen una representación base64 de la clave pública RSA. Los archivos cifrados se renombrarán con una combinación del nombre de la compañía objetivo junto con la cadena "wasted". Por ejemplo, si la compañía Garmin estuviera infectada, los archivos se verían como "file.pdf.garminwasted" (del fichero pdf).


La reciente aparición de un actor de amenazas que actualmente está aprovechando una familia de ransomware conocida como "WastedLocker". El adversario detrás de estos ataques se está aprovechando de varios conjuntos de herramientas de "doble uso" como Cobalt Strike, Mimikatz, Empire y PowerSploit para facilitar el movimiento lateral a través de los entornos en los que se apunta.


Estos conjuntos de herramientas generalmente se desarrollan para ayudar con las pruebas de penetración o las actividades de formación de equipos rojos, pero su uso a menudo también es cooptado por adversarios maliciosos. Además, el uso de la funcionalidad nativa del sistema operativo, y lo que comúnmente se conoce como "LoLBins", permite a los atacantes evadir la detección y operar bajo el radar hasta que estén listos para activar el ransomware y dar a conocer su presencia.

Procesos
  • vssadmin.exe
  • takeown.exe
  • icacls.exe
 Para eliminar las copias de seguridad copias instantáneas del sistema (Shadow Copy)
Vssadmin.exe Delete Shadows /All /Quiet

Proceso de cifrado:Para cifrar los archivos, el ransomware WastedLocker utiliza algoritmos AES y RSA.

El ransomware se dirige a los siguientes tipos de unidades:

  • Removable
  • Fixed
  • Shared
  • Remote 
Para cada archivo cifrado, el ransomware crea un archivo adicional que incluye la nota de ransomware. La extensión del archivo cifrado se establece de acuerdo con el nombre de la organización de destino junto con el prefijo desperdiciado. después del cifrado, elimina servicios.

Por ejemplo: Nombre de archivo cifrado después del cifrado: File_Name.doc.garminwasted
Ransom Nota: File_Name.doc.garminwasted_info

Lista de extensiones excluidas:

* \ ntldr, * .386, * .adv, * .ani, * .bak, * .bat, * .bin, * .cab, * .cmd, * .com, * .cpl, * .cur, *. dat, * .diagcab, * .diagcfg, * .dll, * .drv,* .exe, * .hlp, * .hta, * .icl, * .icns, * .ics, * .idx, * .ini, * .key, * .lnk, * .mod, * .msc, *. msi, * .msp, * .msstyles, * .msu, * .nls,* .nomedia, * .ocx, * .ps1, * .rom, * .rtp, * .scr, * .sdi, * .shs, * .sys, * .theme, * .themepack, * .wim, *. wpx, * \ bootmgr, * \ grldr.

Lista de directorios excluidos:

* \ $ recycle.bin, * \ appdata, * \ bin, * \ boot, * \ caches, * \ dev, * \ etc, * \ initdr, * \ lib, * \ programdata, * \ run, * \ sbin , * \ sys,* \ información del volumen del sistema, * \ users \ all users, * \ var, * \ vmlinuz, * \ webcache, * \ windowsapps, c: \ program files (x86), c: \ program files, c: \ programdata, c : \ recovery, c: \ users \% USERNAME% \ appdata \ local \ temp, c: \ users \% USERNAME% \ appdata \ roaming, c: \ windows

Una muestra del ransomware WastedLocker


Fuentes:
https://labs.sentinelone.com/wastedlocker-ransomware-abusing-ads-and-ntfs-file-attributes/
https://blog.malwarebytes.com/threat-spotlight/2020/07/threat-spotlight-wastedlocker-customized-ransomware
https://blog.talosintelligence.com/2020/07/wastedlocker-emerges.html
https://kc.mcafee.com/corporate/index?page=content&id=KB93106
https://research.nccgroup.com/2020/06/23/wastedlocker-a-new-ransomware-variant-developed-by-the-evil-corp-group/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.