Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon El ransomware NetWalker ha ganado más de 25 millones de dólares desde marzo de 2020


25$ millones de dolares en sólo 5 meses.. Se cree que los operadores del ransomware NetWalker han ganado más de $ 25 millones en pagos de rescate desde marzo de este año, según ha dicho la firma de seguridad McAfee. Aunque las estadísticas precisas y actualizadas no están disponibles, la cifra de $ 25 millones coloca a NetWalker cerca de la cima de las pandillas de ransomware más exitosas conocidas hoy en día, con otros nombres conocidos como Ryuk, Dharma y REvil (Sodinokibi). A pesar de todas las advertencias de no pagar el rescate económico, se confirma por ejemplo, que en el caso de Garmin ha pagado para obtener las claves de descifradoEn 2016 la mitad de las empresas afectadas por un ransomware, pagó el rescate. No abras ficheros adjuntos en un e-mail con extensión .js o .vbs (ni wsf, wsh, hta)





En marzo de 2020, varios hospitales en España fueron atacados. En esos ataques específicos, las víctimas fueron atraídas con "información actualizada sobre COVID-19" a través de archivos adjuntos con el ransomware Netwalker. José Ángel González, director adjunto de la Policía Nacional de España, advertía de una campaña de phishing contra personal sanitario aprovechando la crisis del coronavirus Covid-19

McAfee, quien ha publicado un informe completo sobre las operaciones de NetWalker, pudo rastrear los pagos que la víctima realizó a las direcciones conocidas de Bitcoin asociadas con la pandilla de ransomware.

Sin embargo, los expertos en seguridad creen que la pandilla podría haber hecho aún más con sus operaciones ilícitas, ya que su punto de vista no era completo.

Durante la pandemia de COVID-19, algunos de los adversarios de NetWalker, como CLOP, DoppelPaymer. Maze, declararon claramente que los hospitales no serian atacados; queda por ver si cumplen con su palabra.

Una breve introducción e historia a NetWalker


NetWalker, como una cepa de ransomware, apareció por primera vez en agosto de 2019. En su versión inicial, el ransomware se llamaba Mailto pero cambió de nombre a NetWalker a finales de 2019.

El ransomware funciona como un RaaS de acceso cerrado, un portal de ransomware como servicio. Otras pandillas se registran y pasan por un proceso de investigación de antecedentes, después del cual se les concede acceso a un portal web donde pueden crear versiones personalizadas del ransomware.

La distribución se deja a estas pandillas de segundo nivel, conocidas como afiliadas, y cada grupo la implementa como mejor les parezca.



A través de este proceso de investigación, NetWalker ha comenzado recientemente a seleccionar afiliados especializados en ataques dirigidos contra las redes de entidades de alto valor, en lugar de aquellos especializados en métodos de distribución masiva como kits de exploits o correo no deseado.

La razón es que apuntar a compañías más grandes en intrusiones precisas y quirúrgicas le permite a la pandilla solicitar mayores demandas de rescate a medida que las compañías más grandes pierden más ganancias mientras están caídas, en comparación con las empresas más pequeñas.

En particular, el autor de NetWalker parece favorecer a los afiliados capaces de ejecutar intrusiones a través de ataques a la red, en servidores RDP, equipos de red, servidores VPN, firewalls, etc., según un anuncio en un foro encontrado a principios de este año. . Es de destacar que el autor de NetWalker, con el nombre de Bugatti, solo estaba interesado en contratar clientes de habla rusa solamente.







Después de que el operador de Netwalker publicara la imagen de los pagos de rescate, con la ayuda de CipherTrace, McAfee pudo determinar las direcciones completas de bitcoin y otras direcciones asociadas.

Al seguir las transacciones en estas direcciones de bitcoin relacionadas, McAfee observó que se transfirieron 2.795 bitcoins entre billeteras Netwalker relacionadas entre el 1 de marzo de 2020 y el 27 de julio de 2020.

"La cantidad total de bitcoin extorsionado que se ha descubierto al rastrear las transacciones a estas direcciones relacionadas con NetWalker es de 2795 BTC entre el 1 de marzo de 2020 y el 27 de julio de 2020. Al usar tasas de cambio históricas de bitcoin a USD, estimamos que se extorsionó un total de 25 millones de USD. con estas transacciones relacionadas con NetWalker ", afirma el informe de McAfee.

Familias de Ransomware que han ganado más dinero



Históricamente, los expertos de McAfee dicen que NetWalker ha llevado a cabo intrusiones mediante el uso de exploits en los servidores Oracle WebLogic y Apache Tomcat, entrando en redes a través de puntos finales RDP Remote Desktop Protocol con credenciales débiles o por personal de phishing en compañías importantes.


Pero según una alerta del FBI publicada la semana pasada, más recientemente, el grupo también ha incorporado exploits para servidores Pulse Secure VPN (CVE-201911510) y exploits para aplicaciones web que usan el componente de interfaz de usuario de Telerik (CVE-2019-18935) para diversificar sus arsenal.




La misma alerta también advirtió a las compañías estadounidenses y a las organizaciones gubernamentales que se aseguren de actualizar sus sistemas, ya que la oficina vio un aumento en la actividad de la banda NetWalker, que incluso golpeó algunas redes gubernamentales.

La actividad de NetWalker ha aumentado en los últimos meses.

  • Con más de $ 25 millones obtenidos en pagos de rescate, la popularidad de NetWalker crecerá aún más.
Esta cantidad no es sorprendente teniendo en cuenta los ataques de alto perfil que Netwalker ha realizado este año:
  • Febrero de 2020: el Grupo de Peaje de Australia sufrió una interrupción importante debido al ataque de Netwalker
  • Mayo de 2020: la Universidad Estatal de Michigan golpeada con el ataque de Netwalker
  • Junio de 2020: UCSF San Francisco admite que ha pagado a Netwalker $ 1.14M de rescate
  • Julio de 2020: Lorien Health sufre el ataque de Netwalker
  • Julio de 2020: Dussmann Group, con sede en Alemania, revela un hackeo de datos después del ataque de Netwalker


Actualmente, la víctima más destacada de NetWalker es la Universidad Estatal de Michigan, que el grupo infectó a fines de mayo, como parte de varias intrusiones en varias universidades de EE. UU.

Sin embargo, McAfee dice que NetWalker también representa un riesgo para las empresas de todo el mundo, y no solo para EE. UU. O Europa occidental, otro terreno de caza habitual de NetWalker.




Según las estadísticas proporcionadas por el servicio de identificación de ransomware ID-Ransomware, la actividad de NetWalker ha estado aumentando en los últimos meses, una señal de que su portal RaaS es un éxito entre el ciberdelincuente clandestino.




Y una de las razones por las que la pandilla ha sido tan popular también se debe a su "portal de filtraciones", un sitio web donde la pandilla publica los nombres y publica datos de las víctimas que se niegan a pagar su demanda de rescate.

El sitio opera en base a principios simples y es uno de los muchos sitios similares de fuga de ransomware.


  • Una vez que un afiliado de NetWalker hackea una red, primero roban los datos confidenciales de una empresa y luego cifran los archivos.
  • Si la víctima se niega a pagar para descifrar archivos durante las negociaciones iniciales, la pandilla de ransomware crea una entrada en su sitio web.
  • La entrada tiene un temporizador, y si la víctima aún se niega a pagar, la pandilla filtra los archivos que robaron de la red de la víctima.

El sitio ha ayudado a NetWalker a ejercer presión adicional sobre las víctimas, muchas de las cuales temen que la propiedad intelectual o los datos confidenciales de los usuarios se filtren en línea, mientras que otras temen que su nombre se empañe en la prensa, ya que el sitio y sus víctimas más recientes a menudo se citan en los artículos de noticias. , y muchas compañías pagarán simplemente para que su nombre no aparezca en primer lugar.


El ransomware NetWalker objetivo de análisis ha sido distribuida utilizando un dropper desarrollado en Visual Basic Script (VBS), que se incluye como fichero adjunto en la campaña de SPAM. Como peculiaridad, una vez recibido el correo dañino no se precisa de conexión a Internet, pues tanto el componente dropper como el ransomware contienen toda la información necesaria para desarrollar el proceso de infección y cifrado de forma offline.


CORONAVIRUS_COVID-19.vbs

El proyecto lleva en marcha desde septiembre de 2019 y el pasado 19 de marzo de 2020, el actor Bugatti abría la oportunidad a otros criminales de formar parte de su programa de afiliados. 


La reciente distribución de esta campaña de malware, que sigue el modelo de Ransomware as a Service (RaaS), se lleva a cabo a través de correos electrónicos que simulan aportar información sobre el estado de la situación actual del coronavirus (COVID-19). Si bien no es ninguna sorpresa que los grupos criminales se aprovechen de las situaciones de crisis para utilizar la temática en sus campañas, la criticidad de la situación hace preciso extremar las medidas de seguridad, también en lo que respecta al ámbito digital.

  • Initial Access
    • Exploit Public-Facing Application (T1190) : Exploit Tomcat, Exploit WebLogic
    • Spear phishing Attachment (T1566.001): Phishing email
    • Valid Accounts (T1078): RDP compromised
  • Execution
    • PowerShell (T1059.001): PowerShell Script
    • Command and Scripting Interpreter: Windows Command Shell (003)
    • Service Execution (T1569.002): PsExec
    • Native API (T1106): Use Windows API functions to inject DLL
    • Windows Management Instrumentation (T1047)
  • Persistence
    • Registry Run Key (T1547.001): Place a value on RunOnce key
    • Modify Registry key (T1112): Create its own registry key in \SOFTWARE\
  • Privilege Escalation
    • Exploitation for Privilege Escalation (T1068): CVE-2020-0796, CVE-2019-1458, CVE-2017-0213, CVE-2015-1701
    • Process Injection (T1055.001): Reflective DLL Injection
  • Defense Evasion
    • Disabling Security Tools (T1562.001): ESET AV Remover, Trend Micro’s Security Agent Uninstall Tool, Microsoft Security Client Uninstall
    • Process Injection (T1055.001): Reflective DLL Injection
    • Deobfuscate/Decode Files or Information (T1140)
    • Obfuscated Files or Information (T1027): PowerShell Script uses Base64 and hexadecimal encoding and XOR-encryption
  • Credential Access
    • Credential Dumping (T1003): Mimikatz, Mimidogz, Mimikittenz, Windows Credentials Editor, Pwdump, LaZagne
    • Brute Force (T1110.001): NLBrute
  • Discovery
    • Network Service Scanning (T1046): SoftPerfect Network Scanner
    • Security Software Discovery (T1518.001)
    • System Information Discovery (T1082)
  • Lateral Movement
    • Third-Party Software (T1072): TeamViewer, Anydesk
    • Service Execution (T 1569.002): PsExec
    • Lateral Tool Transfer (T1570)
  • Collection
    • Data from information repositories (T1213)
    • Data from local system (T1005)
    • Data from network shared drive (T1039)
  • Command and Control
    • Ingress Tool Transfer (T1105)
  • Impact
    • Data Encrypted (T1486): NetWalker Ransomware
    • Inhibit System Recovery (T1490): Shadow Copies Deleted
    • Service Stop (T1489)
Muestras




Fuentes:
https://www.zdnet.com/article/netwalker-ransomware-gang-has-made-25-million-since-march-2020/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/take-a-netwalk-on-the-wild-side
https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/9802-publicado-un-informe-de-codigo-danino-sobre-netwalker.html
https://blog.trendmicro.com/trendlabs-security-intelligence/netwalker-fileless-ransomware-injected-via-reflective-loading/
https://labs.sentinelone.com/netwalker-ransomware-no-respite-no-english-required/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.