Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
septiembre
(Total:
21
)
- El ransomware llega a las máquinas de café: cafete...
- Ransomware AgeLocker afecta dispostivos QNAS no ac...
- Red hospitales Universal Health Services (UHS) ata...
- Rusia quiere prohibir el uso de protocolos seguros...
- Corregida vulnerabilidad ejecución remota de códig...
- Filtrado el código fuente de Microsoft Windows XP ...
- Antiguo televisor provoca cortes en la conexión a ...
- Comandos, herramientas y opciones para reparar sis...
- Adolescente de Florida de 16 años arrestado por re...
- Crackers llevan un año intentando abrir una carter...
- Exploits vulnerabilidad crítica ZeroLogon en Windo...
- Microsoft corrige 129 vulnerabilidades de segurida...
- SegurCaixa Adeslas víctima de un ataque de ransonw...
- Grave vulnerabilidad RCE en plugin File Manager de...
- Banco de Estado Chileno víctima ataque ransomware ...
- Dirección Nacional de Migraciones de Argentina afe...
- Repartidores de Amazon cuelgan teléfonos en los ár...
- Ataque ransomware al hospital Moisès Broggi de San...
- Nvidia presenta segunda generación de tarjetas GeF...
- Fallo de seguridad permite saltarse la confirmació...
- El CNI investiga el hackeo de los móviles de vario...
-
▼
septiembre
(Total:
21
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
116
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Dirección Nacional de Migraciones de Argentina afectada por el rasomware Netwalker
lunes, 7 de septiembre de 2020
|
Publicado por
el-brujo
|
Editar entrada
Operadores del ransomware NetWalker atacaron con éxito la Dirección Nacional de Migraciones, robando información y pidieron un rescate millonario para devolver los archivos, según denunció el propio organismo a través de su apoderada, María Eugenia Lachalde. El 27 de agosto pasado los delincuentes informáticos lograron romper los
sistemas de seguridad y ocasionaron una caída de los
servicios, por lo que las autoridades decidieron en aquel momento
suspender el tránsito de personas en las fronteras durante 4 horas para
evitar errores, hasta que paulatinamente los servidores volvieron a
funcionar.
Según una denuncia penal publicada por la agencia argentina de delitos informáticos, Unidad Fiscal Especializada en Ciberdelincuencia, el gobierno se enteró por primera vez del ataque de ransomware después de recibir numerosas llamadas de soporte técnico desde puntos de control aproximadamente a las 7 a.m. del 27 de agosto.
“Aproximadamente a las 7 de la mañana del día señalado en el párrafo anterior, la Dirección de Tecnología y Comunicaciones adscrita a la Dirección General de Sistemas y Tecnologías de la Información de esta Organización recibió numerosas llamadas de diversos puestos de control solicitando apoyo técnico”.
Este se dio cuenta de que no era una situación ordinaria, por lo que se evaluó la situación de la infraestructura del Centro de Datos Central y Servidores Distribuidos, notando actividad de un virus que había afectado a los sistemas de archivos basados en MS Windows (ADAD SYSVOL y SYSTEM CENTER DPM principalmente) y archivos de Microsoft Office (Word, Excel, etc.) existentes en los trabajos de los usuarios y carpetas compartidas ”, se lee en una traducción de la denuncia.
Para evitar que el ransomware infecte más dispositivos, se cerraron las redes informáticas utilizadas por las oficinas de inmigración y los puestos de control.
“El Sistema Integral de Captura Migratoria (SICaM) que opera en los pasos internacionales se vio particularmente afectado, lo que provocó demoras en el ingreso y salida al territorio nacional”, indicó la Dirección Nacional de Migración (DNM).
Fuentes gubernamentales dijeron que "no negociarán con los piratas informáticos y tampoco están demasiado preocupados por recuperar esos datos".
Cuando Netwalker realiza un ataque de ransomware, las notas de rescate se dejan en los dispositivos cifrados.
Estas notas de rescate contienen enlaces a un sitio de pago web que contiene información sobre cómo comprar un descifrador, la cantidad de dinero pedida por el rescate e información sobre los archivos no cifrados que fueron robados durante el ataque.
Desde una página de pago de Netwalker Tor los actores del ransomware inicialmente exigieron un rescate de 2 millones de dólares Después de que pasaron siete días, el rescate aumentó a $ 4 millones, o aproximadamente 355 bitcoins, como se muestra a continuación en la imagen de la página de rescate de la Dirección Nacional de Migraciones.
Monto del rescate
Este sitio Tor también incluye una página de 'Datos robados' que muestra una captura de pantalla de los datos robados de "Migraciones Argentina" durante este ataque.
Los datos recopilados hasta ahora indican que el ransomware Netwalker fue creado por un grupo de delincuentes informáticos rusos. Esta facción en particular opera bajo el sobrenombre de Circus Spider y se encontraría activa desde mediados de 2019.
El concepto detrás de Netwalker es el de Ransomware-as-a-Service (RaaS), lo que significa que Circus Spider proporciona a otros las herramientas y la infraestructura para mantener archivos como rehenes a cambio de un pago de afiliado. El grupo publicó en foros rusos de la web oscura invitando a los ciberdelincuentes interesados a asociarse y difundir el malware.
Este modelo de negocio malicioso no es nada nuevo, siendo utilizado principalmente por los actores detrás del ransomware GandCrab y su versión actualizada Sodinokibi. A los afiliados se les ofrece un recorte de hasta el 84% del pago si las ganancias de la semana anterior superan los U$S 300.000. Si las ganancias están por debajo de esta suma, aún pueden ganar fácilmente alrededor del 80% del valor total. El resto del 16-20% va al grupo detrás de Netwalker. A través de este método, los involucrados ganaron 25 millones de dólares en solo cinco meses a partir del 1 de marzo.
Sin embargo, unirse viene con su propio conjunto de reglas. Los afiliados tienen prohibido ir en contra de organizaciones ubicadas en la región de Rusia y la Comunidad de Estados Independientes. Además, se estipula que los colaboradores siempre deben devolver los archivos de las víctimas que pagaron el rescate. No obstante, esto nunca es una garantía cuando se trata de delincuentes informáticos ransomware.
Los ataques suelen tener como objetivo establecimientos que pertenecen a las siguientes cuatro categorías:
Al operar en un modelo de RaaS, puede adaptarse rápidamente de acuerdo a situaciones recientes (como la pandemia). A fines de julio, se descubrió que el grupo explotaba las vulnerabilidades CVE-2019-11510 y CVE-2019-18935 (Pulse Secure VPN y Telerik respectivamente) y, a principios de mayo, se observó que el grupo estaba usando la inyección de biblioteca de vínculos dinámicos reflectantes (DLL) para infectar a las víctimas.
A partir de abril de 2020, el ransomware Netwalker cambió su enfoque y solicitó que los afiliados hicieran lo mismo. Circus Spider comenzó a reclutar intrusos de red experimentados para identificar grandes objetivos como empresas privadas, hospitales o agencias gubernamentales, en lugar de usuarios domésticos individuales. Los atacantes obtuvieron acceso no autorizado a las redes de organizaciones más grandes mediante la manipulación de dispositivos VPN sin parches, contraseñas débiles en protocolos de escritorio remoto o puntos expuestos en aplicaciones web.
Desde entonces, NetWalker ha alcanzado una gran cantidad de objetivos diferentes, principalmente en países de Europa occidental y EE.UU. y ha quedado claro su preferencia por organizaciones más grandes en lugar de individuos. Por ejemplo, durante la pandemia de COVID-19, declararon claramente que los hospitales no serían atacados.
El ransomware agrega una extensión aleatoria a los archivos infectados y utiliza el cifrado Salsa20. Utiliza algunos trucos para evitar la detección, como una nueva técnica de evasión de defensa, conocida como la mencionada reflexión de DLL, para inyectar una DLL desde la memoria.
NetWalker prioriza la calidad sobre la cantidad y busca personas que hablen ruso y tengan experiencia con grandes redes. Se buscan especialmente las personas que ya tienen un punto de apoyo en la red de una víctima potencial y que pueden exfiltrar datos con facilidad. Esto no es sorprendente, considerando que la publicación de los datos de las víctimas es parte del modelo de NetWalker. El colectivo NetWalker, al igual que los que están detrás de Maze, REvil y otros ransomware, amenaza con publicar los datos de las víctimas si no se pagan los rescates.
Fuentes:
https://blog.segu-info.com.ar/2020/09/que-es-netwalker-el-ransomware-que.html
https://www.infobae.com/politica/2020/09/05/la-direccion-nacional-de-migraciones-denuncio-que-un-grupo-de-hackers-robo-informacion-y-ahora-le-pide-un-rescate-millonario/
Según una denuncia penal publicada por la agencia argentina de delitos informáticos, Unidad Fiscal Especializada en Ciberdelincuencia, el gobierno se enteró por primera vez del ataque de ransomware después de recibir numerosas llamadas de soporte técnico desde puntos de control aproximadamente a las 7 a.m. del 27 de agosto.
Our encryption algorithms are very strong and your files are very well protected, the only way to get your files back is to cooperate whit us and get the descrypter program.
“Aproximadamente a las 7 de la mañana del día señalado en el párrafo anterior, la Dirección de Tecnología y Comunicaciones adscrita a la Dirección General de Sistemas y Tecnologías de la Información de esta Organización recibió numerosas llamadas de diversos puestos de control solicitando apoyo técnico”.
Este se dio cuenta de que no era una situación ordinaria, por lo que se evaluó la situación de la infraestructura del Centro de Datos Central y Servidores Distribuidos, notando actividad de un virus que había afectado a los sistemas de archivos basados en MS Windows (ADAD SYSVOL y SYSTEM CENTER DPM principalmente) y archivos de Microsoft Office (Word, Excel, etc.) existentes en los trabajos de los usuarios y carpetas compartidas ”, se lee en una traducción de la denuncia.
Para evitar que el ransomware infecte más dispositivos, se cerraron las redes informáticas utilizadas por las oficinas de inmigración y los puestos de control.
“El Sistema Integral de Captura Migratoria (SICaM) que opera en los pasos internacionales se vio particularmente afectado, lo que provocó demoras en el ingreso y salida al territorio nacional”, indicó la Dirección Nacional de Migración (DNM).
Fuentes gubernamentales dijeron que "no negociarán con los piratas informáticos y tampoco están demasiado preocupados por recuperar esos datos".
Netwalker exige un rescate de $ 4 millones
Cuando Netwalker realiza un ataque de ransomware, las notas de rescate se dejan en los dispositivos cifrados.
Estas notas de rescate contienen enlaces a un sitio de pago web que contiene información sobre cómo comprar un descifrador, la cantidad de dinero pedida por el rescate e información sobre los archivos no cifrados que fueron robados durante el ataque.
Desde una página de pago de Netwalker Tor los actores del ransomware inicialmente exigieron un rescate de 2 millones de dólares Después de que pasaron siete días, el rescate aumentó a $ 4 millones, o aproximadamente 355 bitcoins, como se muestra a continuación en la imagen de la página de rescate de la Dirección Nacional de Migraciones.
Monto del rescate
Este sitio Tor también incluye una página de 'Datos robados' que muestra una captura de pantalla de los datos robados de "Migraciones Argentina" durante este ataque.
¿Qué es Netwalker Ransomware?
Netwalker es una variedad de ransomware descubierta en septiembre de 2019, pero su marca de tiempo se remonta a finales de agosto. Inicialmente se creyó que eran cambios menores de Mailto (por la extensión que colocaba a los archivos) pero, desde entonces se ha establecido que es una versión actualizada de la misma. Mailto fue descubierto por el investigador independiente de ciberseguridad y usuario de Twitter GrujaRS, un coleccionador de ransomware. Poco después, Coveware descubrió un descifrador para el ransomware que indicaba que el nombre del desarrollador de la infección es Netwalker.Los datos recopilados hasta ahora indican que el ransomware Netwalker fue creado por un grupo de delincuentes informáticos rusos. Esta facción en particular opera bajo el sobrenombre de Circus Spider y se encontraría activa desde mediados de 2019.
El concepto detrás de Netwalker es el de Ransomware-as-a-Service (RaaS), lo que significa que Circus Spider proporciona a otros las herramientas y la infraestructura para mantener archivos como rehenes a cambio de un pago de afiliado. El grupo publicó en foros rusos de la web oscura invitando a los ciberdelincuentes interesados a asociarse y difundir el malware.
Este modelo de negocio malicioso no es nada nuevo, siendo utilizado principalmente por los actores detrás del ransomware GandCrab y su versión actualizada Sodinokibi. A los afiliados se les ofrece un recorte de hasta el 84% del pago si las ganancias de la semana anterior superan los U$S 300.000. Si las ganancias están por debajo de esta suma, aún pueden ganar fácilmente alrededor del 80% del valor total. El resto del 16-20% va al grupo detrás de Netwalker. A través de este método, los involucrados ganaron 25 millones de dólares en solo cinco meses a partir del 1 de marzo.
Sin embargo, unirse viene con su propio conjunto de reglas. Los afiliados tienen prohibido ir en contra de organizaciones ubicadas en la región de Rusia y la Comunidad de Estados Independientes. Además, se estipula que los colaboradores siempre deben devolver los archivos de las víctimas que pagaron el rescate. No obstante, esto nunca es una garantía cuando se trata de delincuentes informáticos ransomware.
Breve historia de NetWalker
Aunque Netwalker existe desde septiembre de 2019, su estado como una amenaza se hizo evidente alrededor de marzo de 2020, como se mencionó anteriormente. Los actores que emplearon el ransomware lograron colarse en las redes de grandes organizaciones incluso antes del cambio de táctica de abril.Los ataques suelen tener como objetivo establecimientos que pertenecen a las siguientes cuatro categorías:
- proveedores de servicios de salud;
- instalaciones educativas;
- Gobiernos y organismos públicos;
- empresas privadas.
¿Cómo funciona Netwalker Ransomware?
Cuando Netwalker comenzó a ganar terreno entre los afiliados alrededor de marzo de 2020, su Modus-Operandi (MO) era lo suficientemente estándar. Los asociados distribuyeron el malware a través de correos electrónicos no deseados que atrajeron a las víctimas a hacer clic en enlaces de phishing e infectar las computadoras de su red. Su enfoque en el volumen masivo significaba que cualquiera corría el riesgo de convertirse en un objetivo.Al operar en un modelo de RaaS, puede adaptarse rápidamente de acuerdo a situaciones recientes (como la pandemia). A fines de julio, se descubrió que el grupo explotaba las vulnerabilidades CVE-2019-11510 y CVE-2019-18935 (Pulse Secure VPN y Telerik respectivamente) y, a principios de mayo, se observó que el grupo estaba usando la inyección de biblioteca de vínculos dinámicos reflectantes (DLL) para infectar a las víctimas.
A partir de abril de 2020, el ransomware Netwalker cambió su enfoque y solicitó que los afiliados hicieran lo mismo. Circus Spider comenzó a reclutar intrusos de red experimentados para identificar grandes objetivos como empresas privadas, hospitales o agencias gubernamentales, en lugar de usuarios domésticos individuales. Los atacantes obtuvieron acceso no autorizado a las redes de organizaciones más grandes mediante la manipulación de dispositivos VPN sin parches, contraseñas débiles en protocolos de escritorio remoto o puntos expuestos en aplicaciones web.
Desde entonces, NetWalker ha alcanzado una gran cantidad de objetivos diferentes, principalmente en países de Europa occidental y EE.UU. y ha quedado claro su preferencia por organizaciones más grandes en lugar de individuos. Por ejemplo, durante la pandemia de COVID-19, declararon claramente que los hospitales no serían atacados.
El ransomware agrega una extensión aleatoria a los archivos infectados y utiliza el cifrado Salsa20. Utiliza algunos trucos para evitar la detección, como una nueva técnica de evasión de defensa, conocida como la mencionada reflexión de DLL, para inyectar una DLL desde la memoria.
NetWalker prioriza la calidad sobre la cantidad y busca personas que hablen ruso y tengan experiencia con grandes redes. Se buscan especialmente las personas que ya tienen un punto de apoyo en la red de una víctima potencial y que pueden exfiltrar datos con facilidad. Esto no es sorprendente, considerando que la publicación de los datos de las víctimas es parte del modelo de NetWalker. El colectivo NetWalker, al igual que los que están detrás de Maze, REvil y otros ransomware, amenaza con publicar los datos de las víctimas si no se pagan los rescates.
Fuentes:
https://blog.segu-info.com.ar/2020/09/que-es-netwalker-el-ransomware-que.html
https://www.infobae.com/politica/2020/09/05/la-direccion-nacional-de-migraciones-denuncio-que-un-grupo-de-hackers-robo-informacion-y-ahora-le-pide-un-rescate-millonario/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.