Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Ataque de ransomware hace que las impresoras impriman la nota de rescate




El ransomware Egregor bombardea las impresoras de las víctimas con notas de rescate. El ransomware Egregor utiliza un enfoque novedoso para llamar la atención de la víctima después de un ataque: imprime notas de rescate desde todas las impresoras disponibles. Especialmente efectivo para que todos los trabajadores de la empresa se den cuenta del incidente de seguridad, pese a los esfuerzos de algunas empresas por ocultarlo, incluso a sus porpios empleados.




  • Ransomware afecta a Cencosud (Centros Comerciales Sudamericanos S.A) en Chile y Argentina
  • Hackearon Cencosud: piden millones de dólares para no publicar información privada de clientes de Disco, Jumbo, Easy, Paris y Santa Isabel
  •  Canon, LG, and Xerox se encuentran entre las organizaciones afectadas por Maze



Ciberdelincuentes han hackeado a la multinacional chilena Cencosud con un ransomware, efectivamente secuestrando sus sistemas en Chile y Argentina. Notas que exigen el rescate equivalente a millones de dólares se imprimieron en supermercados de la cadena en los países mencionados. El ransomware se llama Egregor, es el sucesor de Maze que afectó el año pasado a empresas como LG y Southwire.

Cencosud S.A. es un consorcio empresarial multinacional chileno que opera en diversos países de América del Sur, principalmente en el rubro minorista. Es controlada por el empresario Horst Paulmann.

Cencosud, el consorcio empresarial chileno, dueño de Jumbo, Easy, Vea y Disco, fue hackeado mediante su sistema operativo y se pidieron millones de dólares a cambio de no difundir la información robada.

Las bandas de ransomware saben que muchas empresas prefieren ocultar un ataque de ransomware que hacerlo público, incluso para los empleados, por temor a que las noticias afecten los precios de las acciones y su reputación.

Para aumentar la conciencia pública sobre el ataque y presionar a la víctima para que pague, se sabe que la operación Egregor imprime repetidamente notas de rescate de todas las impresoras locales y de red disponibles después de un ataque.


Como puede ver en un primer plano de la impresión, esta es la misma nota de rescate creada en las computadoras que se imprimen en una impresora de recibos.




Fuente: Twitter

Se puede confirmar que no es el ejecutable del ransomware el que realiza la impresión de las notas de rescate. En cambio, se cree que los atacantes de ransomware utilizan un script al final de un ataque para imprimir notas de rescate en todas las impresoras disponibles. Esta secuencia de comandos aún no se ha encontrado.


El gigante minorista Cencosud es afectado por el ataque de Egregor Ransomware, que afecta los servicios en las tiendas.

Cencosud es una de las empresas minoristas más grandes de América Latina, con más de 140.000 empleados y 15.000 millones de dólares en ingresos para 2019. Cencosud gestiona una amplia variedad de tiendas en Argentina, Brasil, Chile, Colombia y Perú, que incluyen artículos para el hogar Easy y supermercados Jumbo. y los grandes almacenes de París.

Este fin de semana, Cencosud se vio afectado por un ataque de ransomware que cifró dispositivos en todos sus puntos de venta y afectó las operaciones de la empresa.



Según la editorial argentina Clarín, las tiendas minoristas aún están abiertas, pero algunos servicios se ven afectados.

Por ejemplo, una tienda Easy en Buenos Aires muestra un letrero que advierte a los clientes que no aceptan la tarjeta de crédito 'Cencosud Card', aceptan devoluciones o permiten la recogida de compras web debido a problemas técnicos.

Después de enterarse del ataque, obtiene la nota de rescate y puede confirmar que fue llevado a cabo por Egregor y apuntó al dominio de Windows 'Cencosud'.

Egregor es una operación de ransomware como servicio que comenzó a operar a mediados de septiembre, justo cuando otro grupo de ransomware conocido como Maze comenzó a cerrar su operación. Los actores de amenazas que muchos ue se asociaron con Maze ahora están trabajando con Egregor.

Clarín también informó que las imprentas en numerosos puntos de venta en Chile y Argentina, como las tiendas de artículos para el hogar Easy, comenzaron a imprimir notas de rescate a medida que los dispositivos están encriptados.

Esta función es una "característica" conocida del software ransomware Egregor, que imprimirá automáticamente notas de rescate en las impresoras adjuntas después de que se hayan cifrado los archivos de un dispositivo. Para los ataques en toda la red, esto podría llevar a que se impriman miles de notas de rescate en toda la organización.

La nota de rescate no proporciona enlaces a pruebas de datos robados, pero Egregor tiene un historial de robo de archivos no cifrados antes de implementar su ransomware.

Egregor ha sido responsable de otros ataques de alto perfil en Crytek, Ubisoft y Barnes and Noble.


Ransomware Egregor

Egregor es probablemente la familia de ransomware más agresiva en términos de negociación con las víctimas. Solo da 72 horas para contactar al actor de la amenaza. De lo contrario, los datos de la víctima se procesan para su publicación. El pago del ransomware se negocia y acuerda a través de un chat especial asignado a cada víctima y el pago se recibe en BTC. 

Como señalan en Securelist, esto tiene como objetivo convertir archivos potencialmente valiosos en los que se pueda escribir, como documentos o bases de datos que puedan haber estado en uso en el momento de la infección. Además, algunos programas que suelen utilizar los investigadores, por ejemplo, procmon o dumpcap, también se enumeran para su terminación para dificultar aún más el análisis dinámico.

Egregor utiliza un esquema de cifrado de archivos híbrido basado en el cifrado de flujo ChaCha y el cifrado asimétrico RSA. La clave pública maestra RSA-2048 de los delincuentes está incrustada en el cuerpo del troyano.

Cuando se ejecuta en la máquina de una víctima, Egregor genera un nuevo par único de claves RSA de sesión. La clave RSA privada de la sesión es exportada y cifrada por ChaCha con una clave generada de forma única más un nonce, luego la clave y el nonce son cifrados por la clave RSA pública maestra.

Los resultados se guardan en un archivo binario (en nuestro caso se llama C:\ProgramData\dtb.dat), así como una cadena codificada en Base64 en las notas de rescate.

Para cada archivo de datos que procesa Egregor, genera una nueva clave ChaCha de 256 bits y un nonce de 64 bits, cifra el contenido del archivo por ChaCha, luego los cifra usando la clave pública RSA de la sesión y los guarda junto con alguna información auxiliar al final del archivo cifrado.

Los últimos 16 bytes de cada archivo cifrado se componen de un marcador dinámico: un DWORD aleatorio y este mismo DWORD xor'ed con el valor 0xB16B00B5 que equivale a 'BIGBOOBS' en el llamado lenguaje leet, según Wikipedia.

La página principal del sitio web de filtración de datos contiene noticias sobre empresas atacadas recientemente junto con algunos comentarios sarcásticos escritos por el grupo de ransomware. La sección de archivos del sitio enumera las víctimas y los enlaces para descargar los datos robados.

Fuentes:

https://www.bleepingcomputer.com/news/security/retail-giant-cencosud-hit-by-egregor-ransomware-attack-stores-impacted/

https://blog.segu-info.com.ar/2020/11/nuevo-ransomware-egregor-cencosud-jumbo.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.