Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
noviembre
(Total:
29
)
- El CNI detecta un aumento "cuantitativo y cualitat...
- Una nueva funcionalidad de Microsoft 365 es el "ma...
- Segunda actualización de emergencia para el CMS Dr...
- Nuevas víctimas de REvil ransomware: Vialidad Arge...
- Un empleado sube un Excel a GitHub con datos perso...
- Configurar correo electrónico seguro con SPF, DMAR...
- Vulnerabilidad crítica en MobileIron RCE de junio ...
- Zero Day: vulnerabilidad 2FA bypass en cPanel y WHM
- Investigador descubre accidentalmente 0-day en Win...
- Expuestas más de 300K+ cuentas de usuarios Spotify
- La Generalitat Catalunya sufre un fallo de segurid...
- TikTok corrige errores que permitían tomar el cont...
- Periodista holandés se filtra en una reunión "secr...
- La lista de las peores contraseñas de 2020
- Ransomware Ragnar Locker hackea la empresa multina...
- Fallo en Facebook Messenger permitía escuchar audi...
- Graves vulnerabilidades en VMWare y publican lista...
- Disponibles Kali Linux 2020.4 y Tails 4.13
- Ataque de ransomware hace que las impresoras impri...
- Datos de 3.2 millones de cuentas de Pluto TV han s...
- Defendiendo a los desarrolladores: youtube-dl está...
- Usuarios de Android demandan a Google por consumir...
- El envenenamiento de la caché de DNS, el ataque de...
- Problemas privacidad con GateKeeper de macOS 11 Bi...
- Activar medidas privacidad Navegador Firefox, Chro...
- Google Fotos dice adiós al espacio ilimitado; deja...
- Activar Windows 10-11 mediante Licencia Digital (H...
- Ransomware REvil afirma en una entrevista haber ga...
- Google descubre grave 0-day en el Kernel de Window...
- ► septiembre (Total: 21 )
-
▼
noviembre
(Total:
29
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Ataque de ransomware hace que las impresoras impriman la nota de rescate
El ransomware Egregor bombardea las impresoras de las víctimas con notas de rescate. El ransomware Egregor utiliza un enfoque novedoso para llamar la atención de la víctima después de un ataque: imprime notas de rescate desde todas las impresoras disponibles. Especialmente efectivo para que todos los trabajadores de la empresa se den cuenta del incidente de seguridad, pese a los esfuerzos de algunas empresas por ocultarlo, incluso a sus propios empleados.
- Ransomware afecta a Cencosud (Centros Comerciales Sudamericanos S.A) en Chile y Argentina
- Hackearon Cencosud: piden millones de dólares para no publicar información privada de clientes de Disco, Jumbo, Easy, Paris y Santa Isabel
- Canon, LG, and Xerox se encuentran entre las organizaciones afectadas por Maze
Ciberdelincuentes han hackeado a la multinacional chilena Cencosud con un ransomware, efectivamente secuestrando sus sistemas en Chile y Argentina. Notas que exigen el rescate equivalente a millones de dólares se imprimieron en supermercados de la cadena en los países mencionados. El ransomware se llama Egregor, es el sucesor de Maze que afectó el año pasado a empresas como LG y Southwire.
Cencosud S.A. es un consorcio empresarial multinacional chileno que opera en diversos países de América del Sur, principalmente en el rubro minorista. Es controlada por el empresario Horst Paulmann.
Cencosud, el consorcio empresarial chileno, dueño de Jumbo, Easy, Vea y Disco, fue hackeado mediante su sistema operativo y se pidieron millones de dólares a cambio de no difundir la información robada.
Las bandas de ransomware saben que muchas empresas prefieren ocultar un ataque de ransomware que hacerlo público, incluso para los empleados, por temor a que las noticias afecten los precios de las acciones y su reputación.
Para aumentar la conciencia pública sobre el ataque y presionar a la víctima para que pague, se sabe que la operación Egregor imprime repetidamente notas de rescate de todas las impresoras locales y de red disponibles después de un ataque.
Como puede ver en un primer plano de la impresión, esta es la misma nota de rescate creada en las computadoras que se imprimen en una impresora de recibos.
Fuente: Twitter
Se puede confirmar que no es el ejecutable del ransomware el que realiza la impresión de las notas de rescate. En cambio, se cree que los atacantes de ransomware utilizan un script al final de un ataque para imprimir notas de rescate en todas las impresoras disponibles. Esta secuencia de comandos aún no se ha encontrado.
El gigante minorista Cencosud es afectado por el ataque de Egregor Ransomware, que afecta los servicios en las tiendas.
Cencosud es una de las empresas minoristas más grandes de América Latina, con más de 140.000 empleados y 15.000 millones de dólares en ingresos para 2019. Cencosud gestiona una amplia variedad de tiendas en Argentina, Brasil, Chile, Colombia y Perú, que incluyen artículos para el hogar Easy y supermercados Jumbo. y los grandes almacenes de París.
Este fin de semana, Cencosud se vio afectado por un ataque de ransomware que cifró dispositivos en todos sus puntos de venta y afectó las operaciones de la empresa.
Según la editorial argentina Clarín, las tiendas minoristas aún están abiertas, pero algunos servicios se ven afectados.
Por ejemplo, una tienda Easy en Buenos Aires muestra un letrero que advierte a los clientes que no aceptan la tarjeta de crédito 'Cencosud Card', aceptan devoluciones o permiten la recogida de compras web debido a problemas técnicos.
Después de enterarse del ataque, obtiene la nota de rescate y puede confirmar que fue llevado a cabo por Egregor y apuntó al dominio de Windows 'Cencosud'.
Egregor es una operación de ransomware como servicio que comenzó a operar a mediados de septiembre, justo cuando otro grupo de ransomware conocido como Maze comenzó a cerrar su operación. Los actores de amenazas que muchos ue se asociaron con Maze ahora están trabajando con Egregor.
Clarín también informó que las imprentas en numerosos puntos de venta en Chile y Argentina, como las tiendas de artículos para el hogar Easy, comenzaron a imprimir notas de rescate a medida que los dispositivos están encriptados.
Esta función es una "característica" conocida del software ransomware Egregor, que imprimirá automáticamente notas de rescate en las impresoras adjuntas después de que se hayan cifrado los archivos de un dispositivo. Para los ataques en toda la red, esto podría llevar a que se impriman miles de notas de rescate en toda la organización.
La nota de rescate no proporciona enlaces a pruebas de datos robados, pero Egregor tiene un historial de robo de archivos no cifrados antes de implementar su ransomware.
Egregor ha sido responsable de otros ataques de alto perfil en Crytek, Ubisoft y Barnes and Noble.
Ransomware Egregor
Egregor es probablemente la familia de ransomware más agresiva en términos de negociación con las víctimas. Solo da 72 horas para contactar al actor de la amenaza. De lo contrario, los datos de la víctima se procesan para su publicación. El pago del ransomware se negocia y acuerda a través de un chat especial asignado a cada víctima y el pago se recibe en BTC.
Como señalan en Securelist, esto tiene como objetivo convertir archivos potencialmente valiosos en los que se pueda escribir, como documentos o bases de datos que puedan haber estado en uso en el momento de la infección. Además, algunos programas que suelen utilizar los investigadores, por ejemplo, procmon o dumpcap, también se enumeran para su terminación para dificultar aún más el análisis dinámico.
Egregor utiliza un esquema de cifrado de archivos híbrido basado en el cifrado de flujo ChaCha y el cifrado asimétrico RSA. La clave pública maestra RSA-2048 de los delincuentes está incrustada en el cuerpo del troyano.
Cuando se ejecuta en la máquina de una víctima, Egregor genera un nuevo par único de claves RSA de sesión. La clave RSA privada de la sesión es exportada y cifrada por ChaCha con una clave generada de forma única más un nonce, luego la clave y el nonce son cifrados por la clave RSA pública maestra.
Los resultados se guardan en un archivo binario (en nuestro caso se llama C:\ProgramData\dtb.dat), así como una cadena codificada en Base64 en las notas de rescate.
Para cada archivo de datos que procesa Egregor, genera una nueva clave ChaCha de 256 bits y un nonce de 64 bits, cifra el contenido del archivo por ChaCha, luego los cifra usando la clave pública RSA de la sesión y los guarda junto con alguna información auxiliar al final del archivo cifrado.
Los últimos 16 bytes de cada archivo cifrado se componen de un marcador dinámico: un DWORD aleatorio y este mismo DWORD xor'ed con el valor 0xB16B00B5 que equivale a 'BIGBOOBS' en el llamado lenguaje leet, según Wikipedia.
La página principal del sitio web de filtración de datos contiene noticias sobre empresas atacadas recientemente junto con algunos comentarios sarcásticos escritos por el grupo de ransomware. La sección de archivos del sitio enumera las víctimas y los enlaces para descargar los datos robados.
Fuentes:
https://blog.segu-info.com.ar/2020/11/nuevo-ransomware-egregor-cencosud-jumbo.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.