Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Ransomware REvil afirma en una entrevista haber ganado más de 100 millones dólares con la extorsión


Se ha realizado una entrevista en Ruso a un colaborador del malware REvil. En la entrevista han hablando de los beneficios económicos increíbles  $ 100,000,000 USD al año  del ransomware principalmente de origen ruso. De hecho éste mismo año, otros como el ransomware NetWalker han ganado más de 25 millones de dólares desde marzo de 2020. El grupo REvil  logró con éxito el ataque ransomware a la empresa ADIF con más de 800GB datos secuestrados. También se afirma que REvil ransomware hackeó la empresa de juegos Gaming Partners International robando 540GB de datos confidenciales.



Recientemente, uno de los miembros líderes de la pandilla que se conecta en línea con el apodo de UNKN, anunció en una entrevista con Yelisey Boguslavskiy que estaban planeando un ataque contra una organización prominente en la red de juegos.

  • Una entrevista con "UNKN" arroja luz sobre las operaciones de REvil y las futuras víctimas

Conclusiones clave:


  • REvil cree que el ransomware como tendencia se moverá por completo hacia la extracción de datos y no simplemente hacia la negación de datos.
  • REvil afirma ser absolutamente apolítico y totalmente monetario. El caso Grubman Shire Meiselas & Sacks también fue totalmente lucrativo, aunque resultó tener un componente político.
  • UNKN anunció que están preparando un gran ataque contra una importante empresa de desarrollo de juegos que pronto se anunciará. También han confirmado su responsabilidad en el ataque a BancoEstado Chileno de este mes de septiembre.
  •  UNKN confirmó que el RDP de fuerza bruta sigue siendo el mejor vector de ataque, especialmente con la vulnerabilidad BlueGate RDP que, según predicen, hará un cambio masivo en la cantidad de posibles ataques RDP, así como los ataques SunCrypt DDoS.


El 23 de octubre de 2020, un canal de YouTube de blogs de tecnología de habla rusa, "Russian OSINT", publicó una entrevista con uno de los representantes del sindicato de ransomware REvil: "UNKN" / "Unknown". Una entrevista de veinte minutos cubre temas importantes como víctimas, tácticas y estrategias empleadas por REvil. Si bien parte de la información compartida por UNKN ya ha estado disponible, un énfasis particular hecho por el representante de REvil brinda una mejor comprensión de su visión y enfoque.


A continuación se muestra el resumen de AdvIntel de la entrevista en 10 puntos esenciales.


Vista previa de la entrevista "Russian OSINT" Chanel, Revil


1. REvil

UNKN dice que el nombre REvil significa Ransomware (R) Evil. El nombre fue elegido en asociación con la franquicia Resident Evil. Afirman generar ingresos de $ 100,000,000 USD al año con el objetivo de lograr al menos $ 1 mil millones, idealmente $ 2 mil millones de dólares. Los miembros del grupo nunca viajan.

2. El futuro del ransomware

Posiblemente, la revelación más importante aportada por UNKN es su confianza en que el ransomware como tendencia se moverá por completo hacia la extracción de datos y no simplemente hacia la negación. Según REvil, la amenaza de publicar información sensible y los riesgos que enfrentan las empresas en caso de fuga de datos genera muchos más ingresos que el descifrado se está convirtiendo simplemente en una herramienta auxiliar. En el futuro, UNKN cree que los líderes del mercado de ransomware, como ellos mismos y Maze, se centrarán por completo en la exfiltración de datos para obtener un rescate.

En un comentario separado, UNKN también señaló que los grupos de ransomware no tienen iniciativas para desarrollar casilleros para plataformas IOS / Android, así como otras plataformas móviles que son ideales para la explotación bancaria pero no ransomware. “No hay nada que cifrar / filtrar” (en los teléfonos) para que las víctimas paguen el rescate. “¿Qué hay que cifrar? (en teléfonos) ¿Fotos de ti comiendo matzá? " - concluyeron.


3. Victimología

Según UNKN, el 33% de sus víctimas estaban dispuestas a pagar el rescate para evitar la publicación de sus archivos. Consideran que los riesgos a los que se enfrentarán las víctimas en caso de fuga de datos son tremendamente superiores al precio que pide el sindicato por el silencio. El representante hizo referencia a Travelex en múltiples ocasiones, ya que el grupo considera a esta empresa como un caso de estudio en el que la disminución del pago conduce a pérdidas financieras fatales.

Cuando se le preguntó sobre sus ataques más exitosos, REvil nombró a las tres víctimas que consideraron el mayor logro.

  1. Travelex (enero de 2020)
  2. Grubman Shire Meiselas & Sacks (mayo de 2020)
  3. 23 municipios de Texas (agosto de 2019)


Además, con los ataques Grubman y Travelex, REvil afirmó haber sido capaz de infiltrarse explotando una vulnerabilidad muy básica de Citrix que “podría haberse evitado con un simple parche”. Para Grubman Shire Meiselas & Sacks, REvil afirma que los archivos filtrados finalmente fueron comprados por un tercero desconocido. Según el sindicato, los archivos contenían información sobre empresas afiliadas a Trump y sus esquemas de evasión fiscal.

REvil agregó que prometen descifrar siempre los archivos después de que se pague el rescate, ya que de lo contrario perderán su reputación y publicidad. UNKN confirmó que hubo al menos 12 ocasiones en las que la víctima aplicó software para descifrar los archivos de forma permanente haciéndolos indescriptibles. El sindicato no exigió dinero en estos casos.


4. Responsabilidad de BancoEstado

REvil atestiguó que son los únicos responsables del ataque de ransomware de BancoEstado que ocurrió en septiembre de 2020. BancoEstado es uno de los bancos más grandes de Chile; el ataque de septiembre hizo que la empresa cerrara temporalmente la mayoría de sus sucursales y provocó una interrupción significativa del negocio.


5. Nuevos ataques

UNKN anunció que están preparando un gran ataque contra una importante empresa de desarrollo de juegos que pronto se anunciará. Cuando se les preguntó sobre las víctimas de ataques más rentables, mencionaron a los proveedores de MSP y TI, compañías de seguros, legales y de fabricación, y especialmente a la agricultura como sus mejores objetivos futuros.


6. Relación con la competencia REvil siempre está abierto al diálogo con los competidores, especialmente con Maze, el representante afirma que los dos sindicatos llevan a cabo negociaciones constantes.


7. Estructura del equipo

Según la entrevista, el equipo de desarrolladores de REvil es probablemente de menos de diez personas, al mismo tiempo, UNKN afirma que el número pentesters es superior a diez. Además, el grupo tiene sus propias "tropas de choque": individuos del equipo central que realizan todo el ciclo de vida de una operación de ransomware + exfiltración de datos en ocasiones especiales. Sin embargo, la mayoría de las operaciones son realizadas por afiliados o anuncios que difunden la carga útil y navegan por las redes de las víctimas. REvil apoya sus anuncios siendo responsable de llevar a cabo las negociaciones con las víctimas, presionar e intimidar a la víctima y proporcionar la carga útil.


8. Sin política involucrada


REvil afirma ser absolutamente apolítico y totalmente monetario. El caso Grubman Shire Meiselas & Sacks también fue totalmente lucrativo, aunque resultó tener un componente político. “No nos importa quién se convertirá en el próximo presidente (de EE. UU.)”, Dice UNKN. REvil cree que esta es la razón por la que nunca fueron contactados por ninguna oficina de inteligencia local que opera en el país en el que tiene su sede el sindicato.


9. Ventajas competitivas


Cuando se le preguntó acerca de la ventaja competitiva que atrae a afiliados talentosos, UNKN menciona varios aspectos: un enfoque selectivo y dirigido a los ataques, un mejor modelo de negocios y un enfoque muy serio para el reclutamiento, así como la intención manifiesta de invertir en los recién llegados. REvil cree que la escena del rescate está ahora "llena de profesionales", saturada de personas con gran habilidad y, por lo tanto, eligieron cultivar nuevos talentos. Según ellos, el crecimiento puede ser extremadamente rápido. UNKN hizo referencia al caso de un grupo que aumentó el pago de su rescate de $ 20,000 USD $ 30,000 USD por víctima a $ 7 millones de USD por víctima en medio año.


10. Vector de ataque

UNKN confirmó que el RDP de fuerza bruta sigue siendo el mejor vector de ataque, especialmente con la vulnerabilidad BlueGate RDP que, según predicen, hará un cambio masivo en la cantidad de posibles ataques RDP, así como los ataques SunCrypt DDoS.


Conclusión:

REvil aumentó significativamente su presencia pública y se volvió muy comunicativo con las comunidades subterráneas y no subterráneas por igual. Es probable que esta tendencia continúe, ya que concuerda con los perfiles de identidad psicológica y criminal del grupo. Es posible que esperemos que UNKN comparta más información en el futuro, lo que nos permitirá comprender mejor este sindicato y sus futuros ataques.

En cuanto a la recomendación de mitigación, considerando el énfasis que REvil pone en la fuerza bruta RDP, complicando el acceso al protocolo de escritorio remoto (RDP), al emplear una política de contraseña sólida y autenticación multifactor, así como autenticación de hardware, puede convertirse en una base de prevención efectiva. REvil a menudo explota vulnerabilidades simples como admitieron en el caso de Travelex. Las actualizaciones y parches regulares pueden reducir los riesgos planteados.


REvil ransomware hackeó la empresa de juegos Gaming Partners International


Los operadores de ransomware REvil volvieron a aparecer en los titulares, esta vez afirman haber pirateado Gaming Partners International (GPI).

Gaming Partners International (GPI) es un proveedor de servicio completo de muebles y equipos de juego para casinos en todo el mundo. La banda de ransomware REvil (también conocida como Sodinokibi) afirma haber robado información de los sistemas de la empresa antes de cifrarlos

La banda de delitos informáticos publicó algunas capturas de pantalla que muestran directorios y archivos de los sistemas de la empresa vulnerada.

Gaming Partners International (GPI)



Fuente Databreaches.net


El mensaje publicado por la banda de ransomware amenaza con liberar los datos robados si la empresa no paga el rescate dentro de las 72 horas. Los piratas informáticos afirman haber robado 540 Gb de documentos técnicos y financieros robados de la empresa.

“Absolutamente todos los servidores y computadoras en funcionamiento de la empresa están pirateados y encriptados. Hubo una gran fuga de datos de 540Gb de la información más importante de la empresa, datos técnicos, documentos financieros, contratos con ALL CASINO en LAS-VEGAS, MACAO, EUROPE, documentos bancarios ”. lee el mensaje publicado por los operadores de ransomware.


La lista de víctimas de la banda de ransomware REvil es larga e incluye Travelex con sede en Londres, el bufete de abogados de las estrellas, Grubman Shire Meiselas & Sacks (GSMLaw), el bufete de abogados Seyfarth Shaw y el proveedor estadounidense de software de entrega de video. soluciones, SeaChange International.

Historia del ransomware REvil


  • Revil fue el primer ransomware en ofrecer un nuevo método de extorsión: publicar y ahora (Junio 2020) incluso subastar los datos de las víctimas utilizando la criptomoneda Monero


El ransomware REvil se anunció por primera vez en un foro de cibercrimen en ruso en junio de 2019. El actor principal asociado con la publicidad y la promoción del ransomware REvil se llama Unknown, también conocido como UNKN. El RaaS se opera como un servicio afiliado, donde los afiliados propagan el malware mediante la adquisición de víctimas y los operadores REvil mantienen el malware y la infraestructura de pago. Los afiliados reciben del 60% al 70% del pago del rescate.

Debido al código fuente y las similitudes de comportamiento entre REvil y GandCrab, se sugirió que podría haber una conexión que vincule a los desarrolladores de las dos familias de ransomware. Además de las similitudes en el código, la evidencia complementaria que une a GandCrab y REvil es que GandGrab oficialmente se "retiró" justo antes de que REvil apareciera. REvil se mantiene activamente y se encuentra en constante desarrollo.

Ransomware GandCrab


Tras un año y medio de funcionamiento y más de 1,2 millones de víctimas en todo el mundo, especialmente en América Latina, en junio de 2019 los desarrolladores de GandCrab publicaron en un foro de DarkNet que difunde RaaS, que ya no iban a continuar con el proyecto y que todas las víctimas tenian dos meses para pagar, sino iban a perder sus archivos para siempre, pues iban a borrar todas las llaves. Se calcula que el ransomware GandCrab es responsable del 40% de las infecciones de ransomware a nivel mundial.



Pero el 15 de Julio de 2019 el FBI hizo publicó que tenía las llaves maestras de descifrado de las versiones 4 y superiores de este malware, a través de un comunicado oficial que indica que las llaves se trabajaron en colaboración con BitDefender y que iban a ser publicadas en el proyecto nomoreransom.org

Con la colaboración de diferentes agencias de seguridad, el FBI ha liberado finalmente las claves maestras de descifrado para las versiones 4, 5, 5.0.4, 5.1, y 5.2 de GandCrab.



Los actores detrás de REvil incluyen su clave pública maestra en todos los binarios de REvil. Por lo tanto, pueden descifrar los archivos independientemente de los afiliados que ejecutan las campañas.

Los cibercriminales detrás de la oferta de ransomware como servicio (RaaS) de GandCrab anunciaron recientemente que estaban cerrando la tienda y retirándose después de que supuestamente obtuvieron más de $ 2 mil millones en pagos de extorsión de las víctimas.

Unknown (UNKN) dijo que estaba prohibido instalar la nueva cepa de ransomware en cualquier computadora en la Comunidad de Estados Independientes (CEI), que incluye Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Turkmenistán, Ucrania y Uzbekistán.

Si el "Keyboard language" del sistema corresponde a cualquier valor del siguiente listado, la ejecución del ransomware se detiene sin realizar ninguna acción


  • 0x818 – Romanian (Moldova)
  • 0x419 – Russian
  • 0x819 – Russian (Moldova)
  • 0x422 – Ukrainian
  • 0x423 – Belarusian
  • 0x425 – Estonian
  • 0x426 – Latvian
  • 0x427 – Lithuanian
  • 0x428 – Tajik
  • 0x429 – Persian
  • 0x42B – Armenian
  • 0x42C – Azeri
  • 0x437 – Georgian
  • 0x43F – Kazakh
  • 0x440 – Kyrgyz
  • 0x442 –Turkmen
  • 0x443 – Uzbek
  • 0x444 – Tatar
  • 0x45A – Syrian
  • 0x2801 – Arabic (Syria)


La prohibición contra la propagación de malware en los países de la CEI ha sido durante mucho tiempo un elemento básico de varios programas de afiliados de pago por instalación que son operados por delincuentes que residen en esas naciones. La idea aquí, es no es atraer la atención de la policía local que responde a las quejas de las víctimas (y / o tal vez mantenerse fuera del radar de las autoridades fiscales y los extorsionistas en sus ciudades de origen).

También se descubrió que Sodinokobi / REvil también incluye a otra nación en su lista de países que los afiliados deberían evitar infectar: ​​Siria. Curiosamente, las últimas versiones de GandCrab dieron el mismo paso inusual.



Revil fue el primer ransomware en ofrecer un nuevo método de extorsión: publicar y ahora incluso subasta los datos de las víctimas

Métodos que utiliza REvil para conectarse a las víctimas:

  • ADRecon [https://github.com/sense-of-security/ADRecon]
  • CrackMapExec [https://github.com/maaaaz/CrackMapExecWin]
  • ghost [https://github.com/ginuerzh/gost]
  • impacket secretsdump [https://github.com/maaaaz/impacket-examples-windows/blob/master/secretsdump.exe]
  • mimikatz [https://github.com/gentilkiwi/mimikatz]
  • PentestBox with Metasploit [https://pentestbox.org]
  • plink.exe [https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html]
  • PowerSploit [https://github.com/PowerShellMafia/PowerSploit]
  • Proxifier [https://www.proxifier.com]
  • PsTools (PsExec)


Pero, ¿qué es REVil y hasta qué punto son verdaderamente peligrosos? El colectivo no es demasiado conocido entre el ciudadano medio, pero sí dentro del sector de la ciberseguridad: se trata de un grupo de cibercriminales con un breve pero peligroso historial delictivo.


  • Madonna, Lebron James y Lady Gaga


Su acción más conocida tuvo lugar hace apenas dos meses, en mayo de 2020. Fue entonces cuando entraron en los sistemas de la firma Grubman Shire Meiselas & Sacks, que representa a artistas como Lady Gaga, Madonna o Bruce Springsteen, y robaron 756 GB de material privado sobre la artista neoyorquina, además de, supuestamente, ingente material sobre Donald Trump.

El grupo pidió un rescate de 21 millones de dólares a cambio de no publicar la información sustraída, pero el despacho se negó a pagar, lo que hizo que REVil subiese aún más su petición de rescate: hasta los 42 millones de dólares. Ante la nueva negativa, publicaron parte de la información y subastaron el resto.

Un mes antes, en abril, la víctima de REVil fue la compañía de divisas Travelex, que vio infectados todos sus sistemas a través del 'ransomware' homónimo del grupo. En este caso, el más grave hasta la fecha, la compañía acabó sucumbiendo y pagó los 2,3 millones de dólares a modo de rescate de su información, frente a los 6 millones que exigieron los ciberdelincuentes.

La subasta de datos robados es práctica habitual de este grupo, según asegura a Teknautas Brett Callow, de Emsisoft, aunque en este caso "amenazan con publicar los datos en lugar de subastarlos. Eso podría ser porque no creen que los datos tengan un valor de mercado significativo... o porque sí que planean subastarlos pero han redactado su escrito de manera descuidada".
Respecto a las posibles identidades de los integrantes de REVil, Callow asegura que "la evidencia sugiere una posible conexión entre ellos y GandCrab [otro grupo de ciberdelincuentes, ahora presumiblemente retirados] y que podrían estar en Rusia o en otro país de la Comunidad de Estados Independientes" (Bielorrusia, Ucrania, Armenia, Azerbaiyán, Kazajistán, Kirguistán, Moldavia, Tayikistán, Turkmenistán o Uzbekistán).

"No hay que pagar rescates"

En cuanto a las posibles condiciones que REVil pudiera imponer a Adif para no hacer pública toda su información sensible, Callow es tajante: "Europol y otros organismos encargados de hacer cumplir la ley han aconsejado sistemáticamente que no se pague rescates, y ese es el mejor consejo. La única forma de detener los ataques de 'ransomware' es hacer que no sean rentables, y eso significa que las empresas deben dejar de pagarlos".

Así pues, en su opinión, "en casos de robo de datos, las compañías no tienen una buena opción: han sido violadas y pagar no cambia ese hecho. Incluso si pagan, simplemente recibirán una 'promesa de meñique' de que los delincuentes eliminarán su copia de los datos, y esa promesa, obviamente, no tiene mucho peso".

  • Adif anunció en 2019 que instalaría un sistema contra ciberataques para proteger el AVE y los trenes españoles La entidad pública busca más seguridad y protección frente a ataques deliberados que puedan poner en riesgo la continuidad de los servicios

Adif (Administrador de Infraestructuras Ferroviarias) formalizó un contrato para proteger la infraestructura ferroviaria española frente a ciberataques que puedan poner en peligro el servicio de la red de trenes y ferrocarriles nacional.

Se trata de la adquisición de un conjunto de servidores específicamente desarrollados para trabajar con el Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN-CERT).

"Los incidentes de seguridad a los que están expuestos los sistemas de la Administración Pública española son cada día más numerosos y, a través de Internet, más fáciles de llevarse a cabo y de propagarse. Código dañino y/o espía instalado en los equipos de un organismo, gusanos que intentan extenderse por la red -como el ransomware WannaCry- y comunicarse con servidores externos para enviar información o para destruir o modificar datos almacenados, ataques contra los servicios web de un ente público… En general, este tipo de ataques y especialmente los de código dañino han experimentado un crecimiento exponencial en los últimos años (..) Ya no basta con responder y gestionar el incidente una vez se ha producido, sino que es necesaria una labor proactiva que permita actuar antes de que el ataque haya penetrado en los sistemas o, por lo menos, detectarlo en un primer momento para reducir su impacto", explica el CCN-CERT.

En 2019 empresas como Everis y Prisa Radio fueron víctimas de un ataque de ransomware que dejó paralizados sus equipos. En octubre, Ryuk, un ransomware de origen ruso, dejó inhabilitados los Ayuntamientos de Jerez de la Frontera y Bilbao, y en junio, un ransomware conocido como Silex hackeó miles de dispositivos como cámaras de vigilancia, cerraduras, bombillas, termostatos, routers o webcams, dejándolos inutilizables.

Recomendaciones para evitar ser víctima de un ataque de Ransomware


  • -Actualiza temprano y con frecuencia: muchos ataques de ransomware aprovechan fallos de seguridad conocidas en servidores y escritorios.
  • -Deshabilita RDP: abreviatura de Remote Desktop Protocol, esta característica de Windows permite que un sistema se administre de forma remota a través de Internet. Un número ridículo de empresas, en particular los proveedores de atención médica, son atacadas con ransomware porque dejan RDP abierto en Internet y protegido con contraseñas fáciles de adivinar. Y hay una serie de servicios criminales que venden el acceso a las instalaciones de RDP con fuerza bruta.
  • -Filtrar todo el correo electrónico (Phishing): invierta en sistemas de seguridad que puedan bloquear archivos ejecutables en la puerta de enlace de correo electrónico.
  • -Aislar sistemas y datos de misión crítica: esto puede ser más difícil de lo que parece. Puede valer la pena contratar una empresa de seguridad competente para asegurarse de que esto se haga correctamente.
  • Copia de seguridad de archivos y bases de datos clave: tenga en cuenta que el ransomware puede cifrar cualquier red o archivos o carpetas basados ​​en la nube que estén asignados y se les haya asignado una letra de unidad. Hacer una copia de seguridad en un sistema secundario que no tiene asignada una letra de unidad o está desconectado cuando no está haciendo una copia de seguridad de los datos es clave. Aquí entra en juego la antigua regla de copia de seguridad "3-2-1": siempre que sea posible, mantenga tres copias de seguridad de sus datos, en dos tipos de almacenamiento diferentes, con al menos una copia de seguridad fuera del sitio.
  • -Desactivar macros en Microsoft Office: bloquear contenido externo en archivos de Office. Informe a los usuarios que el ransomware a menudo tiene éxito solo cuando un usuario abre archivos adjuntos de Office enviados por correo electrónico y habilita manualmente las macros.
  • Habilita el acceso controlado a la carpeta: cree reglas para no permitir la ejecución de archivos ejecutables en Windows desde carpetas de perfil de usuario locales ( (App Data, Local App Data, ProgramData, Temp, etc)
  • Deshabilita wscript (Windows Script Host) que permite la ejecución de ficheros con extensión .js,.vbs, wsf, wsh, hta.

¿Cómo evitar o prevenir infección de cualquier Ransomware?

  1. Habilitar el acceso controlado a las carpetas
  2. Herramientas específicas Anti-ransomware
  3. Desactivar Windows Script Host
  4. Desactivar macros Microsoft Office
  5. Evitar que los usuarios ejecuten Powershell a través de GPO
Fuentes:

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.