Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1026
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
abril
(Total:
59
)
- 1,5 millones de contraseñas asociadas a correos de...
- Un argentino compró el dominio oficial de Google A...
- Vulnerabilidad en F5 BIG-IP en Kerberos Key Distri...
- Un error de Google permitía acceder a información ...
- Malware en MacOS gracias a una vulnerabilidad en G...
- Windows Defender bloqueará malware de minado de cr...
- Engañan a varios políticos europeos a través de vi...
- 250GB datos robados al Departamento de Policía Met...
- microCLAUDIA; vacuna contra el ransomware y otros ...
- Estudiante de Stanford encontró fallo en el sistem...
- ¿Qué es la MAC Address o dirección MAC Media?
- Oleada de ciberataques tumba las webs del INE, Jus...
- Actualizaciones de seguridad graves e importantes ...
- Microsoft presenta interfaz gráfica GUI de aplicac...
- Técnicas de ataque del ransomware Ryuk: víctimas; ...
- Rusia y su relación con el ransomware
- Herramientas para el análisis archivos de Microsof...
- Quanta, proveedor hardware de Apple, víctima del r...
- Mueren dos personas que circulaban en un Tesla sin...
- La Policía Española desmantela el primer taller il...
- Ataque Airstrike: bypass de BitLocker con escalada...
- Distribuyen malware en plantillas PDF maliciosos
- Estados Unidos sanciona direcciones de criptomoned...
- The Phone House España victima del grupo de ransom...
- Los Houston Rockets de la NBA, nueva victima del r...
- Hackean la web de Más Madrid y desvían 8.000 euros...
- Creador del Bitcoin, Satoshi Nakamoto, la 19ª pers...
- Informe del ransomware Clop
- Consejos para realizar copias de seguridad
- Error en WhatsApp permite desactivar y bloquear cu...
- Falsa oferta de trabajo de LinkedIn instala un tro...
- Troyano bancario IcedID: ¿el nuevo Emotet?
- ¿Qué es el "checksum" de un fichero bajado de inte...
- Ransomware: DoppelPaymer (BitPaymer)
- Finaliza concurso hacking Pwn2Own 2021
- journalctl; analizar logs del sistema en Linux
- Microsoft fabricará cascos de realidad aumentada p...
- Verifica si tu número de teléfono ha sido filtrado...
- Filtran información personal de 500 millones de us...
- ownCloud vs NextCloud crea tu propia nube personal
- XPEnology: el SO operativo DSM de Synology
- Alertan cheats contienen troyano en juegos como Ca...
- Monitorización Discos Duros HDD y unidades SSD con...
- Rendimiento memoria RAM DDR5 Vs DDR4
- Análisis ransomware Avaddon
- Detenido mafioso italiano tras ser reconocido en u...
- Asterisk: centralita Telefonía IP (VoIP) de código...
- Ejemplos útiles directivas de grupo de Windows 10
- Los números de teléfono y datos personales de 533 ...
- Completo Análisis del ransomware REvil (Sodinokibi)
- Usar Telegram cómo nube personal ilimitada
- Android envía 20 veces más datos a Google que iOS ...
- Hackearon 7 correos electrónicos de parlamentarios...
- Disponible distro hacking ético y pentester Parrot...
- Centro de Operaciones de Seguridad (SOC)
- Vulnerabilidades críticas en VMware vRealize Opera...
- Mes de la videovigilancia en Instant Byte: webinar...
- Google detuvo una operación antiterrorista en USA ...
- Proteger seguridad servidor NAS QNAP
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Completo Análisis del ransomware REvil (Sodinokibi)
The DFir Report publica en inglés un completo análisis del ransomware Sodinokibi (también conocido como REvil) ha sido uno de los grupos de ransomware como servicio (RaaS) más prolíficos en los últimos dos años. Se suponía que la familia de ransomware estaba detrás de la intrusión de Travelex y los informes actuales apuntan a un ataque contra Acer por la demanda de rescate más grande de un ataque de ransomware: 50 millones de dólares. Completo análisis Ransomware REvil (Sodinokibi) explica que utiliza el dropper IcedID, un documento macro xlsm que descarga gif ejecutable y utiliza la conocida herramienta de copias de seguridad rclone (inyectada en el proceso svchost) para exfiltrar datos, con un de tiempo total TTR (Time to Ransom) de 4,5h
Novedades Ransomware REvil
- Añadido arranque modo seguro con (safe-mode ) bcdedit /set {current} safeboot network
- Versión actualizada de PowerShell
- Centro de llamadas organizado (callcenter) para víctimas.
- Servidores DDoS configurados (L3-L7)
- Usar medios de comunicación para conseguir mayor confianza y miedo
Resumen rápido infección
En marzo, los investigadores de DFIR Report observaron una intrusión que comenzó con spam que envió el troyano IcedID (Bokbot) y posteriormente permitió el acceso a un grupo que distribuía el ransomware Sodinokibi. Durante la intrusión, los actores de la amenaza elevaron los privilegios al Administrador de dominio, extrajeron datos y utilizaron Sodinokibi para secuestrar todos los sistemas unidos al dominio. El siguiente análisis fue realizado a una de las empresas víctimas y explica el minuto a minuto de la ejecución de REvil en la red infectada.
El troyano IcedID se descubrió por primera vez en 2017 y actualmente funciona como un agente de acceso inicial para varias familias de ransomware. En este ataque, los delincuentes aprovecharon el spam para distribuir archivos XLSM que, al abrir y habilitar las macros, iniciaba un comando WMIC para ejecutar el troyano IcedID desde un ejecutable remoto que se hacía pasar por una imagen GIF.
La persistencia se configuró mediante una tarea programada y los comandos de descubrimiento se iniciaron desde el malware a los pocos minutos de su ejecución. Aproximadamente una hora y media después del acceso inicial, el malware instaló Cobalt Strike Beacons de 2 servidores de comando y control diferentes, que se utilizaron durante la intrusión. Una vez que se establecieron los Cobalt Strike Beacons, comenzó el movimiento lateral, primero a un servidor Exchange y luego a otros servidores.
Después de comprometer el servidor de Exchange, los atacantes se trasladaron a controladores de dominio y otros sistemas dentro del entorno utilizando SMB y PowerShell Beacons ejecutados a través de un servicio remoto. Los atacantes fueron ligeramente ralentizados por antivirus, que eliminó un par de balizas, pero los atacantes finalmente lo evitaron usando una variación de su técnica de movimiento lateral.
Luego, se ejecutó un descubrimiento adicional desde el controlador de dominio mediante AdFind y la utilidad Ping para probar las conexiones entre el controlador de dominio y otros sistemas unidos al dominio. Una vez que se completó el descubrimiento, las credenciales se volcaron de LSASS. Después de completar estas tareas, los actores de amenazas comenzaron a establecer conexiones RDP entre varios sistemas en el dominio.
Tres horas y media después de la intrusión, utilizaron Rclone, disfrazado de un ejecutable svchost, para recopilar y exfiltrar el contenido de los recursos compartidos de la red para su uso en una demanda de doble extorsión.
A las cuatro horas, los actores de la amenaza comenzaron a avanzar hacia los objetivos finales. Organizaron el ejecutable del ransomware en un controlador de dominio y luego usaron BITSAdmin para descargarlo en cada sistema del dominio. Después de eso, usaron RDP para abrir un proceso cmd o PowerShell para luego ejecutar el ransomware Sodinokibi usando un modo de bandera particular, que cuando se ejecutó, escribió un par de claves de registro RunOnce y luego reinició inmediatamente el sistema en Modo seguro con funciones de red. El cifrado no se inició inmediatamente después del reinicio, pero requirió que un usuario iniciara sesión, que en este caso los actores de amenazas completaron iniciando sesión después del reinicio.
El inicio en modo seguro con funciones de red bloqueó el inicio de herramientas de seguridad y otros agentes de administración. La conexión en red funcionaba, pero debido a que los servicios no se pudieron iniciar, no es posible administrar los sistemas de forma remota con las herramientas habituales. Este proceso habría impedido que algunos agentes de EDR se iniciaran y posiblemente detectaran la ejecución del ransomware.
En ciertos sistemas, el ransomware se ejecutó sin la marca -smode, y en otros sistemas se ejecutó un DLL a través de rundll32 para cifrar el sistema sin necesidad de reiniciar y permitir que los actores de la amenaza permanezcan presentes mientras se completa el proceso de cifrado.
Aproximadamente 4,5 horas después del acceso inicial, los actores de la amenaza habían completado su misión de cifrar todos los sistemas unidos al dominio. La nota de ransomware dejada por la infección incluía un enlace a su sitio en Tor que ponía el precio del descifrado en alrededor de U$S 200k si se pagaba dentro de los 7 días. Después de los 7 días, el precio sube a alrededor de U$S 400,000. El rescate debe pagarse en Monero en lugar del Bitcoin habitual. Esto puede ser en un esfuerzo por proteger mejor los pagos de actividades de rastreo como las que realiza Chainaylsis. Los actores de la amenaza se identificaron en su sitio como Sodinokibi y se vincularon a un blog de Coveware para garantizar que, si se les paga, su descifrado sería exitoso.
Historia del ransomware REvil
- Revil fue el primer ransomware en ofrecer un nuevo método de extorsión: publicar y ahora (Junio 2020) incluso subastar los datos de las víctimas utilizando la criptomoneda Monero
El ransomware REvil se anunció por primera vez en un foro de cibercrimen en ruso en junio de 2019. El actor principal asociado con la publicidad y la promoción del ransomware REvil se llama Unknown, también conocido como UNKN. El RaaS se opera como un servicio afiliado, donde los afiliados propagan el malware mediante la adquisición de víctimas y los operadores REvil mantienen el malware y la infraestructura de pago. Los afiliados reciben del 60% al 70% del pago del rescate.
Debido al código fuente y las similitudes de comportamiento entre REvil y GandCrab, se sugirió que podría haber una conexión que vincule a los desarrolladores de las dos familias de ransomware. Además de las similitudes en el código, la evidencia complementaria que une a GandCrab y REvil es que GandGrab oficialmente se "retiró" justo antes de que REvil apareciera. REvil se mantiene activamente y se encuentra en constante desarrollo.
Ransomware GandCrab
Tras un año y medio de funcionamiento y más de 1,2 millones de víctimas en todo el mundo, especialmente en América Latina, en junio de 2019 los desarrolladores de GandCrab publicaron en un foro de DarkNet que difunde RaaS, que ya no iban a continuar con el proyecto y que todas las víctimas tenian dos meses para pagar, sino iban a perder sus archivos para siempre, pues iban a borrar todas las llaves. Se calcula que el ransomware GandCrab es responsable del 40% de las infecciones de ransomware a nivel mundial.
Pero el 15 de Julio de 2019 el FBI hizo publicó que tenía las llaves maestras de descifrado de las versiones 4 y superiores de este malware, a través de un comunicado oficial que indica que las llaves se trabajaron en colaboración con BitDefender y que iban a ser publicadas en el proyecto nomoreransom.org.
Con la colaboración de diferentes agencias de seguridad, el FBI ha liberado finalmente las claves maestras de descifrado para las versiones 4, 5, 5.0.4, 5.1, y 5.2 de GandCrab.
Los actores detrás de REvil incluyen su clave pública maestra en todos los binarios de REvil. Por lo tanto, pueden descifrar los archivos independientemente de los afiliados que ejecutan las campañas.
Los cibercriminales detrás de la oferta de ransomware como servicio (RaaS) de GandCrab anunciaron recientemente que estaban cerrando la tienda y retirándose después de que supuestamente obtuvieron más de $ 2 mil millones en pagos de extorsión de las víctimas.
Unknown (UNKN) dijo que estaba prohibido instalar la nueva cepa de ransomware en cualquier computadora en la Comunidad de Estados Independientes (CEI), que incluye Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Turkmenistán, Ucrania y Uzbekistán.
Si el "Keyboard language" del sistema corresponde a cualquier valor del siguiente listado, la ejecución del ransomware se detiene sin realizar ninguna acción
- 0x818 – Romanian (Moldova)
- 0x419 – Russian
- 0x819 – Russian (Moldova)
- 0x422 – Ukrainian
- 0x423 – Belarusian
- 0x425 – Estonian
- 0x426 – Latvian
- 0x427 – Lithuanian
- 0x428 – Tajik
- 0x429 – Persian
- 0x42B – Armenian
- 0x42C – Azeri
- 0x437 – Georgian
- 0x43F – Kazakh
- 0x440 – Kyrgyz
- 0x442 –Turkmen
- 0x443 – Uzbek
- 0x444 – Tatar
- 0x45A – Syrian
- 0x2801 – Arabic (Syria)
La prohibición contra la propagación de malware en los países de la CEI ha sido durante mucho tiempo un elemento básico de varios programas de afiliados de pago por instalación que son operados por delincuentes que residen en esas naciones. La idea aquí, es no es atraer la atención de la policía local que responde a las quejas de las víctimas (y / o tal vez mantenerse fuera del radar de las autoridades fiscales y los extorsionistas en sus ciudades de origen).
También se descubrió que Sodinokobi / REvil también incluye a otra nación en su lista de países que los afiliados deberían evitar infectar: Siria. Curiosamente, las últimas versiones de GandCrab dieron el mismo paso inusual.
Revil fue el primer ransomware en ofrecer un nuevo método de extorsión: publicar y ahora incluso subasta los datos de las víctimas
Métodos que utiliza REvil para conectarse a las víctimas:
- ADRecon [https://github.com/sense-of-security/ADRecon]
- CrackMapExec [https://github.com/maaaaz/CrackMapExecWin]
- ghost [https://github.com/ginuerzh/gost]
- impacket secretsdump [https://github.com/maaaaz/impacket-examples-windows/blob/master/secretsdump.exe]
- mimikatz [https://github.com/gentilkiwi/mimikatz]
- PentestBox with Metasploit [https://pentestbox.org]
- plink.exe [https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html]
- PowerSploit [https://github.com/PowerShellMafia/PowerSploit]
- Proxifier [https://www.proxifier.com]
- PsTools (PsExec)
Pero, ¿qué es REVil y hasta qué punto son verdaderamente peligrosos? El colectivo no es demasiado conocido entre el ciudadano medio, pero sí dentro del sector de la ciberseguridad: se trata de un grupo de cibercriminales con un breve pero peligroso historial delictivo.
- Madonna, Lebron James y Lady Gaga
Su acción más conocida tuvo lugar hace apenas dos meses, en mayo de 2020. Fue entonces cuando entraron en los sistemas de la firma Grubman Shire Meiselas & Sacks, que representa a artistas como Lady Gaga, Madonna o Bruce Springsteen, y robaron 756 GB de material privado sobre la artista neoyorquina, además de, supuestamente, ingente material sobre Donald Trump.
El grupo pidió un rescate de 21 millones de dólares a cambio de no publicar la información sustraída, pero el despacho se negó a pagar, lo que hizo que REVil subiese aún más su petición de rescate: hasta los 42 millones de dólares. Ante la nueva negativa, publicaron parte de la información y subastaron el resto.
La subasta de datos robados es práctica habitual de este grupo, según asegura a Teknautas Brett Callow, de Emsisoft, aunque en este caso "amenazan con publicar los datos en lugar de subastarlos. Eso podría ser porque no creen que los datos tengan un valor de mercado significativo... o porque sí que planean subastarlos pero han redactado su escrito de manera descuidada".
Respecto a las posibles identidades de los integrantes de REVil, Callow asegura que "la evidencia sugiere una posible conexión entre ellos y GandCrab [otro grupo de ciberdelincuentes, ahora presumiblemente retirados] y que podrían estar en Rusia o en otro país de la Comunidad de Estados Independientes" (Bielorrusia, Ucrania, Armenia, Azerbaiyán, Kazajistán, Kirguistán, Moldavia, Tayikistán, Turkmenistán o Uzbekistán).
"No hay que pagar rescates"
En cuanto a las posibles condiciones que REVil pudiera imponer a Adif para no hacer pública toda su información sensible, Callow es tajante: "Europol y otros organismos encargados de hacer cumplir la ley han aconsejado sistemáticamente que no se pague rescates, y ese es el mejor consejo. La única forma de detener los ataques de 'ransomware' es hacer que no sean rentables, y eso significa que las empresas deben dejar de pagarlos".Así pues, en su opinión, "en casos de robo de datos, las compañías no tienen una buena opción: han sido violadas y pagar no cambia ese hecho. Incluso si pagan, simplemente recibirán una 'promesa de meñique' de que los delincuentes eliminarán su copia de los datos, y esa promesa, obviamente, no tiene mucho peso".
- Adif anunció en 2019 que instalaría un sistema contra ciberataques para proteger el AVE y los trenes españoles La entidad pública busca más seguridad y protección frente a ataques deliberados que puedan poner en riesgo la continuidad de los servicios
Adif (Administrador de Infraestructuras Ferroviarias) formalizó un contrato para proteger la infraestructura ferroviaria española frente a ciberataques que puedan poner en peligro el servicio de la red de trenes y ferrocarriles nacional.
Se trata de la adquisición de un conjunto de servidores específicamente desarrollados para trabajar con el Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN-CERT).
"Los incidentes de seguridad a los que están expuestos los sistemas de la Administración Pública española son cada día más numerosos y, a través de Internet, más fáciles de llevarse a cabo y de propagarse. Código dañino y/o espía instalado en los equipos de un organismo, gusanos que intentan extenderse por la red -como el ransomware WannaCry- y comunicarse con servidores externos para enviar información o para destruir o modificar datos almacenados, ataques contra los servicios web de un ente público… En general, este tipo de ataques y especialmente los de código dañino han experimentado un crecimiento exponencial en los últimos años (..) Ya no basta con responder y gestionar el incidente una vez se ha producido, sino que es necesaria una labor proactiva que permita actuar antes de que el ataque haya penetrado en los sistemas o, por lo menos, detectarlo en un primer momento para reducir su impacto", explica el CCN-CERT.
En 2019 empresas como Everis y Prisa Radio fueron víctimas de un ataque de ransomware que dejó paralizados sus equipos. En octubre, Ryuk, un ransomware de origen ruso, dejó inhabilitados los Ayuntamientos de Jerez de la Frontera y Bilbao, y en junio, un ransomware conocido como Silex hackeó miles de dispositivos como cámaras de vigilancia, cerraduras, bombillas, termostatos, routers o webcams, dejándolos inutilizables.
Fuente en inglés:
Fuente en español:
https://blog.segu-info.com.ar/2021/03/analisis-de-ransomware-sodinokibi-revil.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.