Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
abril
(Total:
59
)
- 1,5 millones de contraseñas asociadas a correos de...
- Un argentino compró el dominio oficial de Google A...
- Vulnerabilidad en F5 BIG-IP en Kerberos Key Distri...
- Un error de Google permitía acceder a información ...
- Malware en MacOS gracias a una vulnerabilidad en G...
- Windows Defender bloqueará malware de minado de cr...
- Engañan a varios políticos europeos a través de vi...
- 250GB datos robados al Departamento de Policía Met...
- microCLAUDIA; vacuna contra el ransomware y otros ...
- Estudiante de Stanford encontró fallo en el sistem...
- ¿Qué es la MAC Address o dirección MAC Media?
- Oleada de ciberataques tumba las webs del INE, Jus...
- Actualizaciones de seguridad graves e importantes ...
- Microsoft presenta interfaz gráfica GUI de aplicac...
- Técnicas de ataque del ransomware Ryuk: víctimas; ...
- Rusia y su relación con el ransomware
- Herramientas para el análisis archivos de Microsof...
- Quanta, proveedor hardware de Apple, víctima del r...
- Mueren dos personas que circulaban en un Tesla sin...
- La Policía Española desmantela el primer taller il...
- Ataque Airstrike: bypass de BitLocker con escalada...
- Distribuyen malware en plantillas PDF maliciosos
- Estados Unidos sanciona direcciones de criptomoned...
- The Phone House España victima del grupo de ransom...
- Los Houston Rockets de la NBA, nueva victima del r...
- Hackean la web de Más Madrid y desvían 8.000 euros...
- Creador del Bitcoin, Satoshi Nakamoto, la 19ª pers...
- Informe del ransomware Clop
- Consejos para realizar copias de seguridad
- Error en WhatsApp permite desactivar y bloquear cu...
- Falsa oferta de trabajo de LinkedIn instala un tro...
- Troyano bancario IcedID: ¿el nuevo Emotet?
- ¿Qué es el "checksum" de un fichero bajado de inte...
- Ransomware: DoppelPaymer (BitPaymer)
- Finaliza concurso hacking Pwn2Own 2021
- journalctl; analizar logs del sistema en Linux
- Microsoft fabricará cascos de realidad aumentada p...
- Verifica si tu número de teléfono ha sido filtrado...
- Filtran información personal de 500 millones de us...
- ownCloud vs NextCloud crea tu propia nube personal
- XPEnology: el SO operativo DSM de Synology
- Alertan cheats contienen troyano en juegos como Ca...
- Monitorización Discos Duros HDD y unidades SSD con...
- Rendimiento memoria RAM DDR5 Vs DDR4
- Análisis ransomware Avaddon
- Detenido mafioso italiano tras ser reconocido en u...
- Asterisk: centralita Telefonía IP (VoIP) de código...
- Ejemplos útiles directivas de grupo de Windows 10
- Los números de teléfono y datos personales de 533 ...
- Completo Análisis del ransomware REvil (Sodinokibi)
- Usar Telegram cómo nube personal ilimitada
- Android envía 20 veces más datos a Google que iOS ...
- Hackearon 7 correos electrónicos de parlamentarios...
- Disponible distro hacking ético y pentester Parrot...
- Centro de Operaciones de Seguridad (SOC)
- Vulnerabilidades críticas en VMware vRealize Opera...
- Mes de la videovigilancia en Instant Byte: webinar...
- Google detuvo una operación antiterrorista en USA ...
- Proteger seguridad servidor NAS QNAP
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
Si estos días vas a cualquiera de las plataformas de venta que hay en internet y buscas un USB probablemente te encuentras con no pocos con ...
Informe del ransomware Clop
Investigadores han observado un aumento en la actividad del ransomware Clop que afecta a las industrias de venta al por mayor y al por menor, transporte y logística, educación, fabricación, ingeniería, automotriz, energía, financiera, aeroespacial, telecomunicaciones, servicios profesionales y legales, salud y alta tecnología en los EE. UU. , Europa, Canadá, Asia Pacífico y América Latina. Las Universidades han sido varias de sus recientes víctimas: Stanford, Yhesiva, Maryland (Lake Rd, Merced, California) a parte de la petrolera Shell
Clop también aprovecha las prácticas de doble extorsión y alberga un sitio de filtración, donde el número de víctimas ha crecido significativamente desde su lanzamiento en marzo de 2020. Se ha observado comúnmente que Clop se entrega como la carga útil de la etapa final de una campaña de spam maliciosa llevada a cabo por el sector financiero. actor motivado TA505. Este ransomware también se ha relacionado con los actores de amenazas detrás de los recientes ataques globales de día cero a los usuarios del producto Accellion File Transfer Appliance (FTA).
Gráfico Detecciones Clop por McAffe 2019
Descripción general de Clop Ransomware
El ransomware Clop es una variante de una cepa conocida anteriormente llamada CryptoMix. En 2019, Clop se entregó como la carga útil final de una campaña de phishing asociada con el actor TA505 con motivaciones financieras. Los actores de amenazas enviarían correos electrónicos de phishing que conducirían a un documento habilitado para macros que dejaría caer un cargador llamado Get2. Este cargador puede descargar diferentes herramientas utilizadas por este grupo, como SDBot, FlawedAmmy o FlawedGrace. Una vez que los actores de la amenaza obtienen el punto de apoyo inicial en el sistema, comienzan a emplear técnicas de reconocimiento, movimiento lateral y exfiltración para preparar la implementación del ransomware. Se ha observado que SDBot entrega Clop como carga útil final.
La primera acción del malware es comparar el teclado de la computadora víctima usando la función "GetKeyboardLayout" con los valores codificados.
Esta función devuelve el diseño de entrada del teclado del usuario en el momento en que el malware llama a la función.
El malware comprueba que el diseño es mayor que el valor 0x0437 (georgiano), realiza algunos cálculos con el idioma ruso (0x0419) y con el idioma de Azerbaiyán (0x082C). Esta función devolverá 1 o 0, 1 si pertenece a Rusia u otro país de la CEI, o 0 en todos los demás casos.
Una vez que se ejecuta el ransomware, Clop agrega la extensión .clop a los archivos de la víctima. Hemos observado diferentes variantes utilizando diferentes extensiones, como
- “.CIIp”,
- “.Cllp”
- “.C_L_O_P”.
También se han observado diferentes versiones de la nota de rescate después del cifrado. Dependiendo de la variante, cualquiera de estos archivos de texto de rescate podría ser:
- "ClopReadMe.txt"
- "README_README.txt"
- "Cl0pReadMe.txt"
- "READ_ME _ !!!. TXT".
Este ransomware incluye varias funciones para evitar la detección. Las muestras de Clop observadas intentan eliminar varios procesos y servicios relacionados con las copias de seguridad y las soluciones de seguridad. No se ejecutará si detecta que se está ejecutando en un entorno virtual. Clop también aprovecha la firma de código para evadir la detección. .
Clop pasó de ser un ransomware distribuido a través de spam malicioso a ser utilizado en campañas dirigidas contra empresas de alto perfil. En eventos recientes, Clop se ha relacionado con actores de amenazas que han estado explotando las vulnerabilidades de:
- Accellion File Transfer Appliance (FTA): CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 y CVE-2021-27104.
La explotación de estas vulnerabilidades llevó al compromiso de empresas de alto perfil a partir de febrero. Además, ha habido evidencia de que un afiliado usaba un webshell llamado DEWMODE que se estaba usando para robar datos de los dispositivos Accellion FTA. No mucho después del compromiso, las víctimas afectadas por DEWMODE comenzaron a recibir correos electrónicos de los actores de amenazas anunciando la violación con una URL única por víctima para comenzar los esfuerzos de negociación. Si se ignora, los actores de la amenaza se comunicarán nuevamente con un ultimátum de entregar los datos a "Cl0p ^ _- Leaks".
Clop no tenía un sitio de filtraciones cuando se vio por primera vez en febrero de 2019. Fue en marzo de 2020 cuando los actores de amenazas decidieron lanzar un sitio de filtraciones titulado “Cl0p ^ _- Leaks” (Figura 2). Este sitio web es un sitio de blogs basado en Tor, donde las víctimas que no pagan el rescate o ignoran las amenazas tienen sus datos confidenciales expuestos públicamente. Los actores de amenazas detrás de Clop también aprovechan una variedad de técnicas de extorsión, como apuntar a las estaciones de trabajo de los altos ejecutivos, "engañar" a los empleados y anunciar sus infracciones a los reporteros.
El lado izquierdo de la captura de pantalla muestra la apariencia del sitio de fuga de Clop. El lado derecho muestra un ejemplo de un mensaje que anima a las víctimas a aprender cómo mejorar la postura de seguridad y cerrar los agujeros de seguridad, por un precio.
Sitio de publicaciones de Clop e instrucciones de muestra entregadas por los operadores de Clop que detallan cómo mejorar la postura de seguridad y cerrar los agujeros de seguridad, por un precio.
Conclusión
Clop ransomware es una familia de ransomware de alto perfil que ha comprometido industrias a nivel mundial. Las organizaciones deben conocer SDBot, utilizado por TA505, y cómo puede conducir al despliegue del ransomware Clop. Como muchas otras familias de ransomware actuales, Clop alberga un sitio de filtración para crear presión adicional y avergonzar a las víctimas para que paguen el rescate.
Los indicadores asociados con esta Evaluación de amenazas están disponibles en GitHub, se han publicado en el feed de Unit 42 TAXII y se pueden ver a través de ATOM Viewer.
Además de los cursos de acción anteriores, los clientes de AutoFocus pueden revisar la actividad adicional utilizando la etiqueta Clop.
Fuentes:
https://unit42.paloaltonetworks.com/clop-ransomware/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.