Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Informe del ransomware Clop


Investigadores han observado un aumento en la actividad del ransomware Clop que afecta a las industrias de venta al por mayor y al por menor, transporte y logística, educación, fabricación, ingeniería, automotriz, energía, financiera, aeroespacial, telecomunicaciones, servicios profesionales y legales, salud y alta tecnología en los EE. UU. , Europa, Canadá, Asia Pacífico y América Latina. Las Universidades han sido varias de sus recientes víctimas: Stanford, Yhesiva, Maryland (Lake Rd, Merced, California) a parte de la petrolera Shell



Clop también aprovecha las prácticas de doble extorsión y alberga un sitio de filtración, donde el número de víctimas ha crecido significativamente desde su lanzamiento en marzo de 2020. Se ha observado comúnmente que Clop se entrega como la carga útil de la etapa final de una campaña de spam maliciosa llevada a cabo por el sector financiero. actor motivado TA505. Este ransomware también se ha relacionado con los actores de amenazas detrás de los recientes ataques globales de día cero a los usuarios del producto Accellion File Transfer Appliance (FTA).

Gráfico Detecciones Clop por McAffe 2019


Descripción general de Clop Ransomware

Listado Universidades afectadas:

  • COLORADO.EDU
  • MIAMI.EDU
  • YU.EDU
  • UMD.EDU
  • UNIVERSITYOFCALIFORNIA.EDU
  • STANFORD.EDU
  • SIUMED.EDU
  • El ransomware Clop es una variante de una cepa conocida anteriormente llamada CryptoMix. En 2019, Clop se entregó como la carga útil final de una campaña de phishing asociada con el actor TA505 con motivaciones financieras. Los actores de amenazas enviarían correos electrónicos de phishing que conducirían a un documento habilitado para macros que dejaría caer un cargador llamado Get2. Este cargador puede descargar diferentes herramientas utilizadas por este grupo, como SDBot, FlawedAmmy o FlawedGrace. Una vez que los actores de la amenaza obtienen el punto de apoyo inicial en el sistema, comienzan a emplear técnicas de reconocimiento, movimiento lateral y exfiltración para preparar la implementación del ransomware. Se ha observado que SDBot entrega Clop como carga útil final.

    La primera acción del malware es comparar el teclado de la computadora víctima usando la función "GetKeyboardLayout" con los valores codificados.

    Esta función devuelve el diseño de entrada del teclado del usuario en el momento en que el malware llama a la función.

    El malware comprueba que el diseño es mayor que el valor 0x0437 (georgiano), realiza algunos cálculos con el idioma ruso (0x0419) y con el idioma de Azerbaiyán (0x082C). Esta función devolverá 1 o 0, 1 si pertenece a Rusia u otro país de la CEI, o 0 en todos los demás casos. 

    Una vez que se ejecuta el ransomware, Clop agrega la extensión .clop a los archivos de la víctima. Hemos observado diferentes variantes utilizando diferentes extensiones, como

    •  “.CIIp”,
    •  “.Cllp” 
    • “.C_L_O_P”. 

    También se han observado diferentes versiones de la nota de rescate después del cifrado. Dependiendo de la variante, cualquiera de estos archivos de texto de rescate podría ser: 

    • "ClopReadMe.txt"
    • "README_README.txt"
    • "Cl0pReadMe.txt"
    • "READ_ME _ !!!. TXT".

    Este ransomware incluye varias funciones para evitar la detección. Las muestras de Clop observadas intentan eliminar varios procesos y servicios relacionados con las copias de seguridad y las soluciones de seguridad. No se ejecutará si detecta que se está ejecutando en un entorno virtual. Clop también aprovecha la firma de código para evadir la detección. .

    Clop pasó de ser un ransomware distribuido a través de spam malicioso a ser utilizado en campañas dirigidas contra empresas de alto perfil. En eventos recientes, Clop se ha relacionado con actores de amenazas que han estado explotando las vulnerabilidades de:

    •  Accellion File Transfer Appliance (FTA): CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 y CVE-2021-27104. 

    La explotación de estas vulnerabilidades llevó al compromiso de empresas de alto perfil a partir de febrero. Además, ha habido evidencia de que un afiliado usaba un webshell llamado DEWMODE que se estaba usando para robar datos de los dispositivos Accellion FTA. No mucho después del compromiso, las víctimas afectadas por DEWMODE comenzaron a recibir correos electrónicos de los actores de amenazas anunciando la violación con una URL única por víctima para comenzar los esfuerzos de negociación. Si se ignora, los actores de la amenaza se comunicarán nuevamente con un ultimátum de entregar los datos a "Cl0p ^ _- Leaks".

    Clop no tenía un sitio de filtraciones cuando se vio por primera vez en febrero de 2019. Fue en marzo de 2020 cuando los actores de amenazas decidieron lanzar un sitio de filtraciones titulado “Cl0p ^ _- Leaks” (Figura 2). Este sitio web es un sitio de blogs basado en Tor, donde las víctimas que no pagan el rescate o ignoran las amenazas tienen sus datos confidenciales expuestos públicamente. Los actores de amenazas detrás de Clop también aprovechan una variedad de técnicas de extorsión, como apuntar a las estaciones de trabajo de los altos ejecutivos, "engañar" a los empleados y anunciar sus infracciones a los reporteros.



    El lado izquierdo de la captura de pantalla muestra la apariencia del sitio de fuga de Clop. El lado derecho muestra un ejemplo de un mensaje que anima a las víctimas a aprender cómo mejorar la postura de seguridad y cerrar los agujeros de seguridad, por un precio.

    Sitio de publicaciones de Clop e instrucciones de muestra entregadas por los operadores de Clop que detallan cómo mejorar la postura de seguridad y cerrar los agujeros de seguridad, por un precio.

    Conclusión

    Clop ransomware es una familia de ransomware de alto perfil que ha comprometido industrias a nivel mundial. Las organizaciones deben conocer SDBot, utilizado por TA505, y cómo puede conducir al despliegue del ransomware Clop. Como muchas otras familias de ransomware actuales, Clop alberga un sitio de filtración para crear presión adicional y avergonzar a las víctimas para que paguen el rescate.

    Los indicadores asociados con esta Evaluación de amenazas están disponibles en GitHub, se han publicado en el feed de Unit 42 TAXII y se pueden ver a través de ATOM Viewer.

    Además de los cursos de acción anteriores, los clientes de AutoFocus pueden revisar la actividad adicional utilizando la etiqueta Clop. 

    Fuentes:

    https://unit42.paloaltonetworks.com/clop-ransomware/

    https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/


    0 comentarios :

    Publicar un comentario

    Los comentarios pueden ser revisados en cualquier momento por los moderadores.

    Serán publicados aquellos que cumplan las siguientes condiciones:
    - Comentario acorde al contenido del post.
    - Prohibido mensajes de tipo SPAM.
    - Evite incluir links innecesarios en su comentario.
    - Contenidos ofensivos, amenazas e insultos no serán permitidos.

    Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.