Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
abril
(Total:
59
)
- 1,5 millones de contraseñas asociadas a correos de...
- Un argentino compró el dominio oficial de Google A...
- Vulnerabilidad en F5 BIG-IP en Kerberos Key Distri...
- Un error de Google permitía acceder a información ...
- Malware en MacOS gracias a una vulnerabilidad en G...
- Windows Defender bloqueará malware de minado de cr...
- Engañan a varios políticos europeos a través de vi...
- 250GB datos robados al Departamento de Policía Met...
- microCLAUDIA; vacuna contra el ransomware y otros ...
- Estudiante de Stanford encontró fallo en el sistem...
- ¿Qué es la MAC Address o dirección MAC Media?
- Oleada de ciberataques tumba las webs del INE, Jus...
- Actualizaciones de seguridad graves e importantes ...
- Microsoft presenta interfaz gráfica GUI de aplicac...
- Técnicas de ataque del ransomware Ryuk: víctimas; ...
- Rusia y su relación con el ransomware
- Herramientas para el análisis archivos de Microsof...
- Quanta, proveedor hardware de Apple, víctima del r...
- Mueren dos personas que circulaban en un Tesla sin...
- La Policía Española desmantela el primer taller il...
- Ataque Airstrike: bypass de BitLocker con escalada...
- Distribuyen malware en plantillas PDF maliciosos
- Estados Unidos sanciona direcciones de criptomoned...
- The Phone House España victima del grupo de ransom...
- Los Houston Rockets de la NBA, nueva victima del r...
- Hackean la web de Más Madrid y desvían 8.000 euros...
- Creador del Bitcoin, Satoshi Nakamoto, la 19ª pers...
- Informe del ransomware Clop
- Consejos para realizar copias de seguridad
- Error en WhatsApp permite desactivar y bloquear cu...
- Falsa oferta de trabajo de LinkedIn instala un tro...
- Troyano bancario IcedID: ¿el nuevo Emotet?
- ¿Qué es el "checksum" de un fichero bajado de inte...
- Ransomware: DoppelPaymer (BitPaymer)
- Finaliza concurso hacking Pwn2Own 2021
- journalctl; analizar logs del sistema en Linux
- Microsoft fabricará cascos de realidad aumentada p...
- Verifica si tu número de teléfono ha sido filtrado...
- Filtran información personal de 500 millones de us...
- ownCloud vs NextCloud crea tu propia nube personal
- XPEnology: el SO operativo DSM de Synology
- Alertan cheats contienen troyano en juegos como Ca...
- Monitorización Discos Duros HDD y unidades SSD con...
- Rendimiento memoria RAM DDR5 Vs DDR4
- Análisis ransomware Avaddon
- Detenido mafioso italiano tras ser reconocido en u...
- Asterisk: centralita Telefonía IP (VoIP) de código...
- Ejemplos útiles directivas de grupo de Windows 10
- Los números de teléfono y datos personales de 533 ...
- Completo Análisis del ransomware REvil (Sodinokibi)
- Usar Telegram cómo nube personal ilimitada
- Android envía 20 veces más datos a Google que iOS ...
- Hackearon 7 correos electrónicos de parlamentarios...
- Disponible distro hacking ético y pentester Parrot...
- Centro de Operaciones de Seguridad (SOC)
- Vulnerabilidades críticas en VMware vRealize Opera...
- Mes de la videovigilancia en Instant Byte: webinar...
- Google detuvo una operación antiterrorista en USA ...
- Proteger seguridad servidor NAS QNAP
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Técnicas de ataque del ransomware Ryuk: víctimas; el SEPE y la Universidad de Castilla-La Mancha
Primer fue el sonado caso del SEPE Servicio de Empleo Publico Estatal de España (SEPE) víctima del ransomware Ryuk que ha provocado miles de retraso en los pagos y muy recientemente, pero también en España, la Universidad de Castilla-La Mancha también ha sido víctima del mismo ransomware.
La Universidad de Castilla-La Mancha (UCLM) ha sufrido hoy lunes un ciberataque de ransomware. Ha sido la propia institución académica la que ha informado del incidente a través de sus perfiles en Twitter y Facebook.
Comunicado Oficial de Universidad de Castilla La Mancha
Se han observado infecciones de ransomware Ryuk desde finales de 2018. Los actores de Ryuk están evolucionando constantemente los TTP utilizados en las campañas atribuidas a Ryuk. Algunos de los objetivos más notables de estas campañas han sido hospitales, entidades gubernamentales y grandes corporaciones. El grupo adversario de Ryuk está ampliamente considerado como una de las corporaciones y gobiernos de objetivos más exitosos e impactantes en todo el mundo.
Algunas de las Tácticas, Técnicas y Procedimientos (TTP) nuevos y existentes de las variantes del ransomware Ryuk que Advintel ha presenciado a lo largo de sus investigaciones en 2021.
Vector de ataque inicial: fuerza bruta de RDP / otros medios del vector de ataque inicial
Los operadores de Ryuk obtienen acceso inicial a una red con mayor frecuencia a través de dos métodos en 2021.
- Compromiso de RDP basado en servicios
- Entrega de malware basado en botnets
Aumento general del compromiso de RDP como vector de infección inicial en los ataques atribuidos a Ryuk. Se ha observado que los actores de amenazas en la naturaleza emplean la fuerza bruta a gran escala y ataques de rociado de contraseñas contra hosts RDP expuestos para comprometer las credenciales de los usuarios.
Los correos electrónicos de phishing dirigidos junto con las llamadas al centro de servicio de soporte como "BazaCall" también se han observado como un vector de infección inicial en muchos ataques atribuidos a Ryuk. Este documento armado tendrá instrucciones que le dicen al usuario que "habilitar el contenido" que activará una macro y permitirá que el documento descargue una carga útil maliciosa a través de un script de PowerShell que se ejecuta a través de un símbolo del sistema.
Reconocimiento I: Etapa de reconocimiento local del valor de la víctima
Una vez que se haya establecido un punto de apoyo, los operadores de Ryuk intentarán enumerar los fideicomisos de dominio, como los dominios locales, las redes compartidas, los usuarios y las unidades organizativas de Active Directory. Durante esta etapa, los actores intentan recopilar información sobre la organización para determinar qué recursos dentro del dominio infectado son valiosos para perpetrar el resto del ataque. Bloodhound y AdFind se han convertido en herramientas populares utilizadas por los actores que intentan enumerar la información del directorio activo dentro de un dominio infectado.
Se ha observado a los actores que realizan investigaciones de OSINT relacionadas con el dominio de host comprometido para identificar a la empresa víctima infectada y evaluar sus ingresos. Los operadores de ransomware utilizan los ingresos anuales totales de la empresa de la víctima para evaluar cuál será la cantidad del rescate. Específicamente, se ha observado que los actores buscan en servicios como ZoomInfo para recuperar información sobre la empresa víctima, como tecnologías utilizadas, fusiones y adquisiciones recientes, jerarquías corporativas, personal y varios otros elementos de datos relacionados con la empresa que pueden ser de valor para la empresa. sus operaciones.
Post-explotación: Cobalt Strike como herramienta estándar de oro
Después de la infección, los operadores de Ryuk utilizan kits de herramientas posteriores a la explotación, como Cobalt Strike, para realizar más reconocimientos y operaciones.
Incumplimiento de la red Posibles obstáculos: omisión de respuesta de detección de puntos finales y antivirus
Los operadores de Ryuk utilizarán la información recopilada por los escaneos de bots y sus propios escaneos para obtener información sobre las herramientas antivirus (AV) y Endpoint Detection Response (EDR) presentes en los hosts antes de formular su ataque. Vale la pena señalar que los operadores aprovecharán los métodos OSINT y la comunicación con otros actores de amenazas para obtener información sobre los sistemas AV y EDR presentes en las redes que están atacando, especialmente si una red ha sido previamente comprometida, la información obtenida del ataque se puede compartir. entre grupos de amenazas. Una vez que los operadores comprometan con éxito una cuenta de administrador de dominio, trabajarán para deshabilitar los servicios AV y EDR.
Algunas de las técnicas de formación de equipos rojos más sofisticadas y novedosas que se utilizan para apuntar y evitar EDR y herramientas de protección:
- Buscar un administrador de TI local con acceso al software EDR y aprovechando una herramienta de PowerShell "KeeThief.ps1" para extraer las credenciales de administrador para el software EDR del popular administrador de contraseñas KeePass
- Permite la extracción de material clave KeePass 2.X de la memoria, así como el backdoor y la enumeración del sistema de activación KeePass.
- Implementar la versión portable de Notepad ++ para ejecutar scripts de PowerShell en el sistema host para evitar la restricción de ejecución de PowerShell. El Bloc de notas portátil ++ incluye PowerShell versión 1.
Escalada de privilegios
Las organizaciones deben monitorear de cerca como un medio para detectar infecciones dentro de su dominio.
- CVE-2018-8453 es una vulnerabilidad de elevación de privilegios en Windows cuando el componente win23k.sys no puede manejar correctamente los objetos en la memoria. La explotación de esta vulnerabilidad permite a un atacante ejecutar un kernel arbitrario con privilegios de lectura / escritura.
- CVE-2019-1069 es una vulnerabilidad de escalada de privilegios que aprovecha la forma en que el Programador de tareas de Windows maneja las tareas guardadas. El Programador de tareas almacena las tareas como archivos en dos ubicaciones, C: \ Windows \ Tasks y C: \ Windows \ System32 \ Tasks. Si un cliente RPC modifica una tarea mediante el servicio en la ubicación C: \ Windows \ Tasks cuando se guardan las modificaciones, la tarea se migrará a C: \ Windows \ System32 \ Tasks. Al guardar un archivo de tarea, el servicio Programador de tareas establecerá la propiedad y el control total del archivo al propietario de la tarea. Este proceso permite a un atacante perpetrar un ataque de enlace duro. Por lo tanto, si un atacante coloca manualmente un archivo dentro de C: \ Windows \ Tasks, el atacante podrá ejecutar este archivo con el nivel más alto de privilegios, ya que el servicio Programador de tareas se ejecuta en el nivel máximo de privilegio definido por la máquina local.
Movimientos laterales
Los operadores de Ryuk demuestran altos niveles de sofisticación en sus habilidades para recopilar información y moverse lateralmente dentro de una red. Actores como DACheck y Mimikatz han sido testigos de la ejecución de herramientas integradas específicas del kit de herramientas Cobalt Strike. Se ha observado el uso de un script "Invoke-DACheck" para identificar las cuentas de administrador de dominio dentro de la red. Los actores también usarán Mimikatz y LaZagne para recopilar contraseñas.
Los actores de Ryuk utilizan CrackMapExec para la búsqueda de administradores locales y la extracción de contraseñas. CrackMapExec es una herramienta de post-explotación disponible públicamente con una variedad de capacidades de enumeración, descubrimiento y fuerza bruta. Es probable que los actores estén usando esta herramienta para buscar cuentas de administrador local y luego ejecuten funciones de ataque de retransmisión SMB y NTLM desde esta herramienta para la autenticación.
Implementación del ransomware
Una vez que los actores han comprometido con éxito una cuenta de administrador local o de dominio, distribuyen la carga útil de Ryuk a través de Objetos de política de grupo, sesiones PsExec desde un controlador de dominio o utilizando un elemento de inicio en el recurso compartido SYSVOL.
Recomendaciones de mitigación de riesgos
- Detectar el uso de la ejecución de Mimikatz y PsExec dentro de la red.
- Detecciones y alertas de la presencia de AdFind, Bloodhound y LaZagne dentro de la red.
- Asegúrese de que todos los sistemas operativos y el software estén actualizados con las últimas actualizaciones y parches de seguridad.
- Implementar la autenticación multifactor para el acceso RDP.
- Implementar controles y segmentación de la red para analizar el tráfico SMB y NTLM dentro de la red.
- Revisar periódicamente los permisos de la cuenta para evitar la pérdida de privilegios y mantener el principio de privilegio mínimo.
- Revisar periódicamente los objetos de directiva de grupo y los scripts de inicio de sesión.
- Actualizar los sistemas para evitar la explotación de CVE-2018-8453 y CVE-2019-1069.
Conclusiones
Las campañas de ransomware de Ryuk continúan evolucionando sus TTP para evitar la detección y navegar a través de una red en 2021. Advintel continúa observando a los actores de amenazas discutiendo nuevos TTP entre ellos y continuará monitoreando sus comunicaciones para proporcionar información para evitar que estas campañas se perpetran con éxito.
Fuente:
https://www.advanced-intel.com/post/adversary-dossier-ryuk-ransomware-anatomy-of-an-attack-in-2021
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.