Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
mayo
(Total:
67
)
- Herramientas ingeniería inversa: análisis de malwa...
- Campaña de publicidad maliciosa en Google con en e...
- Alternativas a la red TOR y a su navegador
- Auditoría de seguridad VoIP de Asterisk con Metasp...
- Historia del primer ataque de ransomware realizado...
- INCIBE publica Glosario de Términos de Ciberseguridad
- El FBI compartirá contraseñas robadas en ataques a...
- El mercado ruso Hydra DarkNet ganó más de 1.3 bill...
- Malware para macOS permite tomar capturas de panta...
- El fabricante de audio Bose revela una violación d...
- Ministerio del Interior Belga fue objetivo de un "...
- bettercap: la navaja suiza del tráfico de red
- Vulnerabilidad crítica en HTTP (http.sys) afecta I...
- Dos niños cortan Internet de la casa de la profeso...
- Remmina: cliente de escritorio remoto para Linux
- Europa quiere acabar con las retransmisiones strea...
- ProxyChains: cadena de proxys para ocultar nuestra IP
- CrackMapExec: navaja suiza para el pentesting en W...
- Google Reader podría volver integrado en Chrome
- Después de 3 años Twitter reactiva la verificación...
- Presentan unidades SSD con protección anti ransomw...
- 5 minutos después del lanzamiento del parche de Ex...
- Gestores de contraseñas libres y gratuitos para Linux
- mimikatz: herramienta extracción credenciales de W...
- Disponible la última versión Wifislax64 2021
- Ransomware DarkSide ha ganado más de 90 millones e...
- Buscadores de personas por internet
- mRemoteNG, un terminal avanzado conexiones remotas...
- Magecart oculta skimmers en los favicons de las pá...
- Scheme Flooding: vulnerabilidad permite el seguimi...
- Hackean un Tesla a distancia vía WiFi usando un dron
- CloudFlare quiere acabar con los molestos Captchas
- Asignan por error 600 millones de IP's a una granj...
- Toshiba Francia afectada por el ransomware DarkSide
- Grupo AXA de Asia afectado por el ransomware Avaddon
- Desaparece el ransomware DarkSide por la presión d...
- Ransomware DarkSide gana casi 10 millones de dólar...
- Distribuidor de productos químicos Brenntag paga 4...
- El servicio nacional de salud de Irlanda afectado ...
- El oleoducto más grande de Estados Unidos Colonial...
- Actualizaciones de seguridad importantes para prod...
- Vulnerabilidades de la tecnología 5G
- FragAttacks: múltiples vulnerabilidades diseño est...
- iOS 14.5 de Apple presenta nuevos controles de pri...
- Aseguradora AXA detiene el reembolso por delitos d...
- Un ciberataque de ransomware a la mayor empresa de...
- Ransomware Zeppelin afecta empresa ASAC y deja sin...
- Bypass autenticación en routers Asus GT-AC2900
- Actualizaciones de seguridad críticas para lector ...
- Automatizar tareas en Windows con AutoHotkey
- Phirautee: un ransomware con fines educativos
- Nginx supera a Apache como servidor web más utilizado
- Facebook bloquea una campaña de publicidad de Signal
- MobaXterm: terminal para Windows con cliente SSH y...
- Microsoft detalla el final definitivo de Adobe Fla...
- Muon Snowflake, cliente SSH y SFTP para Windows y ...
- Nuevo tipo de ataque afecta a procesadores Intel y...
- Vulnerabilidad importante driver BIOS ordenadores ...
- PhotoRec: recupera ficheros borrados accidentalmente
- Seguridad en contenedores Kubernetes
- Glovo sufre un ciberataque con filtración de datos...
- En Europa las plataformas de Internet deberán elim...
- Cifrado del correo electrónico
- Desmantelan Boystown, portal de pornografía infant...
- Errores en el software BIND exponen los servidores...
- Roban datos de jugadores, contratos y presupuestos...
- ¿Cómo desbloqueó el FBI el iPhone de San Bernardino?
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Phirautee: un ransomware con fines educativos
Viral Maniar presentó en la conferencia DEF CON 28 Safe Mode Phirautee, un ransomware a modo de prueba de concepto que nos ayudará a difundir y mejorar la conciencia de nuestros usuarios sobre los ataques y las implicaciones del ransomware. Esta herramienta roba la información y mantiene los datos de una organización retenidos para pagos o los cifra/borra permanentemente.
En los últimos años, el ransomware se ha vuelto loco y las organizaciones de todo el mundo están siendo atacadas, lo que provoca daños e interrupciones. Como todos sabemos, el panorama de las amenazas está cambiando rápidamente y escuchamos el alboroto sobre la infección de ransomware en las oficinas o leemos sobre ello en las noticias. ¿Alguna vez te has preguntado cómo los actores de amenazas escriben ransomwares? ¿Qué nivel de sofisticación y comprensión se requiere para apuntar a una organización?
Utilizando los comandos nativos de Windows para crear ransomware y apuntar a un host mediante phishing. Presentamos Phirautee, un virus criptográfico de prueba de concepto para difundir la conciencia de los usuarios sobre los ataques y las implicaciones de los ransomwares. Phirautee está escrito exclusivamente con PowerShell y no requiere bibliotecas de terceros.
La herramienta roba la información, mantiene los datos de una organización como rehenes para pagos o encripta / borra permanentemente los datos de la organización. La herramienta utiliza criptografía de clave pública para cifrar los datos en el disco. Antes de cifrar, extrae los archivos de la red al atacante. Una vez que los archivos están encriptados y exfiltrados, los archivos originales se eliminan permanentemente del host y luego la herramienta exige un rescate. El rescate se solicita utilizando la criptomoneda para los pagos, por lo que las transacciones son más difíciles de rastrear para las fuerzas del orden. Durante la demostración de Phirautee, verá una cadena de ataque completa, es decir, de recibir un ataque de ransomware a través de un correo electrónico de phishing y cómo los archivos se cifran en los sistemas comprometidos. Se proporcionaría un recorrido detallado del código fuente para comprender cómo los piratas informáticos utilizan métodos simples para crear algo peligroso.
También hay varios mecanismos de defensa realizando análisis forenses en Phirautee utilizando herramientas disponibles públicamente.
Características
- Phirautee está escrito exclusivamente con PowerShell y no requiere librerías de terceros.
- La herramienta utiliza comandos Living off the Land (LotL) y criptografía de clave pública para cifrar los datos en el disco y filtrar archivos grandes a través de Google Drive.
- Antes de cifrar, extrae los archivos de la red de la víctima y, una vez que los archivos están cifrados y exfiltrados, los archivos originales se eliminan permanentemente del host para finalmente exigir un rescate.
- El ransom solicita un pago de 0.10 BTC (~ 1k USD).
Detección
- La extensión de archivo de los archivos cifrados se cambia a ".phirautee"
- El fondo de escritorio del host comprometido se cambia con el fondo Phirautee
- El escritorio tendrá el archivo Phirautee.txt
Estrategias de mitigación
- Segmentación de la red y detección de movimiento lateral. Seguir el principio de acceso con privilegios mínimos o restringir el acceso a servidores confidenciales. Utilizar MFA en todos los portales importantes.
- Deshabilitar PowerShell para usuarios de dominio estándar y realizar listas blancas de aplicaciones.
- Copias de seguridad frecuentes en toda la red (si es posible sin conexión).
- Aplicar parches y tener un programa de gestión de vulnerabilidades.
- Tener un equipo de respuesta a incidentes dedicado y desarrollar un plan para eventos de ransomware.
- Invertir en un buen producto IDS/IPS/EDR/AV/CASB.
- Validar la efectividad de sus herramientas y tecnologías de defensa a través de ejercicios ofensivos preaprobados.
- Organizar sesiones de formación sobre phishing y educación de usuarios para sus empleados.
- Tener un seguro ciber para ayudar a cubrir los costes en caso de que deba pagar el rescate. Además, revisar las pólizas de seguro para asegurarse de que no haya agujeros.
- Obtener ayuda de los feds locales para las claves de descifrado.
Fuentes:
https://blog.segu-info.com.ar/2021/05/phirautee-poc-de-ransomware-para-poner.html
https://www.hackplayers.com/2021/05/phirautee-un-poc-de-un-ransomware.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.