Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Ransomware DarkSide gana casi 10 millones de dólares con el pago rescate a Colonial Pipeline y Brenntag




Con los recientes ataques se ha ganado la notoriedad de todos los grupos de ransomware. Si además le sumamos los cobro satisfactorios del rescate por parte de la mayor empresa de oleoductos de Estados Unidos , Colonial Pipeline de casi 5 millones de dólares y la farmacéutica Brenntag que ha pagado casi 4,4 millones de dólares. En total casi 10 millones de dólares, 9,4 millones de ganancias, pese a todas  las recomendaciones de no pagar por secuestro. Y además ha anunciado una nueva víctima Toshiba Francia (toshiba.fr) con 740GB datos confidenciales robados. Pero últimas noticias: en una nota enviada a sus afiliados, DarkSide desaparece.


Últimas noticias sobre DarkSide: desaparecen

Por ejemplo el representante de REvil han sido más listo y ya dijeron que su programa estaba introduciendo nuevas restricciones sobre los tipos de organizaciones que los afiliados podrían mantener para pedir rescate, y que de ahora en adelante estaría prohibido atacar a aquellos en el "sector social" (definido como instituciones de salud y educación) y organizaciones en el “Gov-sector” (estado) de cualquier país. Los afiliados también deberán obtener la aprobación antes de infectar a las víctimas. 

“We are apolitical, we do not participate in geopolitics, do not need to tie us with a defined government and look for other our motives [sic],” reads an update to the DarkSide Leaks blog. “Our goal is to make money, and not creating problems for society. From today we introduce moderation and check each company that our partners want to encrypt to avoid social consequences in the future.”[1]

Somos apolíticos, no participamos de la geopolítica, no necesitamos atarnos a un gobierno definido y buscar otros motivos nuestros. Nuestro objetivo es ganar dinero y no crear problemas para la sociedad A partir de hoy introducimos la moderación y comprobamos cada empresa que nuestros socios quieren cifrar para evitar consecuencias sociales en el futuro. 

A partir de la versión uno, prometimos hablar sobre los problemas de manera honesta y abierta. Hace un par de horas, perdimos el acceso a la parte pública de nuestra infraestructura, en particular a la

  • Blog
  • servidor de pago
  • Servidores CDN

Por el momento, no se puede acceder a estos servidores a través de SSH y los paneles de alojamiento han sido bloqueados.

El servicio de soporte de alojamiento no proporciona ninguna información excepto "a solicitud de las autoridades policiales". Además, un par de horas después de la incautación, los fondos del servidor de pagos (que nos pertenece y nuestros clientes) se retiraron a una cuenta desconocida.

Se tomarán las siguientes acciones para resolver el problema actual: Se le proporcionarán herramientas de descifrado para todas las empresas que aún no han pagado.

Después de eso, podrá comunicarse con ellos donde quiera y de la forma que desee. Póngase en contacto con el servicio de asistencia. Retiraremos el depósito para resolver los problemas con todos los usuarios afectados.

La fecha aproximada de compensación es el 23 de mayo (debido a que el depósito se mantendrá en espera durante 10 días en XSS).

En vista de lo anterior y debido a la presión de EE. UU., El programa de afiliados está cerrado. Mantente a salvo y buena suerte.

La página de destino, los servidores y otros recursos se eliminarán en un plazo de 48 horas. 

DarkSide Ransomware

  • Darkside apareció en agosto de 2020, utilizando un modelo de negocio basado en Ransomware-as-a-Service (RaaS)
Al igual que muchas otras variantes de ransomware, DarkSide sigue la tendencia de la doble extorsión, lo que significa que los actores de la amenaza no solo cifran los datos del usuario, sino que primero exfiltran los datos y amenazan con hacerlos públicos si no se paga la demanda de rescate. Esta técnica hace que la estrategia de realizar copias de seguridad de los datos como precaución contra un ataque de ransomware sea discutible. 



Los expertos en ciberseguridad que han rastreado a DarkSide dijeron que parece estar compuesto por ciberdelincuentes veteranos que se centran en sacar la mayor cantidad de dinero posible de sus objetivos.

DarkSide es uno de varios grupos de extorsionadores digitales cada vez más profesionalizados, con una lista de correo, un centro de prensa, una línea directa para víctimas e incluso un supuesto código de conducta destinado a convertir al grupo en socios comerciales confiables, aunque despiadados.

El sitio de DarkSide en la web oscura insinúa los crímenes pasados ​​de sus piratas informáticos, afirma que anteriormente ganaron millones con la extorsión y que solo porque su software era nuevo "eso no significa que no tengamos experiencia y que venimos de la nada".

El sitio también presenta una galería al estilo del Salón de la Vergüenza de datos filtrados de víctimas que no han pagado, publicidad de documentos robados de más de 80 compañías en los Estados Unidos y Europa.

También tiene un programa de relaciones públicas, como lo hacen otros, que invita a los periodistas a revisar su colección de datos filtrados y afirma hacer donaciones anónimas a organizaciones benéficas. 

Nuevo aspirante a la corona del ransomware: se dice que Darkside tiene la velocidad de cifrado más rápido


En teoría el grupo Darkside desarrolló ransomware con la velocidad de cifrado más rápida del mercado. 

  • Análisis técnico de DarkSide

La nueva versión del ransomware Darkside incluye una velocidad de cifrado más rápida, llamadas VoIP y objetivos de máquinas virtuales.

Afirman que la versión de Windows de Darkside 2.0 cifra los archivos más rápido que cualquier otro ransomware-as-a-service (RaaS) y es dos veces más rápido que la versión anterior. Significa que las víctimas tienen incluso menos tiempo para "desconectarse" si descubren que su red está infectada. Darkside 2.0 también incluye subprocesos múltiples en las versiones de Windows y Linux.

La versión de Linux del ransomware puede aprovechar las vulnerabilidades de VMware ESXi. En otras palabras, puede secuestrar máquinas virtuales y cifrar sus discos duros virtuales. También fue diseñado para enfocarse en almacenamientos conectados a la red (NAS), incluidos Synology y OMV, para un cifrado aún más extenso de los sistemas de las víctimas.

Finalmente, Darkside 2.0 incluye una función de "llámanos" que permite a los socios realizar llamadas VoIP gratis a víctimas, socios e incluso periodistas. El objetivo es presionar adicionalmente a las víctimas para que paguen. Curiosamente, el grupo aparentemente depositó más de $ 1 millón en Bitcoin en XSS que está "destinado a resolver cualquier problema financiero".

Darkside es inusual en términos de sus operaciones RaaS, ya que no se centra en las instalaciones de distribución de vacunas, las escuelas, el sector público y las organizaciones sin fines de lucro. Además, no especifica ningún objetivo de los países de la ex Unión Soviética que forman parte de la Comunidad de Estados Independientes, incluidas Georgia y Ucrania, lo que insinúa los orígenes del grupo.

Donaciones entidades benéficas

En octubre del año pasado, el grupo Darkside ocupó los titulares cuando donó a organizaciones benéficas $ 20,000 robados a corporaciones, aunque algunos expertos afirmaron que el grupo simplemente estaba probando un nuevo método de lavado de dinero. 


Comunicados en su página web

Comunicados:

Somos apolíticos, no participamos de la geopolítica, no necesitamos atarnos a un gobierno definido y buscar otros motivos nuestros. Nuestro objetivo es ganar dinero y no crear problemas para la sociedad A partir de hoy introducimos la moderación y comprobamos cada empresa que nuestros socios quieren cifrar para evitar consecuencias sociales en el futuro.

Ahora nuestro equipo y socios cifran muchas empresas que cotizan en NASDAQ y otras bolsas de valores. Si la empresa se niega a pagar, estamos listos para proporcionar información antes de la publicación, para que sea posible ganar en el precio de descuento de las acciones.

Ya no atacamos a las siguientes organizaciones:

  •  Servicios funerarios (Morgues, crematorios, funerarias).

Hemos aclarado la lista de empresas médicas que no atacaremos:

  • Medicina (solo: hospitales, cualquier organización de cuidados paliativos, enfermería
  • Hogares, empresas que se desarrollan y participan (en gran medida) en la
  • Distribución de la vacuna COVID-19)

Análisis técnico Ransomware DarkSide

Cuando el ransomware DarkSide se ejecuta por primera vez en el host infectado, comprueba el idioma del sistema mediante las funciones GetSystemDefaultUILanguage () y GetUserDefaultLangID () para evitar que los sistemas ubicados en los países del antiguo bloque soviético se cifren:  




Depuración del ransomware: comprobar si el idioma instalado es el ruso (419)  El malware no encripta archivos en sistemas con los siguientes idiomas instalados: 
  • Russian - 419
  • Azerbaijani (Latin) - 42C
  • Uzbek (Latin) - 443
  • Uzbek (Cyrillic) - 843
  • Ukranian - 422 
  • Georgian - 437
  • Tatar - 444
  • Arabic (Syria) - 2801
  • Belarusian - 423
  • Kazakh - 43F
  • Romanian (Moldova) - 818 
  • Tajik - 428
  • Kyrgyz (Cyrillic) - 440
  • Russian (Moldova) - 819
  • Armenian - 42B
  • Turkmen - 442 
  • Azerbaijani (Cyrillic) - 82C

  • DarkSide utilza Powershell para descargar las primeras etapas de malware
  • DarkSide eliminan las instantáneas de volumen (shadow volumes) Volume Shadow Copy Service (VSS) a través de Powershell.      
  • Decodifican y ejecutan malware a través de LOlBIN como Certutil.exe y Bitsadmin.exe

Utiliza herramientas bien conocidas como:

  • advanced_ip_scanner.exe
  • psexec
  • Mimikatz
  • Dumping LSASS
  • IE/FireFox password dumper
  • Powertool64
  • Empire
  • Bypassing UAC
Otras Herramientas utilizadas:
  • BloodHound
  • ADFind
  • ADRecon
  • IP scan tools
  • Several Windows native tools
  • PowerShell scripts

Completos Análisis técnicos

 


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.