Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Un ciberataque de ransomware a la mayor empresa de oleoductos amenaza con dejar parte de EEUU sin combustible


El operador de oleoductos Colonial Pipeline ha cerrado toda su red después de un ciberataque de ransomware del grupo DarkSide. Con sus consecuencias potencialmente masivas para los estadounidenses a lo largo y ancho de la costa este, puede haber sido un error de cálculo. Colonial Pipeline es el "mayor sistema de oleoductos de productos refinados de EE.UU" y Biden ha declarado el estado de emergencia por oleoductos: la medida permite a los proveedores de petróleo transportar su combustible por carreteras mientras los oleoductos coloniales están caídos. Darkside surgió a mediados de agosto de 2020 y se enfoca en objetivos corporativos y roba los datos antes de implementar la rutina de cifradoEl FBI ha confirmado en un escueto comunicado que se trata del ransomware DarkSide.Los atacantes habrían robado más de 100 GB con información de la compañía.


 El corte afecta a las operaciones de Colonial en los 8.850 kilómetros de oleoductos que gestiona, vitales para abastecer a los grandes núcleos de población del este y el sur de Estados Unidos, incluida la región metropolitana de Nueva York, a donde llegan 380 millones de litros de combustible al día. 

El ciberataque amenaza con dejar parte de EEUU sin combustible

  • La compañía que transporta el 45% del combustible que va al sur y al este del país
  • 8.550 kilómetros de largo y se encarga del transporte de gasolina refinada y combustible para aviones desde la costa del Golfo de México a Nueva York
  • Capaz de transportar unos dos millones y medio de barriles al día

Importante operador estadounidense Colonial Pipeline sufrió un ataque informático que obligó al cierre de ductos de combustible, lo que generó preocupación por una suspensión de los suministros y eventuales aumentos en los costos de extracción.

Paralizan la mayor red de oleoductos del país, que abastecen al sur y al este del país. De alargarse, el secuestro puede impactar en el precio de gasolina y diésel.

Diagrama del enorme sistema Colonial Pipeline que sirve a ~ 50 millones de personas.  Imagen: WSOC 


17 estados afectados declararon estado de emergencia.

Los estados y jurisdicciones afectados por el cierre del oleoducto e incluidos en la Declaración de Emergencia son Alabama, Arkansas, Distrito de Columbia, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Mississippi, Nueva Jersey, Nueva York, Carolina del Norte, Pensilvania, Carolina del Sur, Tennessee, Texas y Virginia. 

Comunicado DarkSide

Somos apolíticos, no participamos de la geopolítica, no necesitamos atarnos a un gobierno definido y buscar otros motivos nuestros. Nuestro objetivo es ganar dinero y no crear problemas para la sociedad. A partir de hoy introducimos la moderación y comprobamos cada empresa que nuestros socios quieren cifrar para evitar consecuencias sociales en el futuro.


DarkSide Ransomware

  • Darkside apareció en agosto de 2020, utilizando un modelo de negocio basado en Ransomware-as-a-Service (RaaS)
Al igual que muchas otras variantes de ransomware, DarkSide sigue la tendencia de la doble extorsión, lo que significa que los actores de la amenaza no solo cifran los datos del usuario, sino que primero exfiltran los datos y amenazan con hacerlos públicos si no se paga la demanda de rescate. Esta técnica hace que la estrategia de realizar copias de seguridad de los datos como precaución contra un ataque de ransomware sea discutible. 

Los expertos en ciberseguridad que han rastreado a DarkSide dijeron que parece estar compuesto por ciberdelincuentes veteranos que se centran en sacar la mayor cantidad de dinero posible de sus objetivos.

DarkSide es uno de varios grupos de extorsionadores digitales cada vez más profesionalizados, con una lista de correo, un centro de prensa, una línea directa para víctimas e incluso un supuesto código de conducta destinado a convertir al grupo en socios comerciales confiables, aunque despiadados.


El sitio de DarkSide en la web oscura insinúa los crímenes pasados ​​de sus piratas informáticos, afirma que anteriormente ganaron millones con la extorsión y que solo porque su software era nuevo "eso no significa que no tengamos experiencia y que venimos de la nada".

El sitio también presenta una galería al estilo del Salón de la Vergüenza de datos filtrados de víctimas que no han pagado, publicidad de documentos robados de más de 80 compañías en los Estados Unidos y Europa.

También tiene un programa de relaciones públicas, como lo hacen otros, que invita a los periodistas a revisar su colección de datos filtrados y afirma hacer donaciones anónimas a organizaciones benéficas. 

Nuevo aspirante a la corona del ransomware: se dice que Darkside tiene la velocidad de cifrado más rápida

En teoría el grupo Darkside desarrolló ransomware con la velocidad de cifrado más rápida del mercado.

La nueva versión del ransomware Darkside incluye una velocidad de cifrado más rápida, llamadas VoIP y objetivos de máquinas virtuales.

Afirman que la versión de Windows de Darkside 2.0 cifra los archivos más rápido que cualquier otro ransomware-as-a-service (RaaS) y es dos veces más rápido que la versión anterior. Significa que las víctimas tienen incluso menos tiempo para "desconectarse" si descubren que su red está infectada. Darkside 2.0 también incluye subprocesos múltiples en las versiones de Windows y Linux.

La versión de Linux del ransomware puede aprovechar las vulnerabilidades de VMware ESXi. En otras palabras, puede secuestrar máquinas virtuales y cifrar sus discos duros virtuales. También fue diseñado para enfocarse en almacenamientos conectados a la red (NAS), incluidos Synology y OMV, para un cifrado aún más extenso de los sistemas de las víctimas.

Finalmente, Darkside 2.0 incluye una función de "llámanos" que permite a los socios realizar llamadas VoIP gratis a víctimas, socios e incluso periodistas. El objetivo es presionar adicionalmente a las víctimas para que paguen. Curiosamente, el grupo aparentemente depositó más de $ 1 millón en Bitcoin en XSS que está "destinado a resolver cualquier problema financiero".

Darkside es inusual en términos de sus operaciones RaaS, ya que no se centra en las instalaciones de distribución de vacunas, las escuelas, el sector público y las organizaciones sin fines de lucro. Además, no especifica ningún objetivo de los países de la ex Unión Soviética que forman parte de la Comunidad de Estados Independientes, incluidas Georgia y Ucrania, lo que insinúa los orígenes del grupo.

En octubre del año pasado, el grupo Darkside ocupó los titulares cuando donó a organizaciones benéficas $ 20,000 robados a corporaciones, aunque algunos expertos afirmaron que el grupo simplemente estaba probando un nuevo método de lavado de dinero. 




Consecuencias políticas del ataque

Washington contempla desde hace tiempo con preocupación la posibilidad de que países como China y Rusia puedan valerse de ciberataques contra infraestructuras básicas para golpear la economía, y a la vez minar la credibilidad de la primera superpotencia mundial. El último ejemplo es el hackeo masivo conocido como SolarWinds, que comprometió a millares de redes informáticas del Gobierno estadounidense y que empujó a la Casa Blanca a adoptar duras sanciones contra Rusia, a quien atribuyó el ataque. 

Tangencialmente relacionado con el riesgo de ciberataques a la línea de flotación económica, el colosal plan de infraestructuras presentado por Biden, y pendiente de aprobación en el Congreso, busca remediar la obsolescencia de algunas de ellas, especialmente las más vitales para el funcionamiento de la economía. 

El ataque informático se produce poco antes de que el presidente de Estados Unidos, Joe Biden, firme, en los próximos días, una orden ejecutiva para incrementar la ciberseguridad en infraestructuras críticas para la economía del país. Según el diario The New York Times, el decreto presidencial podría demandar un incremento de los requisitos de seguridad a aquellas empresas que prestan servicios al Gobierno federal. 

Análisis técnico Ransomware DarkSide

Cuando el ransomware DarkSide se ejecuta por primera vez en el host infectado, comprueba el idioma del sistema mediante las funciones GetSystemDefaultUILanguage () y GetUserDefaultLangID () para evitar que los sistemas ubicados en los países del antiguo bloque soviético se cifren:  




Depuración del ransomware: comprobar si el idioma instalado es el ruso (419)  El malware no encripta archivos en sistemas con los siguientes idiomas instalados: 
  • Russian - 419
  • Azerbaijani (Latin) - 42C
  • Uzbek (Latin) - 443
  • Uzbek (Cyrillic) - 843
  • Ukranian - 422 
  • Georgian - 437
  • Tatar - 444
  • Arabic (Syria) - 2801
  • Belarusian - 423
  • Kazakh - 43F
  • Romanian (Moldova) - 818 
  • Tajik - 428
  • Kyrgyz (Cyrillic) - 440
  • Russian (Moldova) - 819
  • Armenian - 42B
  • Turkmen - 442 
  • Azerbaijani (Cyrillic) - 82C

  • DarkSide utilza Powershell para descargar las primeras etapas de malware
  • DarkSide eliminan las instantáneas de volumen (shadow volumes) Volume Shadow Copy Service (VSS) a través de Powershell.      
  • Decodifican y ejecutan malware a través de LOlBIN como Certutil.exe y Bitsadmin.exe

Utiliza herramientas bien conocidas como:

Otras Herramientas utilizadas:
  • Typed_history.zip, Appdata.zip, IE_Passwords.zip, AD_intel, and ProcessExplorer.zip.

Completos análisis técnicos detallados:


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.