Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
junio
(Total:
48
)
- WD recuperará los datos borrados durante el ataque...
- GitHub presenta Copilot; herramienta capaz de auto...
- A la venta base de datos con datos del 92% usuario...
- Herramientas gratuitas análisis forense digital
- Windows 11 TPM; requisitos y características
- Trickbot: botnet malware-as-a-service
- Tecnología GPON - FTTH
- Graves vulnerabilidades NAS WD My Book Live provoc...
- Microsoft presenta oficialmente Windows 11
- Navegador Brave publica nuevo buscador basado en l...
- Disponible nueva versión navegador Tor corrige err...
- Ransomware DarkRadiation afecta a Linux y contened...
- La plataforma en la nube de la OTAN ha sido hackeada
- Guía NSA sobre la protección de las comunicaciones...
- Actualizaciones de seguridad para Microsoft y Goog...
- Malware sin nombre fue capaz de robar 26 millones ...
- Filtración datos de 3.3 millones clientes Volkswag...
- Detenido en Málaga por un ataque informático a la ...
- Detenidos 6 miembros del grupo de ransomware Clop ...
- Recopilaron datos privados de 1.000 millones usuar...
- Filtrada primera ISO de Windows 11
- Filtran datos de 16,7 millones de usuarios de Fotolog
- Vulnerabilidad desde hace 7 años en Polkit de Linu...
- El grupo ransomware Avaddon cierra y entrega llave...
- Historia del Ransomware Ruyk: el más prolífico ata...
- CD Projekt asegura que los datos robados tras el h...
- EA ha sido hackeada: 780GB datos robados incluyen ...
- JBS pagó un rescate de 11 millones de dólares al r...
- ALPACA, un nuevo tipo de ataque Man in the Middle ...
- El Salvador es el primer país en legalizar el Bitc...
- Ransomware PYSA publica contratos y nóminas de los...
- RockYou2021: la mayor recopilación de contraseñas ...
- 800 criminales arrestados gracias a las escuchas d...
- Estados Unidos recupera gran parte del rescate pag...
- TikTok podrá recopilar todos tus datos biométricos...
- CISA publica guía MITRE ATT & CK para analistas de...
- Próximas novedades del futuro Windows 11
- FujiFilm confirma que fue victima de un ataque de ...
- A la venta Base de Datos robada de la página web d...
- Nuevo timo por WhatsApp: "regalos gratis para todo...
- Empresa dedicada a los backups, paga 2.6 millones ...
- 2 autores de Carbanak (Troyano Bancario) condenado...
- El FBI confirma que el mayor productor de carne de...
- Alertan App's bancarias maliciosas con el troyano ...
- Disponible nueva versión de Kali Linux 2021.2
- Nuevos grupos de ransomware: Prometheus, Grief, Ep...
- Los dispositivos de Amazon compartirán automáticam...
- Google dificultó escondiendo los ajustes de locali...
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Ransomware DarkRadiation afecta a Linux y contenedores Docker
Investigadores de ciberseguridad de la empresa Trend Micro y SentinelOne , han revelado una nueva cepa de ransomware llamada «DarkRadiation«, que se implementa mediante Bash y se dirige a los contenedores en maquinas en la nube y on-premise Linux (dirigido a distribuciones basadas en Red Hat como CentOS y derivadas Debian) , cómo también en Docker, mientras se utiliza el servicio de mensajería instantánea de Telegram para comunicaciones al command and control (C2).
Nueva variante de ransomware llamada DarkRadiation se dirige a Linux y Docker
Según los investigadores de Trend Micro desde su blog oficial «El ransomware está escrito en script Bash y apunta a distribuciones Red Hat / CentOS y Debian Linux… El malware usa el algoritmo AES de OpenSSL con modo CBC para cifrar archivos en varios directorios. También usa la API de Telegram para enviar un estado de infección a los actores de la amenaza«.
Los hallazgos provienen de un análisis de una colección de herramientas de piratería alojadas en la infraestructura del actor de amenazas no identificado en un directorio llamado «api_attack«. El conjunto de herramientas fue identificado por primera vez por el usuario de Twitter @r3dbU7z el 28 de mayo. La cadena de infección de DarkRadiation implica un proceso de ataque de varias etapas y es notable por su amplia dependencia de los scripts Bash para recuperar el malware y cifrar los archivos, así como la API de Telegram para comunicarse con el servidor C2 a través de claves API codificadas.
Se dice que está en desarrollo activo, el ransomware aprovecha las tácticas de ofuscación para codificar el script de Bash utilizando una herramienta de código abierto llamada «node-bash-ofuscate» para dividir el código en varios fragmentos, seguido de asignar un nombre de variable a cada segmento y reemplazarlo. el script original con referencias variables.
Tras la ejecución, DarkRadiation comprueba si se ejecuta como usuario root y, de ser así, utiliza los permisos elevados para descargar e instalar las bibliotecas Wget , cURL y OpenSSL, y toma una captura de los usuarios que están conectados actualmente a un sistema Unix, usando el comando «who» cada cinco segundos, cuyos resultados luego se exfiltran a un servidor controlado por el atacante usando la API de Telegram.
En su fase final de la infección, el ransomware recupera la lista de todos los usuarios disponibles en el sistema comprometido, sobrescribe las contraseñas de los usuarios existentes con «megapassword» y elimina todos los usuarios de la shell, pero no antes de crear un nuevo usuario con el nombre de usuario «ferrum«, con la contraseña «MegPw0rD3» para continuar con el proceso de cifrado.
Además de informar el estado de ejecución, junto con la clave de cifrado, al canal de Telegram del adversario a través de la API, DarkRadiation también viene con capacidades para detener y deshabilitar todos los contenedores Docker en ejecución en la máquina infectada, después de lo cual se muestra una nota de rescate para el usuario.
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.