Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon El ataque ransomware a la UAB habría afectado hasta 650.000 archivos


El ataque informático en la Universitat Autònoma de Barcelona (UAB) afecta a más de 650.000 carpetas y archivos. La UAB iba a tardar "días" en recuperarse del ciberataque de ransomware… ahora la expectativa es hacerlo a las puertas de 2022 




Durante la madrugada del día 11 de octubre, los sistemas informáticos de la Universidad Autónoma de Barcelona cayeron: de un día para otro, una de las mayores universidades españolas se quedó sin página web, sin conexiones WiFi, sin bases de datos ni servicio interno de e-mail.

  • Todos los alumnos del centro se han quedado sin correo electrónico 

El ataque afectó “al sistema de virtualización que aloja gran parte de los servicios corporativos”, lo que provoca que no se puedan usar estos servicios y aplicativos.

Q: What to tell my boss?

A: Protect Your System Amigo.


Fuentes de la UAB aseguran que han comunicado el incidente a la Autoridad Catalana de Protección de Datos. Según la Autoridad, siempre que hay una violación de seguridad se la tiene que avisar y, "si es probable que la violación de seguridad de los datos conlleve un riesgo alto para los derechos y libertades de las personas físicas", también se les tiene que comunicar "sin dilaciones indebidas y en un lenguaje claro y sencillo". Hernández explica que "por precaución" no se atreven a descartar del todo ninguna posible filtración, pero hoy por hoy la ven improbable. Asegura, además, que siguen "al dedillo" el protocolo para estos casos y las recomendaciones de la Agencia de Ciberseguridad y la Autoridad de Protección de Datos. 

El comisionado del rector para las Tecnologías de la Información y la Comunicación, Jordi Hernández, ha explicado al ARA que no tienen ninguna constancia de que toda esta documentación haya salido de sus servidores. "Tenemos una red informática que mantiene un registro de todo lo que pasa, si toda esta gran cantidad de datos hubiera salido habría quedado constancia en el registro, y no tenemos ninguna constancia", ha insistido Hernández.

Al día siguiente, los medios hablaban únicamente de la suspensión de las clases virtuales, pero ya se recogían declaraciones de los técnicos informáticos de la UAB reconociendo que la normalidad podría tardar "horas, días o semanas" en restablecerse.

La 'nueva normalidad' podría extenderse hasta 2022

Pues bien: días después, la normalidad sigue sin restablecerse. Y ya no se habla de "días o semanas", sino de meses, concretamente de diciembre o enero. Por ahora, la red eduroam sigue sin funcionar, pero se ha habilitado una WiFi abierta provisional.

Siguiendo las instrucciones difundidas por la UAB, se permite el uso de ordenadores en las aulas convencionales (las informatizadas siguen cerradas), pero siempre y cuando permanezcan desconectados en todo momento. En los primeros días muchos estudiantes tuvieron que volver al lápiz y al papel para tomar apuntes, y ahora su mayor problema radica en cómo pueden hacerles llegar los profesores los apuntes y documentos de clase.

Con ese fin, algunos profesores han puesto en marcha sistemas basados en Google Drive, a la espera de que el próximo 2 de noviembre se ponga en marcha un entorno online completo que Microsoft está poniendo en marcha, basado en OneDrive, Outlook y Teams (con este último sustituyendo al anterior Campus Virtual).

Entre los trabajos a realizar por el Servei d'Informàtica Distribuïda (SID) de la universidad destaca que tendrán que chequear unos 10.000 ordenadores portátiles para comprobar si han sido afectados.

El sistema de detección de los ordenadores infectados es un kit que consiste en un lápiz de memoria con un software que chequea el dispositivo. Se examinarán los aparatos del profesorado, investigadores, administrativos y personal de servicios. Se descarta que los ordenadores de los estudiantes, por el tipo de acceso externo al sistema que tienen, puedan haberse visto afectados por la infección.

Ransomware PYSA - Mespinoza

PYSA, el ransomware que ataca a las escuelas

Según Darktracer, en noviembre de 2021 acumulaba un total de 307 víctimas, de las cuales 59 se registraron ese mismo mes. Revisando los nombres de las víctimas en su sitio, identificamos organizaciones de España y de algunos países de América Latina, como Argentina, Brasil, Colombia y México.

El ransomware PYSA es una variante del ransomware Mespinoza.

PYSA, que significa “Protect Your System Amigo”, fue nombrada por primera vez en documentos de código abierto en diciembre de 2019, dos meses después de que Mespinoza fuera descubierto en estado salvaje . Mespinoza usó originalmente la .locked extensión en archivos cifrados y luego pasó a usar .pysa. Debido a esto, muchos usan los nombres PYSA y Mespinoza indistintamente.

PYSA, como muchas familias de ransomware conocidas, se clasifica como una herramienta de ransomware como servicio (RaaS) . Esto significa que sus desarrolladores han alquilado este ransomware listo para usar a organizaciones criminales, que pueden no ser lo suficientemente hábiles técnicamente para producir el suyo propio. Los clientes de PYSA pueden personalizarlo en función de las opciones proporcionadas por los grupos RaaS e implementarlo a su gusto. PYSA es capaz de extraer datos de sus víctimas antes de cifrar los archivos que se van a rescatar.

El ransomware PYSA tiene al menos tres vectores de infección conocidos: ataques de fuerza bruta contra consolas de administración y cuentas de Active Directory (AD) , correos electrónicos de phishing y conexiones no autorizadas de Protocolo de escritorio remoto ( RDP ) a controladores de dominio. Una vez dentro de una red, los actores de amenazas se toman su tiempo para escanear archivos usando Advanced Port Scanner y Advanced IP Scanner, ambos son software gratuito y se mueven lateralmente dentro de la red usando PsExec .

¿Cómo se distribuye el ransomware PYSA?

A diferencia de otras familias de ransomware conocidas, como Wannacry, PYSA utiliza la estrategia “operación humana” para su distribución e infección, ya que no se aprovecha de vulnerabilidades técnicas de manera automatizada. Por el contrario, los ataques de PYSA buscan obtener acceso a los sistemas de su víctima generalmente mediante:

  • Correos electrónicos con phishing elaborados a medida del objetivo (spearphishing).
  • Ataques de fuerza bruta contra sistemas desprotegidos con el protocolo RDP expuestos públicamente.

Comportamiento del ransomware PYSA en un equipo infectado

Al ejecutarse, PYSA crea un mutex para asegurarse que no haya otras instancias del ransomware corriendo en el mismo equipo. Si este ya existe, la amenaza finaliza su ejecución para prevenir un posible doble cifrado de los archivos de la víctima.

De continuar su ejecución, la amenaza sigue una lista de pasos muy específica:

  • Crea hilos de ejecución que se encargarán del mecanismo de cifrado.
  • Modifica de los registros del sistema para que la nota de rescate que se muestra a la víctima se abra cada vez que el equipo inicia.
  • Prepara un script, llamado update.bat, para luego remover cualquier rastro de la amenaza en materia de archivos.
  • Examina el sistema de archivos del equipo y genera dos listas, llamadas Allowlist y blacklist. En la primera, se incluyen archivos cuyas extensiones coincidan con una larga lista de extensiones interesantes, como .doc, .db, .zip, entre otros, y sean de mayor tamaño a 1 KB. En la segunda, se incluyen directorios críticos para el funcionamiento del sistema (como “C:\Windows”), ya que cifrarlos dificultaría el posible descifrado por parte de los atacantes. Al finalizar, todo archivo o directorio que no esté incluido en ninguna de las dos listas es marcado como “Allow”.
  • Cifra el contenido de la lista “Allowlist” y no modifica aquellos archivos en la blacklist.
Para el cifrado de los archivos, PYSA utiliza una técnica híbrida: Primero se cifran con el algoritmo de cifrado simétrico AES-CBC, el cual utiliza una llave y un vector de inicialización. Estas dos piezas de información, con las cuales se podría deshacer el cifrado, son luego cifradas bajo el algoritmo RSA.

Una característica interesante de esta amenaza es que el pago del rescate se realiza de forma directa con los atacantes. Más específicamente, le indican a la víctima que se contacte con ellos mediante varios correos electrónicos de Protonmail, un servicio de correo que se destaca por su alto grado de anonimato.

Luego de finalizar con su accionar, utiliza el script mencionado anteriormente para eliminar tanto la carpeta que se creó temporalmente (con la ruta <directorio donde PYSA fue ejecutado>/pysa), así como el propio script almacenado en la carpeta C:\Users\<usuario>\AppData\Local\Temp.

Fuentes:

https://es.ara.cat/sociedad/ataque-informatico-uab-habria-afectado-650-000-archivos-delincuentes-reclaman-3-m_1_4149340.html

https://www.genbeta.com/actualidad/uab-iba-a-tardar-dias-recuperarse-ciberataque-ransomware-ahora-expectativa-hacerlo-a-puertas-2022

https://www.welivesecurity.com/la-es/2021/12/27/ransomware-pysa-principales-caracteristicas/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.