Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
-
▼
septiembre
(Total:
72
)
- Disponible Parrot 5.1 con Linux 5.18 y AnonSurf 4.0
- Guía de de compra cable HDMI
- Vulnerabilidades de alta gravedad en servidor nomb...
- Actualización de seguridad crítica para WhatsApp e...
- Roban 160 millones de dólares de la agencia de cri...
- La policía de Londres detiene a Arion, joven autis...
- Rusia amenaza con ciberataques a infraestructuras ...
- Proton Drive, la nueva nube privada de Proton
- Grupo Guacamaya filtra 366 GB de correos electróni...
- Google Fotos estropea fotos antiguas almacenadas e...
- Putin otorga la ciudadanía rusa a Edward Snowden
- Rusia cambia Windows por Linux en todas las admini...
- "Empleado" enfadado filtra el cifrador del ransomw...
- Hackean el sistema de soporte al cliente de empres...
- Policía Nacional España usará el software israelí ...
- Estudio demuestra que el botón 'No me gusta' de Yo...
- nVidia presenta oficialmente las nuevas gráficas G...
- Multa de 35M$ para Morgan Stanley por subastar dis...
- Una pareja de Vietnam acabó hackeando una de las m...
- Alertan de nuevos ataques PsExec usando SMB en el ...
- Navegadores Chrome y Edge envían a la nube lo que ...
- La empresa de tecnología financiera Revolut tambié...
- Hackean RockStar y roban el código fuente de GTA V...
- Grave vulnerabilidad en el complemento premium WPG...
- Ladybird, un nuevo navegador web de código abierto...
- Adobe compra la empresa de software de diseño Figm...
- Mozilla, DuckDuckGo, Proton o Brave respaldan AICO...
- Adiós al minado de Ethereum con GPU's de tarjetas ...
- DDoS: Mitigando denegación de servicio con IPtables
- HP pagará hasta 96€ si tienes una de estas impreso...
- Uber es hackeada por un joven de 18 años por diver...
- La Policía Española desarticula una banda de phish...
- Se confirma que los SSD ya son más fiables que los...
- Ataques de ransomware utilizan como vector de ataq...
- Grupos de ransomware de Irán utilizan el cifrado B...
- Europa confirma la multa histórica a Google de 4.1...
- Diferentes técnicas de cifrado de archivos utiliza...
- Alerta de ataques Phishing contra cuentas Steam us...
- Utilizan una Raspberry Pi 4 para detectar la activ...
- Siguen aprovechando el permiso de accesibilidad pa...
- Apple publica de nuevo actualizaciones de emergenc...
- Un malware para Linux secuestra dispositivos IoT p...
- nmap, el escáner de puertos más popular, cumple 25...
- Comprometidos 200 mil usuarios de TheNorthFace que...
- El jefe de una empresa china de gaming es un robot...
- Albania expulsa a diplomáticos iraníes tras el cib...
- Venden documentos clasificados de la OTAN robados ...
- Estados Unidos incauta 30 millones dólares en crip...
- El sistema de vigilancia a gran escala de la UE po...
- Routers D-Link afectados por una variante de la Mi...
- Nueva nomenclatura de AMD para portátiles con CPU ...
- Grave vulnerabilidad en varios modelos NAS de Zyxel
- Apple presenta oficialmente el iPhone 14 y los nue...
- La cadena de hoteles InterContinental víctima de u...
- Ucranianos usaron perfiles falsos de mujeres para ...
- Los videojuegos más utilizados para infectar con m...
- Detectada nueva campaña de ransomware DeadBolt en ...
- El Canon Digital aumentará el precio de los teléfo...
- Actualizaciones de emergencia de Apple para modelo...
- Navegadores para Android que respetan la privacidad
- Multa de 405 millones € a Instagram por violación ...
- Unión Europea quiere 5 años de actualizaciones And...
- Hackean TikTok - WeChat y roban los datos de más d...
- Samsung fue hackeada en julio y robaron datos pers...
- Un comando equivocado liquidó una compañía de crip...
- Anonymous provoca un atasco masivo de taxis en Moscú
- Chile víctima de un ataque de un grupo de ransomware
- USB 4 promete velocidades de hasta 80 Gbps
- Se compra un casa por un error de Crypto.com: le d...
- La Policía de Chicago alerta por robo de coches Hy...
- Google pagará dinero por encontrar vulnerabilidade...
- Japón se prepara para abandonar el uso del disquet...
-
▼
septiembre
(Total:
72
)
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Diferentes técnicas de cifrado de archivos utilizadas por grupos de ransomware para evadir deteccion
Se observa una nueva tendencia en la escena del ransomware: cifrado intermitente o parcial de los archivos de las víctimas. Este método de cifrado ayuda a los operadores de ransomware a evadir los sistemas de detección y cifrar los archivos de las víctimas más rápido. Los desarrolladores de ransomware están adoptando cada vez más la función y publicitando intensamente el cifrado intermitente para atraer compradores o afiliados.
Cifrado intermitente
El cifrado intermitente es importante para los operadores de ransomware desde dos perspectivas:
- Velocidad : el cifrado puede ser un proceso que requiere mucho tiempo y el tiempo es crucial para los operadores de ransomware: cuanto más rápido cifren los archivos de las víctimas, es menos probable que los detecten y los detengan en el proceso. El cifrado intermitente provoca daños irreparables en un período de tiempo muy breve.
- Evasión : los sistemas de detección de ransomware pueden usar análisis estadísticos para detectar la operación de ransomware. Dicho análisis puede evaluar la intensidad de las operaciones de I/O de archivos o la similitud entre una versión conocida de un archivo, que no ha sido afectada por ransomware, y una versión cifrada y supuestamente modificada del archivo. En contraste con el cifrado completo, el cifrado intermitente ayuda a evadir dichos análisis al exhibir una intensidad significativamente menor de operaciones de I/O de archivos y una similitud mucho mayor entre las versiones cifradas y no cifradas de un archivo determinado.
A mediados de 2021, el ransomware LockFile fue una de las primeras familias importantes de ransomware en utilizar el cifrado intermitente para evadir los mecanismos de detección, cifrando cada 16 bytes de un archivo. Desde entonces, un número cada vez mayor de operaciones de ransomware se han sumado a la tendencia.
En esta publicación, revisamos varias familias de ransomware recientes que cuentan con cifrado intermitente en un intento de evadir la detección y la prevención: Qyick, Agenda, BlackCat (ALPHV), PLAY y Black Basta.
Qyick Ransomware
A finales de agosto de 2022, observamos a un usuario llamado lucrostm anunciando un nuevo ransomware comercial llamado Qyick en un popular foro de delincuencia basado en TOR. Hacemos un seguimiento del mismo usuario que un proveedor establecido de otras herramientas maliciosas, incluidas herramientas de acceso remoto y cargadores de malware.
La oferta de Qyick ransomware es una compra única, a diferencia del modelo de suscripción más común. El precio oscila entre 0,2 BTC y aproximadamente 1,5 BTC, según el nivel de personalización que requiera el comprador. El comprador recibe un ejecutable compilado con garantía: si el software de seguridad detecta el ransomware dentro de los 6 meses posteriores a la compra, el autor proporcionará una nueva muestra con un descuento de entre el 60% y el 80% del precio original.
Qyick está escrito en Go y cuenta con cifrado intermitente. lucrostm afirma que la velocidad aparente del ransomware Qyick se logra mediante el uso del cifrado intermitente y la implementación del ransomware en Go, lo que sugiere la tendencia actual de cifrado intermitente en la escena de amenazas de ransomware.
“Notablemente, Qyick presenta cifrado intermitente, que es lo que los chicos geniales están usando mientras lees esto. Combinado con el hecho de que está escrito en go, la velocidad es inigualable”.
La forma exacta en que Qyick realiza el cifrado intermitente está abierta a investigación a medida que haya muestras disponibles.
La versión actual de Qyick no tiene capacidades de exfiltración de datos. Sin embargo, lucrostm ha anunciado que las versiones futuras contarán con la ejecución de código ejecutable arbitrario, destinado principalmente a la ejecución de capacidades de exfiltración de datos.
Agenda Ransomware
El ransomware Agenda, detectado por primera vez en agosto de 2022, está escrito en Go y se ha utilizado principalmente para atacar a organizaciones de salud y educación en África y Asia. El ransomware tiene algunas opciones de personalización, que incluyen cambiar las extensiones de nombre de archivo de los archivos cifrados y la lista de procesos y servicios para terminar.
El ransomware Agenda admite varios modos de cifrado que el
operador del ransomware puede configurar a través de la configuración de
cifrado. La pantalla de ‘ayuda’ muestra los diferentes modos de
cifrado disponibles: skip-step
, percent
y fast
.
El análisis de Agenda reveló la siguiente información sobre cada modo.
Modo de cifrado | Descripción |
saltar-paso [saltar: N, paso: Y] | Cifre cada Y MB del archivo, omitiendo N MB. |
rápido [f:n] | Cifre los primeros N MB del archivo. |
porcentaje [n: N; páginas] | Cifre cada N MB del archivo, omitiendo P MB, donde P es igual a P% del tamaño total del archivo. |
BlackCat (ALPHV), el primer Ransomware-As-A-Service escrito en Rust
El ransomware BlackCat (o ALPHV) saltó a la fama a finales de 2021 y es el primer ransomware conocido escrito en el lenguaje de programación Rust. Los desarrolladores detrás de BlackCat fueron vistos por primera vez anunciando sus servicios a principios de diciembre de 2021 en un foro clandestino ruso.
El grupo de amenazas ALPHV ejecuta un programa de ransomware como
servicio (RaaS) y comparte pagos de rescate con afiliados. ALPHV
utiliza alojamiento a prueba de balas para alojar sus sitios web y un
mezclador de Bitcoin para anonimizar las transacciones.
El grupo de amenazas ALPHV es uno de los primeros en adoptar esquemas de extorsión, como amenazar a las víctimas con ataques DDoS, filtrar datos extraídos en línea e intimidar a los empleados y clientes de las organizaciones víctimas si no pagan el rescate. Las principales organizaciones y empresas han sido el objetivo del ransomware BlackCat en todo el mundo. Por ejemplo, en septiembre de 2022, el ransomware BlackCat apuntó a la empresa estatal de servicios energéticos de Italia, GSE.
Un estudio de evaluación que sometió archivos de diferentes tamaños (50 MB, 500 MB, 5 GB y 50 GB) al ransomware BlackCat reveló que el uso de cifrado intermitente puede ser de gran beneficio para los actores de amenazas. Por ejemplo, en contraste con el cifrado completo, el cifrado de archivos con el Automodo de cifrado de archivos resultó en una reducción notable del tiempo de procesamiento del reloj de pared a partir de un tamaño de archivo de 5 GB (8,65 segundos) y una reducción máxima en el tiempo de procesamiento del reloj de pared de 1,95 minutos con un tamaño de archivo de 50 GB. El tiempo de procesamiento de Wallclock es el tiempo total de Wallclock (en segundos) que el ransomware dedica a procesar un archivo, lo que incluye leer, cifrar y escribir el contenido del archivo. Los resultados completos de este estudio se presentarán en la Conferencia VirusBulletin 2022 .
BlackCat incluye alguna lógica interna para maximizar la velocidad de cifrado. El ransomware cifra los archivos utilizando el algoritmo de cifrado del Estándar de cifrado avanzado (AES) si la plataforma de la víctima implementa la aceleración de hardware AES. De lo contrario, el ransomware recurre al algoritmo ChaCha20 que está completamente implementado en el software.
PLAY Ransomware
El ransomware PLAY es un nuevo participante en la escena del ransomware y se detectó por primera vez a fines de junio de 2022. El ransomware ha victimizado recientemente a objetivos de alto perfil, como la Corte de Córdoba en Argentina en agosto de 2022. La nota de rescate de PLAY consta de una sola palabra – PLAY – y una dirección de correo electrónico de contacto.
A diferencia de Agenda y BlackCat, el ransomware PLAY no presenta modos de cifrado que el operador pueda configurar. PLAY organiza el cifrado intermitente según el tamaño del archivo que se está cifrando, cifrando fragmentos (porciones de archivo) de 0x100000 bytes. Por ejemplo, investigaciones anteriores afirman que, bajo ciertas condiciones, el ransomware PLAY cifra:
- 2 fragmentos, si el tamaño del archivo es menor o igual a 0x3ffffffff bytes;
- 3 fragmentos, si el tamaño del archivo es menor o igual a 0x27ffffffff bytes;
- 5 fragmentos, si el tamaño del archivo es superior a 0x280000000 bytes.
Black Basta Ransomware
Black Basta es un programa RaaS que surgió en abril de 2022 con muestras de ransomware que datan de febrero de 2022. La inteligencia actual indica que Black Basta surgió de las cenizas desmoronadas de la operación Conti . El ransomware está escrito en el lenguaje de programación C++ y es compatible con los sistemas operativos Windows y Linux. Los operadores de Black Basta utilizan el esquema de doble extorsión que amenaza a las organizaciones de víctimas con la filtración de datos exfiltrados en el sitio web basado en TOR del grupo de amenazas, Basta News, en caso de que las víctimas no paguen el rescate.
Black Basta está ganando terreno rápidamente en la escena del ransomware y se dirige a las principales organizaciones a nivel mundial: la operación de ransomware informó sobre más de 20 organizaciones víctimas en Basta News en las primeras dos semanas de su existencia. La orientación, especialmente al principio, se centró principalmente en las industrias de servicios públicos, tecnología, finanzas y manufactura. Por ejemplo, el principal fabricante alemán de materiales de construcción Knauf sufrió un ataque realizado por afiliados de Black Basta a fines de junio de 2022.
Al igual que el ransomware PLAY, Black Basta no presenta modos de encriptación que el operador del ransomware pueda configurar, sino que orquesta la encriptación intermitente según el tamaño del archivo encriptado. Black Basta encripta:
- todo el contenido del archivo, si el tamaño del archivo es inferior a 704 bytes;
- cada 64 bytes, comenzando desde el principio del archivo, saltándose 192 bytes, si el tamaño del archivo es inferior a 4 KB;
- cada 64 bytes, comenzando desde el principio del archivo, saltándose 128 bytes, si el tamaño del archivo es mayor a 4 KB.
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.