Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Grupos de ransomware de Irán utilizan el cifrado BitLocker de MIcrosoft para atacar a sus víctimas


 Microsoft ha publicado una investigación realizada al grupo iraní conocido como DEV-0270 en la que han realizado ataques de cifrado de datos a víctimas usando la herramienta de cifrado de discos BitLocker que incorpora el propio sistema operativo de Microsoft.





El equipo de inteligencia de amenazas de Microsoft asegura que el grupo DEV-0270 (también conocido como Nemesis Kitten o Phosphorus) ha estado abusando de la función BitLocker de Windows en sus ataques y la ha usado para cifrar los datos de los discos de sus víctimas con la posterior petición de rescate a las mismas.

Los analistas de Microsoft comentan que los atacantes aprovechan cada vez más los LOLBINs (Living Off the Land Binaries), una técnica que se basa en aprovecharse de binarios propios del sistema para ocasionar un importante daño en un ataque, con una tasa de detección relativamente baja) en sus ataques. 

En este caso concreto se usa BitLocker, una función de protección de datos que proporciona cifrado de volumen completo en dispositivos que ejecutan Windows 10, Windows 11 o Windows Server 2016 y superior.


Cadena de ataque de DEV-0270 (Microsoft)

Según la investigación, el grupo utiliza DiskCryptor, un sistema de cifrado de disco de código abierto para Windows que permite el cifrado completo del disco duro de un dispositivo.

Desde el acceso de los atacantes a los equipos hasta la aparición de la nota de rescate de los equipos bloqueados pasaron aproximádamente dos días y en las notas se exige el pago de la cantidad de 8.000 dólares a cambio de las claves de desbloqueo de la información.

Para el descubrimiento de controladores de dominio, los atacantes hacen uso de los siguientes comandos de PowerShell y WMI:

"powershell.exe" /c Get-WMIObject Win32_NTDomain | findstr DomainController "findstr.exe" DomainController

Microsoft dice que este grupo de atacantes es una división del grupo «Phosphorus» respaldado por Irán (conocido también como Charmin Kitten y APT35) conocios por dirigir sus ataques a víctimas de alto perfil vinculadas a gobiernos, ONGs y organizaciones de defensa de todo el mundo.

El grupo DEV-0270 está siendo operado por una empresa iraní conocida bajo dos alias: Secnerd (secnerd[.]ir) y Lifeweb (lifeweb[.]it).

Estas organizaciones también están vinculadas a Najee Technology Hooshmand (ناجی تکنولوژی هوشمند), ubicada en Karaj, Irán, según las investigaciones.

El grupo suele ser oportunista en su orientación: escanean Internet para encontrar servidores y dispositivos, lo que hace que las organizaciones con servidores y dispositivos vulnerables y detectables sean susceptibles a estos ataques.

Dado que muchos de los ataques de DEV-0270 han explotado vulnerabilidades conocidas en Exchange (ProxyLogon) o Fortinet (CVE-2018-13379), se recomienda a las empresas parchear sus servidores y equipos para bloquear los intentos de explotación y los posteriores ataques de ransomware.

Fuentes:

https://unaaldia.hispasec.com/2022/09/ataque-de-cifrado-de-datos-en-sistemas-windows-con-bitlocker.html

https://www.microsoft.com/security/blog/2022/09/07/profiling-dev-0270-phosphorus-ransomware-operations/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.