Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
-
▼
septiembre
(Total:
65
)
- LaLiga de España presenta MOOD, un sistema de moni...
- Seagate logra la peor tasa de fallos SSD en un est...
- Vivaldi llega a iOS ofreciendo privacidad y manten...
- ¿Cómo detectar si un texto fue escrito con Intelig...
- Raspberry Pi 5
- Microsoft quiere usar energía nuclear en sus centr...
- La FCC quiere recuperar la Neutralidad de Red
- RedPersist una herramienta de persistencia en Wind...
- Sony víctima de un ciberataque con filtración de 2...
- Meta Quest 3: en octubre por 500 dólares
- Signal Messenger presenta el cifrado a prueba de a...
- Cómo recuperar tu cuenta de WhatsApp robada: guía ...
- ChatGPT ahora puede ver, oír y hablar
- Amazon invertirá hasta 4.000 millones de dólares e...
- El 95 % de los NFT ya no valen nada
- Falso exploit para vulnerabilidad WinRAR infecta c...
- Microsoft desvela la nueva actualización de Window...
- Relay privado de iCloud
- OpenAI anuncia DALL-E 3 y lo integra de forma nati...
- El gobierno de Sri Lanka pierde meses de datos tra...
- El actor Stephen Fry denuncia el robo de su voz me...
- Bard ahora puede interactuar con aplicaciones de G...
- Así es el último phishing a través de Wallapop
- Elon Musk comienza "el reclutamiento" de humanos p...
- El tribunal y la FTC aseguran que Microsoft ha fil...
- Elon Musk quiere que Twitter sea de pago para todo...
- Twitter pedirá una identificación oficial para evi...
- Microsoft expone por error 38TB datos sensibles de...
- DeepNude: la aplicación que "desnuda" a cualquier ...
- Unity cambiará su tarifa basada en las veces que s...
- Lazarus robó 54 millones de dólares del exchange C...
- Federación Holandesa de Fútbol (KNVB) pagó un resc...
- MGM y Caesars Palace, hackeados con ransomware en ...
- Ransomware paraliza servicios en múltiples países:...
- ThemeBleed: exploit para vulnerabilidad en theme d...
- Irlanda multa a TikTok con 345 millones de euros p...
- Colombia: activan protocolos de emergencias por ra...
- Nueva función de Windows 11 bloquea los ataques ba...
- 3AM es un nuevo ransomware escrito en Rust
- iPhone 15 limitará la carga de la batería para red...
- Ciberataque masivo en Colombia: los portales y ser...
- Atacantes chinos robaron la clave de firma de Micr...
- Francia retira el iPhone 12 por emisiones de ondas...
- Dennis Austin: la mente detrás de PowerPoint, el p...
- Inyección de prompts: el mayor fallo de seguridad ...
- WhatsApp será compatible con Telegram, Signal y ot...
- Microsoft elimina los controladores de impresoras ...
- Vulnerabilidades en iMessage de Apple para infecta...
- Un youtuber pierde 50.000 dólares en criptomonedas...
- Google habilita la protección contra phishing en t...
- Microsoft te protegerá legalmente si alguien te de...
- El hackeo de LastPass habría facilitado el robo de...
- Las fabricas de Toyota se detuvieron por un disco ...
- La Comisión Europea designa a Google, WhatsApp y T...
- Rockstar está vendiendo sus juegos crackeados en S...
- Los ‘deepfakes’ de voz van a por tus ahorros
- Presionar INTRO para omitir el cifrado completo de...
- Un ciberataque paraliza al Ayuntamiento de Sevilla...
- Dimite el jefe de la Policía de Irlanda del Norte ...
- Extensiones del navegador maliciosas
- Archivo malicioso de Microsoft Word en un archivo ...
- Qishing: phishing en códigos QR
- Microsoft eliminará Wordpad de Windows tras cerca ...
- Acusan a escolares de manipular fotos de sus compa...
- X (Twitter) ahora podrá recopilar tus datos biomét...
-
▼
septiembre
(Total:
65
)
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
3AM es un nuevo ransomware escrito en Rust
Una novedosa familia de ransomware, bautizada como «3AM», ha emergido después de ser detectada en un incidente único. En este suceso, un afiliado no identificado desplegó esta cepa después de que fracasara en su intento de propagar LockBit (atribuido a Bitwise Spider o Syrphid) en la red objetivo.
Lo más destacable de 3AM es que está programado en Rust, lo que lo convierte en una entidad de malware completamente inédita. El modus operandi de este ransomware comienza antes de cifrar archivos, y es que 3AM intenta detener varios servicios que se ejecutan en el sistema infectado de varios productos de seguridad y copias de seguridad de proveedores como Veeam, Acronis, Ivanti, McAfee o Symantec. Una vez que se completa el proceso de cifrado, los archivos tienen la extensión .THREEAMTIME y el malware también intenta eliminar las copias de seguridad de Volume Shadow que podrían utilizarse para recuperar los datos.
La extorsión del ransomware 3AM sigue la tendencia común de robar datos antes de cifrarlos y dejar una nota de rescate (de donde proviene la denominación «3AM») amenazando con vender la información robada a menos que el atacante reciba un pago. A continuación, se muestra una copia editada del texto de la nota de rescate adjunta en un archivo llamado ‘RECOVER-FILES.txt‘ que está presente en cada carpeta que el malware escanea:
RECOVER-FILES.txt (https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/3am-ransomware-lockbit)"Hello. "3 am" The time of mysticism, isn't it? All your files are mysteriously encrypted, and the systems "show no signs of life", the backups disappeared. But we can correct this very quickly and return all your files and operation of the systems to original state. All your attempts to restore data by himself will definitely lead to their damage and the impossibility of recovery. We are not recommended to you to do it on our own!!! (or do at your own peril and risk). There is another important point: we stole a fairly large amount of sensitive data from your local network: financial documents; personal information of your employees, customers, partners; work documentation, postal correspondence and much more. We prefer to keep it secret, we have no goal to destroy your business. Therefore can be no leakage on our part. We propose to reach an agreement and conclude a deal. Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how they will be used. Please contact us as soon as possible, using Tor-browser: http://threeamxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.onion/recovery Access key: xxx"
La operación cuenta con un sitio de negociación muy básico en la red Tor que solo proporciona acceso a una ventana de chat de negociación basada en una clave de acceso proporcionada en la nota de rescate.
En el incidente detectado por Symantec, se informa que el atacante logró implementar el ransomware en tres máquinas de la red de la organización, aunque se encontró con obstáculos en dos de ellas.
Este ataque se distingue por el uso de varios componentes de Cobalt Strike en la fase de post-explotación y el uso de PsExec en la escalada de privilegios, seguido por la ejecución de comandos de reconocimiento (por ejemplo, whoami, netstat, quser y net share) y comandos destinados a identificar otros servidores para su movimiento lateral (por ejemplo, quser o net view). La vía exacta de entrada empleada en el ataque no se encuentra totalmente esclarecida.
Adicionalmente, se observó la creación de un nuevo usuario para asegurar la persistencia, así como el uso de la herramienta Wput para transferir archivos de las víctimas a un servidor FTP controlado por el atacante.
El ejecutable de 3AM, escrito en Rust y de 64 bits, ha sido diseñado para reconocer una serie de comandos destinados a detener programas relacionados con la seguridad y las copias de seguridad, cifrar archivos siguiendo criterios específicos y eliminar las copias de seguridad en sombra de volumen:
- «-k» – 32 caracteres en Base64, la «clave de acceso» en la nota de rescate.
- «-p» – desconocido
- «-h» – desconocido
- «-m» – método, donde el código verifica uno de dos valores antes de ejecutar la lógica de cifrado: «local» o «net»
- «-s» – determina desplazamientos dentro de los archivos para controlar la velocidad de cifrado, expresada como dígitos decimales.
Aunque los orígenes precisos de este ransomware permanecen desconocidos, existen pruebas que sugieren que el afiliado que lo empleó podría estar orientando sus acciones hacia otras entidades, como se mencionó en una publicación compartida en Reddit el 9 de septiembre de 2023.
«Nosotros mismos no hemos encontrado evidencia que indique que este actor de amenazas haya utilizado 3AM de nuevo, pero no nos sorprendería ver informes adicionales sobre su uso. Si un afiliado experimentado de LockBit lo está utilizando como alternativa, sugiere que los atacantes lo ven como una amenaza creíble».
Afirmó Dick O’Brien, analista principal de inteligencia de Symantec.
Symantec subraya que los afiliados de ransomware han ido adquiriendo cada vez más independencia respecto a los operadores de ransomware.
Aunque con frecuencia surgen nuevas familias de ransomware, la mayoría de ellas desaparecen tan rápido como aparecen o no logran ganar un alcance significativo. Sin embargo, el hecho de que 3AM haya sido empleado como un recurso de respaldo por un afiliado de LockBit sugiere que podría resultar de interés para los atacantes y podría resurgir en el futuro.
Más información:
- https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/3am-ransomware-lockbit
- https://www.reddit.com/r/hacking/comments/16domi3/anyone_recognize_this_ransomware/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.