Archivo de categoría Malwarebytes Empresas

Pormalwarebytes

Ataque de ransomware cierra el suministro de combustible de Colonial Pipeline

Ataque de ransomware cierra el suministro de combustible de Colonial Pipeline

Ataque de ransomware cierra el suministro de combustible de Colonial Pipeline

Al corriente: por 
Última actualización:

ACTUALIZACIÓN 10:47 a. M. Hora del Pacífico, 10 de mayo: a las 8:55 a. M., Hora del Pacífico, el FBI confirmó que Colonial Pipeline fue atacado por Darkside . Según una declaración publicada en Twitter, el FBI dijo:

“El FBI confirma que el ransomware Darkside es responsable del compromiso de las redes Colonial Pipeline. Seguimos trabajando con la empresa y nuestros socios gubernamentales en la investigación «.

 

 

La protección sin firma de Malwarebytes detecta todas las variantes conocidas de DarkSide.

Historia original a continuación:

El ransomware causó grandes problemas la semana pasada, ya que el famoso Colonial Pipeline fue víctima de un ciberataque devastador .

Presentando: el Oleoducto Colonial

El oleoducto existe para suministrar gasolina y otros productos en el sur y este de Estados Unidos. Estamos hablando desde Texas hasta Nueva Jersey. El oleoducto es el más grande de su tipo en los EE. UU. Y, según se informa, transporta casi la mitad del combustible consumido por la costa este.

Este es un volumen increíble de oferta y demanda, y cualquier cosa que salga mal podría ser desastrosa. Hay suficiente de qué preocuparse con accidentes más generales , sin la amenaza de que las personas entren maliciosamente en los sistemas.

Ahí es donde estamos ahora.

¿Qué sucedió?

El ransomware paralizó todo el viernes. Según quienes realizaron el análisis del ataque, es probable que los culpables sean un grupo conocido como DarkSide. Este es un grupo que saltó a la fama en 2020, a través de dudosas donaciones a organizaciones benéficas . Con todo ese ángulo de Robin Hood, robaron a las corporaciones y entregaron el dinero en efectivo a causas que sentían que lo merecían.

Bueno, lo intentaron.

Cuando la ayuda resulta ser un estorbo

Da la casualidad de que las organizaciones benéficas no quieren que un montón de dinero robado circule en sus cuentas bancarias. Los administradores de organizaciones benéficas pueden meterse en todo tipo de problemas. No solo organizaciones benéficas; cualquier organización podría terminar en una secuencia desconcertante de travesuras de lavado de dinero si no se tiene cuidado.

También hubo sospechas de que el acto del “Buen Samaritano” era una forma de encubrir el hecho de que todavía son delincuentes, robando dinero. El grupo detrás de estos ataques parecía haber captado el mensaje. La campaña de caridad de Robin Hood desapareció y nos preguntamos cuál sería el seguimiento del grupo criminal.

Si los investigadores están en lo cierto, esto es varios órdenes de magnitud más serio de lo que la gente podría haber imaginado.

 Poderes de emergencia y bloqueo

El gobierno de EE. UU. Declaró una emergencia y otorgó poderes de emergencia para garantizar que las personas aún reciban combustible. Esos poderes de emergencia permiten más flexibilidad para que los conductores transporten productos derivados del petróleo a varios lugares. Desde el texto:

La FMCSA está emitiendo una exención temporal de horas de servicio que se aplica a quienes transportan gasolina, diesel, combustible para aviones y otros productos refinados del petróleo a Alabama, Arkansas, Distrito de Columbia, Delaware, Florida, Georgia, Kentucky, Luisiana, Maryland, Mississippi, Nueva Jersey. , Nueva York, Carolina del Norte, Pensilvania, Carolina del Sur, Tennessee, Texas y Virginia.

El impacto digital a físico del ataque Colonial Pipeline

Las consecuencias de este ataque en el mundo real son claras y se extienden en varias direcciones. Existen los riesgos inmediatos de transportar combustible a lo largo de 5.500 millas y de que las personas no tengan suministros. También tenemos un peligro potencial en las carreteras, ya que aumenta el uso de las carreteras y los conductores tienen que afrontar horas de conducción potencialmente más largas. Precios del combustible? Aquellos parecen haber aumentado , aunque parece que el suministro debería reducirse durante unos días para que cause un impacto significativo. 

Finalmente, está el problema del cierre en sí. ¿Cuántos sistemas están comprometidos? ¿Cuál es el daño? ¿Pueden garantizar que desaparezcan todos los rastros de infección?

Si resulta ser DarkSide, seguramente destruirá todo su ángulo de Robin Hood. Y, si se debe creer en un mensaje reciente a través de DarkTracer (el mensaje no ha sido verificado por Malwarebytes), entonces el grupo no está fingiendo esta vez: «Nuestro objetivo es ganar dinero».

Si este atacante es DarkSide, claramente no ayuda a quienes lo necesitan a eliminar sus reservas de combustible.

Vienen por sus criptomonedas … tal vez

2021 ya se perfila como un año máximo para el ransomware. Las bandas de ransomware ahora tienen años de experiencia y creación de herramientas para aprovechar, efectivo en el banco y un auge de las criptomonedas del que sacar provecho. Es difícil imaginar que se mantenga el statu quo y parece inevitable que los gobiernos respondan enérgicamente.

Antes del ataque, el Departamento de Justicia de EE. UU. Ya anunció una revisión de 120 días de su enfoque para combatir las ciberamenazas , que incluirá un análisis de cómo las criptomonedas permiten el ciberdelito. Esto se hace eco de las preocupaciones planteadas en un plan estratégico reciente para abordar el ransomware , llevado a cabo por el Grupo de trabajo sobre ransomware. Entre muchas recomendaciones, el grupo de trabajo pidió que el ransomware sea tratado como una amenaza a la seguridad nacional y una mayor regulación del sector de las criptomonedas. Un curso de colisión parece inevitable en algún momento, y ya es un tema de conversación importante para los expertos en este campo.

Sin embargo, eso es para el futuro. Por ahora, nos quedamos con las líneas de suministro tambaleándose. Unos pocos megabytes de código, tal vez un correo electrónico perdido con un archivo adjunto dudoso, o tal vez incluso una vulnerabilidad del servidor que alguien no logró parchear a tiempo.

Pequeños problemas, enormes consecuencias.

Pormalwarebytes

Zoom deepfaker engaña a los políticos … dos veces

Zoom deepfaker engaña a los políticos ... dos veces

Zoom deepfaker engaña a los políticos … dos veces

Al corriente: por 

Nos dijo recientemente deepfakes “siguen siendo el arma de elección para las campañas de interferencia maligna, granjas trol, la venganza, la pornografía y celebridades a veces humorísticos cara swaps”. El escepticismo de que estas técnicas funcionarían a gran escala, como una elección, permanece. En el ámbito de la interferencia maligna y las payasadas a menor escala , sin embargo, los deepfakes continúan forjando nuevos caminos.

Una cosa es pretender ser agentes de la ley anónimos en el otro extremo de una llamada web, sin una participación falsa. Otra muy distinta es fingir profundamente al ayudante de un líder de la oposición rusa encarcelado.

Zoom en territorio deepfake

Recientemente, varios grupos de parlamentarios fueron engañados para que pensaran que estaban hablando con Leonid Volkov, un político ruso y jefe de gabinete de la campaña electoral presidencial de 2018 de Alexei Navalny. En cambio, a los parlamentarios holandeses y estonios en diferentes reuniones se les presentó una entidad completamente ficticia forjada en los incendios deepfake . Al observar los diversos informes sobre estos incidentes, no estamos del todo seguros de si Leonid falso respondió a las preguntas o se apegó a un guión escrito previamente. Tampoco sabemos si los culpables fingieron su voz o empalmaron fragmentos reales para formar oraciones. Según este informe , parece que la llamada de Zoom fue conversacional, pero los detalles son escasos. Lo más probable es que el objetivo del juego sea que los parlamentarios digan que quieren apoyar a la oposición rusa con mucho dinero. 

¿Cómo pasó esto?

Parece que no se siguieron las prácticas básicas de seguridad. Nadie verificó de antemano que fuera él. No se hizo ping a su correo electrónico, nadie dijo «Hola …» en las redes sociales. Esto es bastante increíble, teniendo en cuenta que las personas que hacen un Pregúntame cualquier cosa en Reddit mostrarán una nota de «Hola Reddit, soy yo» como mínimo. Con un procedimiento de seguridad tan inexistente en su lugar, seguramente se producirá un desastre.

Uno se pregunta, dada la ausencia de contacto con la Leonid real, cuán falsa Leonid había organizado las sesiones de Zoom en primer lugar. ¿ Alguien puede concertar una llamada con una sala de diputados si afirman ser otra persona? ¿Se realizan reuniones en línea con regularidad sin ningún esfuerzo para garantizar que todos los involucrados sean legítimos? Todo esto parece un poco peculiar y un poco preocupante.

Bloqueo de deepfakes: a largo plazo

Fuera del ámbito de las llamadas Zoom sin verificación con parlamentarios, se están llevando a cabo más movimientos para detectar deepfakes. SONY ha entrado en un campo de batalla ya poblado por herramientas de bricolaje e investigadores que intentan luchar contra la falsificación en línea. En otros lugares, tenemos mapas generados por IA . Si bien esto suena aterrador, no es algo por lo que debamos entrar en pánico todavía .

Los deepfakes continúan incrustándose más en la conciencia pública, lo que solo puede ayudar a crear conciencia sobre el tema. ¿Quieres algo de ficción para jóvenes adultos sobre deepfakes? ¡Seguro que sí ! ¿Actores que ayudan a popularizar el concepto de video falso como algo esperado? Absolutamente . Dondequiera que mires… ahí está.

Ruido de bajo nivel y desorientación silenciosa

Por ahora, las campañas de interferencia maligna y las travesuras a pequeña escala están a la orden del día. Nunca ha sido más importante tomar algunas medidas para verificar a sus conversadores basados ​​en la web. Ya sea un deepfake generado por IA o alguien con una peluca realmente convincente y una voz falsa, los políticos deben implementar algunas rutinas de verificación básicas.

La verdadera preocupación aquí es que si cayeron en esto, quién sabe qué más se les escapó por correo electrónico, redes sociales o incluso llamadas telefónicas antiguas. Tenemos que esperar que los sistemas de verificación que existan para los métodos alternativos de comunicación entre los políticos sean significativamente mejores que los anteriores.

Pormalwarebytes

Cómo están conectadas las bandas de ransomware, compartiendo recursos y tácticas

Cómo están conectadas las bandas de ransomware, compartiendo recursos y tácticas

Cómo están conectadas las bandas de ransomware, compartiendo recursos y tácticas

Al corriente: por 
Última actualización:

Muchos de los que leemos las noticias a diario nos encontramos con un ritmo de tambor regular de historias de ransomware que son a la vez preocupantes y desgarradoras. Y lo que muchos de nosotros no nos damos cuenta es que a menudo están interconectados. Algunas de las pandillas detrás de las campañas de ransomware sobre las que leímos han establecido una relación entre ellas que puede describirse como «estar aliadas entre sí», pero carecen de ciertos elementos que puedan cimentar su estatus como un verdadero cartel en lo digital. mundo subterráneo.

Este es el hallazgo general de Jon DiMaggio, conocido luminaria de ciberseguridad y estratega jefe de seguridad de Analyst1, una empresa de inteligencia de amenazas.

En un documento técnico titulado «Ransom Mafia – Análisis del primer cártel de ransomware del mundo» , DiMaggio y su equipo tenían como objetivo proporcionar una evaluación analítica sobre si realmente existe un cártel de ransomware, o si hay indicios de que era algo que las bandas de ransomware fabricaron. distraer a los investigadores y las fuerzas del orden.

Los lazos que unen

Analyst1 ha identificado dos fuertes conexiones entre los grupos afiliados mencionados en su informe que establece cómo trabajan juntos como algo así como un cartel. Ellos son:

Sitios de fuga de datos compartidos

Las pandillas dentro del cartel comparten información sobre las empresas que han atacado, así como todos los datos que han extraído. En un ejemplo, los investigadores vieron a Twisted Spider publicando datos de víctimas recopilados por la pandilla Lockbit y Viking Spider. Esto se suma a que estas bandas publican datos de la empresa en sus respectivos sitios de filtración.

Infraestructura compartida

SunCrypt se encontró utilizando direcciones IP e infraestructura de comando y control vinculada a Twisted Spider para entregar la carga útil de ransomware en sus campañas. Esto se observó 10 meses después de que Twisted Spider los usara en sus operaciones. Este tipo de intercambio de recursos solo puede ocurrir si ya se ha establecido una relación de confianza.

Analyst1 también ha identificado otros vínculos circunstanciales y técnicos entre los grupos que, por sí solos, no son medidas suficientes para una atribución precisa.

Otros hallazgos dignos de mención

La investigación incluye varios otros hallazgos dignos de mención:

  • Los datos de las víctimas no son lo único que estas bandas afiliadas se transmiten entre sí. También se les observó compartir tácticas, como la creciente proliferación y persistencia de su malware en la naturaleza al hacer que un paquete de Ransomware-as-a-Service (RaaS) esté disponible para otros delincuentes e infraestructura de comando y control (C&C) .
  • Las bandas afiliadas parecen estar en movimiento para automatizar sus ataques, en evidencia de las capacidades automatizadas adicionales que se encuentran en las cargas útiles de ransomware. La infección manual de las empresas comprometidas es un sello conocido de los actores de amenazas de ransomware de caza mayor (BGH).
  • Algunos de los grupos involucrados se han abierto a entrevistas con los medios en el pasado. También emiten sus propios comunicados de prensa desde sus propios sitios web y utilizan múltiples medios para acosar a las víctimas para que paguen.
  • Las pandillas afiliadas han afirmado ser parte de un cartel en algún momento del pasado. Aunque algunos de ellos ya han negado sus conexiones, la evidencia contradice esto.

¿Quién está en el cartel?

Analyst1 agrupó las bandas de ransomware afiliadas bajo la etiqueta «Ransom Cartel». Sin embargo, tenga en cuenta que este colectivo se había nombrado a sí mismo el «Cartel del Laberinto» el mismo año en que se estableció su relación de cooperación.

El desglose de dicho «Cartel de rescate» con las cepas de ransomware que utilizan. Hay al menos 4 pandilleros que conocemos que están afiliados. Los actores de amenazas de SunCrypt se disolvieron en septiembre de 2020 (Fuente: Analyst1).

El Cartel del rescate surgió en mayo de 2020. Se dice que Twisted Spider, la banda detrás del ransomware Maze y otros, es el grupo que inició su creación. Su principal motivación fue la ganancia económica.

La mayoría de estos grupos tienen su sede en Europa del Este y hablan principalmente ruso, un atributo que no ocultan en absoluto. Algunos de estos grupos han desarrollado malware que no es ransomware; sin embargo, todos los grupos se aseguraron de que ninguno de ellos afectara a los usuarios en Rusia y en la Comunidad de Estados Independientes (CEI) .

A continuación se muestra una breve descripción general de los grupos individuales que se dice que componen el Cartel de rescate (tenga en cuenta que no todos buscan un nombre oficial. Como tal, se nombran según la variante de ransomware que utilizan):

Araña retorcida

Otros alias: Maze Team, FIN6

Malware: ransomware Maze (anteriormente conocido como ChaCha), ransomware Egregor , gusano Qakbot, otros kits de explotación de productos básicos

Detecciones de Malwarebytes: Ransom.Maze , Ransom.Sekhmet , Worm.Qakbot , respectivamente

Pandilla LockBit

Otro (s) alias: ninguno

Software malicioso: ransomware LockBit, registrador de teclas Hakops

Detección de Malwarebytes: Ransom.LockBit , Trojan.Keylogger , respectivamente

Araña mago

Otros alias: Grim Spider (aclamado como un subconjunto de Wizard Spider), UNC1878, TEMP.MixMaster

Software malicioso: troyano TrickBot , ransomware Ryuk , ransomware Conti, ransomware MegaCortex, puerta trasera BazarLoader

Detección de Malwarebytes: Trojan.TrickBot , Ransom.Ryuk , Ransom.Conti , Ransom.MegaCortex , Trojan.Bazar , respectivamente

Araña vikinga

Otro (s) alias: Grupo Ragnar

Software malicioso: ransomware de casilleros Ragnar

Detección de Malwarebytes: Ransom.Ragnar

Pandilla SunCrypt

Otro (s) alias : ninguno

Software malicioso: ransomware SunCrypt

Detección de Malwarebytes: Ransom.SunCrypt

«¿Qué cartel?»

Aunque de hecho existe confianza y se comparten recursos y tácticas, entre estas bandas de ransomware, Analyst1 ha evaluado que el Cartel de ransomware no es un verdadero cartel. Su informe concluye que la cooperación de la que fue testigo carecía de algunos de los elementos necesarios para alcanzar el nivel de un cartel, sobre todo la participación en los beneficios.

Pormalwarebytes

PYSA, el ransomware que ataca a las escuelas

PYSA, el ransomware que ataca a las escuelas

PYSA, el ransomware que ataca a las escuelas

Al corriente: por 
Última actualización:

El problema de la ciberseguridad del sector de la educación se ha agravado en los últimos meses. Una advertencia reciente del FBI, a mediados de marzo, notificó a las escuelas de los EE. UU. Y el Reino Unido sobre un aumento de los ataques de los actores de amenazas detrás del ransomware PYSA.

Si es la primera vez que oye hablar de esta familia, siga leyendo.

¿Qué es el ransomware PYSA?

Imagen de la página de inicio del sitio de filtración de datos de PYSA (Cortesía de Marcelo Rivero)

El ransomware PYSA es una variante del ransomware Mespinoza.

PYSA, que significa “Protect Your System Amigo”, fue nombrada por primera vez en documentos de código abierto en diciembre de 2019, dos meses después de que Mespinoza fuera descubierto en estado salvaje . Mespinoza usó originalmente la .lockedextensión en archivos cifrados y luego pasó a usar .pysa. Debido a esto, muchos usan los nombres PYSA y Mespinoza indistintamente.

PYSA, como muchas familias de ransomware conocidas, se clasifica como una herramienta de ransomware como servicio (RaaS) . Esto significa que sus desarrolladores han alquilado este ransomware listo para usar a organizaciones criminales, que pueden no ser lo suficientemente hábiles técnicamente para producir el suyo propio. Los clientes de PYSA pueden personalizarlo en función de las opciones proporcionadas por los grupos RaaS e implementarlo a su gusto. PYSA es capaz de extraer datos de sus víctimas antes de cifrar los archivos que se van a rescatar.

Según Intel 471, una empresa de inteligencia de amenazas, PYSA / Mespinoza es un operador de RaaS de nivel 2, ya que ha ido ganando reputación en el mundo subterráneo. Los operadores o equipos que hacen esto tienen una página, llamada «lista de filtraciones», donde nombran y avergüenzan a las víctimas que deciden no pagar el rescate. Las víctimas se enumeran con un archivo adjunto que contiene archivos que los actores de la amenaza extrajeron de ellos.

El blog de «lista de fugas» de PYSA utiliza un tema antiguo de MS-DOS y arte ASCII. Los actores de las amenazas llaman explícitamente a sus organizaciones víctimas «Socios». (Cortesía de Marcelo Rivero)

El ransomware PYSA tiene al menos tres vectores de infección conocidos: ataques de fuerza bruta contra consolas de administración y cuentas de Active Directory (AD) , correos electrónicos de phishing y conexiones no autorizadas de Protocolo de escritorio remoto ( RDP ) a controladores de dominio. Una vez dentro de una red, los actores de amenazas se toman su tiempo para escanear archivos usando Advanced Port Scanner y Advanced IP Scanner, ambos son software gratuito y se mueven lateralmente dentro de la red usando PsExec .

Luego, los actores de amenazas ejecutan manualmente el ransomware dentro de la red después de filtrar todos los datos que necesitan para aprovechar. Los archivos se cifran mediante AES implementado con claves cifradas RSA.

¿Quién ha sido atacado por PYSA?

Se sabe que PYSA se dirige a grandes organizaciones privadas y a aquellas que pertenecen a la industria de la salud. También han afectado a grupos gubernamentales en varios continentes. Recientemente, PYSA se ha utilizado cada vez más contra instituciones educativas en los EE. UU. Y el Reino Unido.

A continuación se muestra una lista no exhaustiva de incidentes relacionados con PYSA:

  • En marzo de 2020, CERT Francia emitió una advertencia a los gobiernos locales franceses sobre el aumento de los ataques de PYSA.
  • En mayo de 2020, MyBudget, la empresa de administración de dinero de Australia, experimentó una “interrupción” que duró 13 días (del 9 al 22 de mayo). Las filtraciones de datos extraídos llegaron al blog de PYSA. Posteriormente, la compañía confirmó a iTWire el 29 de mayo que la larga interrupción fue causada por un ataque de ransomware. Sin embargo, al mes siguiente, las fuentes notaron que el nombre y los archivos de MyBudget fueron eliminados del blog de PYSA, lo que llevó a algunos a especular que pudo haber pagado el rescate, a pesar de las garantías de que «no tenía intención de comprometerse con las demandas de rescate».
  • En octubre de 2020, un “ciberataque grave” afectó al Hackney Council de Londres en el Reino Unido, dejándolo incapaz de procesar los pagos de las prestaciones de vivienda y provocando la caída de las compras de viviendas. Aunque al principio no hablaron de todo el incidente, se supo que los actores de la amenaza del ransomware PYSA estaban detrás del ataque después de filtrar los datos que extrajeron de la compañía en enero de 2021.

¿Malwarebytes detecta PYSA ransomware?

Estamos seguros de hacer. Detectamos es como Ransom.Mespinoza .

Indicadores de compromiso (IOC)

Hash SHA256:

  • 7fd3000a3afbf077589c300f90b59864ec1fb716feba8e288ed87291c8fdf7c3
  • e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead
  • a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327
  • 327934c4c11ba37f42a91e1b7b956d5a4511f918e63047a8c4aa081fd39de6d9
  • e4287e9708a73ce6a9b7a3e7c72462b01f7cc3c595d972cf2984185ac1a3a4a8
  • 327934c4c11ba37f42a91e1b7b956d5a4511f918e63047a8c4aa081fd39de6d9
  • f0939ebfda6b30a330a00c57497038a54da359e316e0d6e6e71871fd50fec16a
  • 48355bd2a57d92e017bdada911a4b31aa7225c0b12231c9cbda6717616abaea3
  • 0f0014669bc10a7d87472cafc05301c66516857607b920ddeb3039f4cb8f0a50
  • 61bb42fe06b3511d512af33ef59baa295b29bd62eb4d0bf28639c7910a65e4ae
  • 425945a93beb160f101d51de36363d1e7ebc45279987c3eaf5e7f183ed0a3776
  • a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327
  • 5510ae74b7e2a10fdafa577dc278612f7796b0252b7d1438615e26c49e1fc560
  • 1a0ff707938a1399e23af000567806a87fff9b8789ae43badb4d28d4bef1fb81
  • b1381635c936e8de92cfa26938c80a359904c1d709ef11ee286ba875cfb7b330

Archivo de nota de rescate, Readme.README, que incluye el siguiente contenido:

Hola compañia

Cada byte de cualquier tipo de dispositivo se cifró.
No intente utilizar copias de seguridad porque también están cifradas.

Para recuperar todos sus datos, comuníquese con nosotros:
{2 @ protonmail.com direcciones de correo electrónico}

————–

PREGUNTAS MÁS FRECUENTES:

1.

P: ¿Cómo puedo asegurarme de que no me engañas?

R: Puede enviarnos 2 archivos (máximo 2 MB).

2.

P: ¿Qué hacer para recuperar todos los datos?

R: No reinicie la computadora, no mueva archivos y escríbanos.

3.

P: ¿Qué decirle a mi jefe?

R: Protege tu sistema Amigo.

Pormalwarebytes

El FBI advierte sobre el aumento de los ataques de ransomware PYSA dirigidos a la educación

El FBI advierte sobre el aumento de los ataques de ransomware PYSA dirigidos a la educación

El FBI advierte sobre el aumento de los ataques de ransomware PYSA dirigidos a la educación

Al corriente: por 

El 16 de marzo, la Oficina Federal de Investigaciones (FBI) emitió una alerta «Flash» sobre el ransomware PYSA después de un aumento en los ataques de este mes contra instituciones en el sector educativo, particularmente educación superior, K-12 y seminarios. Según la alerta [PDF], el Reino Unido y 12 estados de EE. UU. Ya se han visto afectados por esta familia de ransomware.

PYSA, también conocida como Mespinoza, se vio por primera vez en estado salvaje en octubre de 2019, donde se usó inicialmente contra grandes redes corporativas.

CERT Francia emitió una alerta hace un año sobre PYSA ampliando su alcance para incluir organizaciones gubernamentales francesas y otros gobiernos e instituciones fuera de Francia. PYSA fue categorizado como uno de los cazadores de caza mayor, uniéndose a las filas de Ryuk , Maze y Sodinokibi (REvil) . Los ataques de ransomware de «gran juego» se dirigen a organizaciones enteras, y los actores de amenazas operan su ransomware manualmente, después de pasar tiempo ingresando a las redes de una organización y realizando reconocimientos.

PYSA / Mespinoza puede llegar a las redes de las víctimas a través de campañas de phishing o mediante la fuerza bruta de las credenciales del Protocolo de escritorio remoto (RDP) para obtener acceso.

Antes de descargar y detonar la carga útil del ransomware, también se descubrió que los actores de amenazas detrás de este ransomware realizaban un reconocimiento de red utilizando herramientas de código abierto como Advanced Port Scanner y Advanced IP Scanner. También instalan otras herramientas similares, como Mimikatz, Koadic y PowerShell Empire (por nombrar algunas), para escalar privilegios y moverse lateralmente.

Los actores de la amenaza desactivan la protección de seguridad en la red, filtran archivos y cargan los datos robados en Mega.nz, un servicio de almacenamiento y uso compartido de archivos en la nube. Después de esto, PYSA se implementa y ejecuta. Todos los archivos cifrados en Windows y Linux, las dos plataformas a las que se dirige principalmente este ransomware, tendrán el .pysasufijo.

El informe del FBI también revela una posible táctica de doble extorsión que podría ocurrir contra las víctimas: “En incidentes anteriores, los ciber actores exfiltraron registros de empleo que contenían información de identificación personal (PII), información de impuestos sobre la nómina y otros datos que podrían usarse para extorsionar a las
víctimas para pagar un rescate «.

En los últimos seis meses, el FBI y otras organizaciones encargadas de hacer cumplir la ley han estado advirtiendo al sector educativo sobre una mayor actividad de amenazas contra ellos. Y esto no se limita solo a los ataques de ransomware. También entran en juego las campañas de phishing y la typosquatting de dominios .

La alerta «Flash» del FBI incluye estas mitigaciones recomendadas para objetivos potenciales.

Para prevenir ataques:

  • Instale actualizaciones de seguridad para sistemas operativos, software y firmware tan pronto como se publiquen.
  • Utilice la autenticación multifactor siempre que sea posible.
  • Evite reutilizar contraseñas para diferentes cuentas e implemente el plazo más corto aceptable para los cambios de contraseña.
  • Desactive los puertos RDP no utilizados y supervise el acceso remoto / registros RDP.
  • Audite las cuentas de usuario con privilegios administrativos y configure los controles de acceso con los privilegios más bajos que pueda.
  • Utilice software antivirus y antimalware actualizado en todos los hosts.
  • Utilice únicamente redes seguras y evite el uso de redes Wi-Fi públicas. Considere instalar y usar una VPN.
  • Considere agregar un banner de correo electrónico a los mensajes que provengan de fuera de su organización.
  • Deshabilite los hipervínculos en los correos electrónicos recibidos.
  • Brindar a los usuarios capacitación sobre los principios y técnicas de seguridad de la información, así como los riesgos emergentes de seguridad cibernética.

Para mitigar los efectos de un ataque:

  • Realice copias de seguridad de los datos y utilice espacios vacíos y contraseñas para que los atacantes no puedan acceder a ellos.
  • Utilice la segmentación de la red para dificultar el movimiento lateral.
  • Implemente un plan de recuperación y mantenga varias copias de datos confidenciales o de propiedad en ubicaciones seguras, segmentadas y separadas físicamente.
Pormalwarebytes

¡Actualizar ahora! Chrome corrige parches de día cero

¡Actualizar ahora!  Chrome corrige parches de día cero en la naturaleza

¡Actualizar ahora! Chrome corrige parches de día cero 

Al corriente: por 

El equipo de investigación de vulnerabilidades del navegador de Microsoft ha encontrado e informado una vulnerabilidad en el componente de audio de Google Chrome. Google ha solucionado esta vulnerabilidad de alta gravedad ( CVE-2021-21166 ) en su navegador Chrome y advierte a los usuarios de Chrome que existe un exploit en la naturaleza para la vulnerabilidad. No es la primera vez que un exploit ataca el componente de audio de Chrome.

No hay detalles disponibles

Los detalles adicionales sobre la vulnerabilidad están restringidos hasta que la mayoría de los usuarios de Chrome se hayan actualizado a la versión parcheada del software. Lo que sí sabemos es que se trata de un problema del ciclo de vida de un objeto en el componente de audio del navegador.

Un ciclo de vida de un objeto se utiliza en la programación orientada a objetos para describir el tiempo entre la creación de un objeto y su destrucción. Fuera del ciclo de vida, el objeto ya no es válido, lo que podría generar una vulnerabilidad.

Por ejemplo, si todo sale según lo planeado con el ciclo de vida, la cantidad correcta de memoria de la computadora se asigna y se recupera en los momentos adecuados. Si no funciona bien y la memoria está mal administrada, eso podría conducir a una falla, o vulnerabilidad, en el programa.

Más vulnerabilidades parcheadas en la actualización

Como es habitual, Google corrigió varias otras vulnerabilidades y errores en la misma actualización. Algunas de las otras vulnerabilidades se enumeraron con alta gravedad:

Google dijo que solucionó tres fallas de desbordamiento del búfer de pila en los componentes TabStrip ( CVE-2021-21159 , CVE-2021-21161 ) y WebAudio ( CVE-2021-21160 ). Se encontró un error de uso después de la liberación de alta gravedad ( CVE-2021-21162 ) en WebRTC. Otras dos fallas de alta gravedad incluyen un problema de validación de datos insuficientes en el modo de lectura ( CVE-2021-21163 ) y un problema de validación de datos insuficientes en Chrome para iOS ( CVE-2021-21164 ).

Los CVE

Las fallas de seguridad informática divulgadas públicamente se enumeran en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE). Su objetivo es facilitar el intercambio de datos a través de capacidades de vulnerabilidad separadas (herramientas, bases de datos y servicios).

  • CVE-2021-21159, CVE-2021-21161: Desbordamiento del búfer de pila en TabStrip. Montón es el nombre de una región de la memoria de un proceso que se utiliza para almacenar variables dinámicas. Un desbordamiento de búfer es un tipo de vulnerabilidad de software que existe cuando un área de memoria dentro de una aplicación de software alcanza su límite de dirección y escribe en una región de memoria adyacente. En el código de explotación de software, dos áreas comunes que están destinadas a los desbordamientos son la pila y el montón.
  • CVE-2021-21160: Desbordamiento del búfer de pila en WebAudio.
  • CVE-2021-21162: Úselo después de forma gratuita en WebRTC. Use after free (UAF) es una vulnerabilidad debido al uso incorrecto de la memoria dinámica durante el funcionamiento de un programa. Si después de liberar una ubicación de memoria, un programa no borra el puntero a esa memoria, un atacante puede usar el error para manipular el programa. WebRTC permite a los programadores agregar capacidades de comunicación en tiempo real a su aplicación.
  • CVE-2021-21163: Validación de datos insuficiente en modo Lector. Una validación de datos insuficiente podría permitir a un atacante utilizar entradas especialmente diseñadas para manipular un programa.
  • CVE-2021-21164: Validación de datos insuficiente en Chrome para iOS.

Cuando salgan a la luz más detalles sobre las vulnerabilidades, es posible que se encuentren más exploits en la naturaleza. Depende mucho de qué tan fácil sea abusar de ellos y qué tan grande puede ser el posible impacto. Pero con uno que ya se está utilizando en la naturaleza, es aconsejable actualizarlo ahora.

Como actualizar

La forma más fácil de hacerlo es permitir que Chrome se actualice automáticamente, que básicamente utiliza el mismo método que describí a continuación, pero no requiere su atención. Pero puede terminar rezagado si nunca cierra el navegador o si algo sale mal, como una extensión que le impide actualizar el navegador.

Por lo tanto, no está de más comprobarlo de vez en cuando. Y ahora sería un buen momento.

Mi método preferido es que Chrome abra la página chrome: // settings / help, que también puede encontrar haciendo clic en Configuración> Acerca de Chrome .

Si hay una actualización disponible, Chrome se lo notificará y comenzará a descargarla. Luego le dirá que todo lo que tiene que hacer para completar la actualización es reiniciar el navegador.

Chrome actualizado
Después de la actualización, su versión debería estar en 89.0.4.4389.72 o posterior
Pormalwarebytes

Clop apunta a ejecutivos, las tácticas de ransomware dan otro giro

Clop apunta a ejecutivos, las tácticas de ransomware dan otro giro

Clop apunta a ejecutivos, las tácticas de ransomware dan otro giro

Al corriente: por 

Los vendedores ambulantes de ransomware han dado otro giro tortuoso a la reciente tendencia a la exfiltración de datos. Después de entrevistar a varias víctimas del ransomware Clop, ZDNet descubrió que sus operadores parecen apuntar sistemáticamente a las estaciones de trabajo de los ejecutivos . Después de todo, es más probable que los altos directivos tengan información confidencial en sus máquinas.

Si esta táctica funciona, y podría funcionar, es probable que otras familias de ransomware sigan su ejemplo, tal como han copiado otras tácticas exitosas en el pasado.

¿Qué es el ransomware Clop?

Clop se vio por primera vez en febrero de 2019 como una nueva variante en la familia Cryptomix , pero ha seguido su propio camino de desarrollo desde entonces. En octubre de 2020 se convirtió en el primer ransomware en exigir un rescate de más de 20 millones de dólares. La víctima, la empresa de tecnología alemana Software AG , se negó a pagar. En respuesta, los operadores de Clop publicaron información confidencial que habían recopilado durante el ataque, en un sitio web de la web oscura.

Sitio de filtración de la Dark Web de Clop

Tácticas de imitador

Cuando nos encontramos por primera vez con ransomware de cifrado de archivos, nos quedamos asombrados y horrorizados al mismo tiempo. La simplicidad de la idea, a pesar de que se requirió un poco de habilidad para perfeccionar una rutina de cifrado sólida, fue de un tipo que se reconoce de inmediato como algo duradero.

Desde entonces, el ransomware se ha desarrollado de formas que hemos visto antes en otros tipos de malware, pero también ha introducido algunas técnicas completamente nuevas. La orientación de Clop a los ejecutivos es solo la última en la lista de innovaciones que hemos presenciado en los últimos años.

Echemos un vistazo rápido a algunas de estas innovaciones que van desde trucos técnicos hasta ingeniería social avanzada.

Ataques dirigidos

La mayoría de las familias exitosas de ransomware se han alejado de las tácticas de rociar y orar a ataques más dirigidos. En lugar de intentar cifrar muchos equipos individuales mediante campañas de correo electrónico maliciosas, los atacantes ingresan manualmente a las redes corporativas e intentan paralizar organizaciones enteras.

Un atacante generalmente accede a la red de una víctima utilizando vulnerabilidades conocidas o intentando forzar una contraseña en un puerto RDP abierto . Una vez que hayan ingresado, probablemente intentarán escalar sus privilegios, mapear la red, eliminar copias de seguridad y difundir su ransomware a tantas máquinas como sea posible.

Exfiltración de datos

Una de las adiciones más recientes al arsenal de ransomware es la exfiltración de datos. Durante el proceso de infiltrarse en la red de una víctima y cifrar sus computadoras, algunas bandas de ransomware también exfiltran datos de las máquinas que infectan. Luego amenazan con publicar los datos en un sitio web o subastarlos. Esto les da a los delincuentes una ventaja adicional contra las víctimas que no pagarán, o no necesitarán, para descifrar sus datos.

Este giro adicional fue introducido por Ransom.Maze, pero también lo utilizan Egregor y Ransom.Clop, como mencionamos anteriormente.

Esconderse dentro de máquinas virtuales

Te advertí sobre las innovaciones técnicas. Este se destaca entre ellos. Como se menciona en nuestro Informe sobre el estado del malware de 2021 , la banda de ransomware RagnarLocker encontró una nueva forma de cifrar archivos en un punto final mientras evitaba la protección anti-ransomware.

Los operadores del ransomware descargan una imagen de máquina virtual (VM), la cargan silenciosamente y luego lanzan el ransomware dentro, donde el software de protección de endpoints no puede verlo. El ransomware accede a los archivos del sistema host a través de las «carpetas compartidas» de la máquina invitada.

Cifrado de discos duros virtuales

También se menciona en el informe State of Malware 2021 el ransomware RegretLocker que encontró una forma de encriptar discos duros virtuales (VHD). Estos archivos son archivos enormes que contienen el disco duro de una máquina virtual. Si un atacante quisiera encriptar el VHD, soportaría un proceso dolorosamente lento (y cada segundo cuenta cuando intentas que no te atrapen) debido al tamaño de estos archivos.

RegretLocker utiliza un truco para «montar» los discos duros virtuales, de modo que sean tan fácilmente accesibles como un disco duro físico. Una vez hecho esto, el ransomware puede acceder a los archivos dentro del VHD y cifrarlos individualmente, robarlos o eliminarlos. Este es un método de cifrado más rápido que intentar apuntar a todo el archivo VHD.

Frustrar la seguridad y la detección

El ransomware también está mejorando para evitar la detección y deshabilitar el software de seguridad existente. Por ejemplo, el ransomware Clop detiene 663 procesos de Windows (que es una cantidad asombrosa) e intenta deshabilitar o desinstalar varios programas de seguridad, antes de iniciar su rutina de cifrado.

Detener estos procesos libera algunos archivos que de otro modo no podría cifrar, porque estarían bloqueados. También reduce la probabilidad de activar una alerta y puede dificultar la producción de nuevas copias de seguridad.

¿Qué sigue?

Queda por ver si la nueva táctica de Clop será copiada por otras familias de ransomware o cómo podría evolucionar.

Se ha especulado que la táctica de amenazar con filtrar datos extraídos ha reducido las expectativas de algunas víctimas de que pagar el rescate será el fin de sus problemas. Dirigirse específicamente a los datos de los ejecutivos puede ser una forma de corregir esto, aumentando la presión sobre las víctimas.

Clop, o un imitador, también puede intentar usar la información que se encuentra en las máquinas de los gerentes para difundirla a otras organizaciones. Considere, por ejemplo, el método conocido como secuestro de hilos de conversaciones de correo electrónico, que utiliza las conversaciones de correo electrónico existentes (y, por lo tanto, las relaciones de confianza) para propagarse a nuevas víctimas. O la información podría venderse a los actores de amenazas que se especializan en el compromiso del correo electrónico empresarial (BEC) .

Para aquellos interesados, los IOC y otros detalles técnicos sobre Clop se pueden encontrar en el perfil de detección de Ransom.Clop .

Pormalwarebytes

Extorsión, malware de precisión y estafas despiadadas. Lea el informe Estado del Malware 2021

Extorsión, malware de precisión y estafas despiadadas. Lea el informe State of Malware 2021

Extorsión, malware de precisión y estafas despiadadas. Lea el informe State of Malware 2021

Al corriente: por 

El año pasado, los actores de amenazas se aprovecharon de la crisis de salud pública de COVID-19 de una manera que antes se consideraba inimaginable, no solo aprovechando la incertidumbre y el miedo durante los meses iniciales de la pandemia global, sino también modificando los métodos de ataque, incumpliendo las promesas, fortaleciendo el malware, y extorsionar a las víctimas por una suma de $ 100 millones, y eso sin la amenaza del cifrado de ransomware.

En resumen, en 2020 evolucionaron las ciberamenazas.

Hoy, mostramos a los lectores cómo era esa evolución, en nuestro informe State of Malware 2021 . Este informe proporciona nuestro análisis más completo de las tendencias de malware del año pasado, con desgloses por categoría de malware, tipo de malware, sistema operativo, región, industria y más.

Estas son las conclusiones clave de lo que aprendimos en 2020:

  • Las detecciones de malware en las computadoras comerciales con Windows disminuyeron en un 24% en general, pero las detecciones de HackTools y Spyware en Windows aumentaron drásticamente, en un 147% y un 24%, respectivamente.
  • Entre las cinco principales amenazas para las empresas y los consumidores se encuentran el cracker de software de Microsoft Office KMS, el malware bancario Dridex y BitCoinMiners; las detecciones de negocios para KMS y Dridex aumentaron en un 2,251% y un 973%, respectivamente
  • Las detecciones de las amenazas comerciales más notorias, Emotet y Trickbot, cayeron este año en un 89% y 68% respectivamente, aunque los operadores detrás de estas amenazas aún realizaron varios grandes ataques en 2020.
  • Un nuevo ransomware llamado Egregor entró en escena a finales de 2020, desplegado en ataques contra Ubisoft, K-Mart, Crytek y Barnes & Noble.
  • En general, las detecciones de Mac disminuyeron un 38%, aunque las detecciones de Mac para empresas aumentaron un 31%
  • El malware representó solo el 1,5% de todas las detecciones de Mac en 2020; el resto se puede atribuir a programas potencialmente no deseados (PUP) y adware
  • ThiefQuest engañó a muchos investigadores haciéndoles creer que era el primer ejemplo de ransomware en macOS desde 2017, pero el malware ocultaba su actividad real de exfiltración masiva de datos. Representó más de 20.000 detecciones en 2020
  • En Android, HiddenAds, que envía anuncios a los usuarios de forma agresiva, acumuló 704.418 detecciones, un aumento de casi el 149%.
  • Descubrimos dos veces malware preinstalado en teléfonos proporcionados por Assurance Wireless a través del programa Lifeline Assistance, financiado por el gobierno de EE. UU.
  • Las detecciones de aplicaciones de tipo Stalkerware, que incluyen detecciones de aplicaciones Monitor y aplicaciones Spyware en Android, aumentaron junto con las órdenes de refugio en el lugar que los gobiernos comenzaron a implementar en febrero y marzo: las detecciones de aplicaciones Monitor aumentaron de enero a diciembre en un 565%; Las detecciones de aplicaciones de software espía aumentaron durante el mismo período de tiempo en un 1.055%
  • La industria agrícola sufrió un aumento del 607% en las detecciones de malware, mientras que las detecciones en la industria de alimentos y bebidas aumentaron en un 67%.
  • Los objetivos más tradicionales, como manufactura, atención médica y médica, y automotriz, experimentaron caídas en las detecciones en diversos grados: la educación cayó un 17%, la atención médica cayó un 22% y la industria automotriz disminuyó un 18%

Como puede ver en estos hallazgos, 2020 resultó ser un año tumultuoso.

Cuando los casos de COVID-19 comenzaron a aumentar en varios países, los ciberdelincuentes se aprovecharon de los temores de las personas sin piedad, con una avalancha de correos electrónicos de phishing y estafas de coronavirus.

En todo el mundo, los gobiernos intentaron evitar que sus hospitales se vean abrumados ordenando cierres, órdenes de permanencia en el lugar y cierres de escuelas. Para abril de 2020, se había pedido u ordenado a la mitad de la población mundial que se quedara en casa. A medida que empresas enteras cambiaron al trabajo remoto, los equipos de TI se encontraron tratando de convertir proyectos de meses de duración en días, con la seguridad como una víctima desafortunada pero comprensible.

Ante un nuevo panorama, los ciberdelincuentes abandonaron algunas tácticas antiguas y pusieron un nuevo énfasis en la recopilación de inteligencia. Y a medida que la gente se adaptaba a su «nueva normalidad», los estafadores explotaron su aislamiento con un resurgimiento de las estafas de soporte técnico. También surgieron nuevos adversarios de la madera. El cierre global de abril estuvo acompañado por un aumento asombroso en el uso de stalkerware, un término abreviado para el tipo de aplicaciones de monitoreo móvil y software espía que a veces implementan socios abusivos.

La pandemia también creó nuevos desafíos para la privacidad en línea. A medida que los países recurrieron al rastreo de contactos digital para contener los brotes, surgió una dura dicotomía: es posible que las personas tengan privacidad personal o rastreo de contactos efectivo, pero probablemente no ambos. En todo el mundo, el avance de la legislación que preserva la privacidad se ralentizó.

Y lo que comenzó como una crisis de salud mundial pronto se convirtió también en una crisis económica mundial, y casi ningún negocio salió ileso. El destino de diferentes sectores industriales se reflejó en la cantidad de ciberataques que sufrieron. A medida que los sectores manufacturero y automotriz se contrajeron, los atacantes simplemente volvieron sus rostros hacia la agricultura y otras industrias esenciales. Las bandas de ransomware incumplieron sus promesas iniciales de mantenerse alejadas de los hospitales y, en cambio, alcanzaron nuevos mínimos, atacando hospitales e instalaciones médicas en campañas organizadas.

A pesar de todo, hay una forma de negocio que parece haber prosperado en 2020: la creación y operación de software malicioso. El ritmo de la innovación se aceleró en 2020 a medida que surgieron muchas familias de malware completamente nuevas. Las bandas de ransomware también continuaron aprendiendo unas de otras, y las tácticas exitosas se extendieron rápidamente entre ellas. Quizás la nueva táctica más importante que surgió fue la “doble extorsión”, en la que los grupos de ciberdelincuentes extorsionaban más dinero con amenazas de filtrar datos confidenciales que descifrando computadoras comprometidas.

Si 2020 nos enseñó algo, es que el ciberdelito se detiene para nada. No hay objetivos ni oportunidades de explotación que estén más allá de los límites.

Afortunadamente, el año también tuvo otra lección para nosotros: que hay héroes en todas partes. Los profesionales de la salud, los maestros y otros trabajadores esenciales merecen con razón el mayor reconocimiento, pero surgieron héroes en todas las áreas de la vida. Por lo tanto, queremos agradecer enormemente al ejército anónimo de administradores de sistemas y profesionales de la seguridad que trasladaron montañas en 2020 para mantener a millones de personas seguras en línea mientras el mundo que los rodeaba se volvía de cabeza.

Pormalwarebytes

Dispositivos Android atrapados en la botnet Matryosh

Dispositivos Android atrapados en la botnet Matryosh

Dispositivos Android atrapados en la botnet Matryosh

Al corriente: por 

Los investigadores de Netlab han descubierto una nueva botnet que reutiliza el marco Mirai para atraer dispositivos Android vulnerables a ataques DDoS .

La nueva botnet, que se llama Matryosh, lleva el nombre de las muñecas de anidación rusas porque el algoritmo de cifrado que utiliza y el proceso de obtención de comando y control (C2) están anidados en capas. La botnet admite ataques DDoS mediante ataques tcpraw, icmpecho y udpplain.

¿Cómo se propaga Matryosh?

Como otras botnets anteriores, Matryosh se propaga a través de Android Debug Bridge (ADB) , una interfaz de diagnóstico y depuración que usa el puerto 5555. Si bien ADB tiene un uso genuino para los desarrolladores, un ADB orientado a Internet también abre el camino para ataques remotos.

Desafortunadamente, algunos proveedores están enviando dispositivos Android con el puerto 5555 abierto. Esto permite a los desarrolladores comunicarse con dispositivos de forma remota para controlar un dispositivo y ejecutar comandos, que generalmente se utilizan con fines de diagnóstico y depuración. Pero también crea una puerta trasera para cualquier otro atacante que se conecte a este puerto.

Puente de depuración de Android

ADB es una herramienta de línea de comandos versátil que le permite comunicarse con un dispositivo Android y facilita una variedad de acciones del dispositivo, como instalar y depurar aplicaciones. También proporciona acceso a un shell que puede usar para ejecutar una variedad de comandos en un dispositivo.

Aunque Android se conoce comúnmente como un sistema operativo popular para teléfonos, también se usa como sistema operativo para cualquier cantidad de «Cosas» conectadas a Internet, como bicicletas estáticas y televisores.

Para completar el desastre potencial, ADB no requiere autenticación, lo que significa que cualquiera puede conectarse a un dispositivo que ejecute ADB para ejecutar comandos. En resumen, con ADB habilitado, cualquiera puede conectarse de forma remota al dispositivo como root.

¿Cómo funciona Matryosh?

Matryosh es especial porque utiliza la red Tor cifrada para enmascarar su tráfico malicioso. Cuando Matryosh se ejecuta en un dispositivo infectado, descifra un nombre de host remoto y utiliza solicitudes TXT de DNS para obtener el servidor Tor C2 y los detalles del proxy. Después de eso, Matryosh usa esos detalles para establecer una conexión con el servidor C2, a través del proxy Tor, para obtener sus comandos.

Para realizar los ataques DDoS, la botnet admite ataques tcpraw, icmpecho y udpplain. Esto significa que puede lanzar ataques DDoS a través de protocolos como TCP, ICMP y UDP.

Cómo deshabilitar ADB

Aunque ADB está desactivado de forma predeterminada en la mayoría de los teléfonos inteligentes y tabletas Android, algunos proveedores envían sus dispositivos con ADB habilitado.

  • Usuarios de Android: es difícil proporcionar instrucciones claras que funcionen para todos los dispositivos, pero en general, debe deshabilitar las «Opciones de desarrollador» del dispositivo. En el cliente Malwarebytes para Android hay una función de auditoría de seguridad que indica si el modo Desarrollador está habilitado, dónde se encuentra ADB, pero no señala específicamente que ADB está encendido o apagado. Si el modo de desarrollador está habilitado, la auditoría lo señalará y un usuario puede acceder al modo de desarrollador tocando el modo de desarrollo en los resultados de la auditoría, que se mostrarán en amarillo. Cuando el modo de desarrollador está desactivado, ADB también debería estar desactivado.
Auditoría de seguridad de Malwarebytes para Android
  • Las empresas deben escanear sus redes internas y externas para el puerto 5555 para ver si algún dispositivo está escuchando en ese puerto, lo que podría ser una indicación de que los dispositivos están abiertos para recibir comandos ADB. Tampoco estaría de más leer nuestra entrada de blog. Los ataques DDoS están creciendo: ¿Qué pueden hacer las empresas?
  • Los proveedores deben dejar de enviar productos con Android Debug Bridge habilitado a través de una red, especialmente aquellos dispositivos que están diseñados para conectarse a Internet
Pormalwarebytes

Limpieza después de Emotet: el expediente de la aplicación de la ley

Limpieza después de Emotet: el expediente de la aplicación de la ley

Limpieza después de Emotet: el expediente de la aplicación de la ley

Al corriente: por 
Última actualización:

Esta publicación de blog fue escrita por Hasherezade y Jérôme Segura

Emotet ha sido el malware más buscado durante varios años. La gran botnet es responsable de enviar millones de correos electrónicos no deseados con archivos adjuntos maliciosos. El troyano bancario que una vez se convirtió en cargador fue responsable de costosos compromisos debido a su relación con bandas de ransomware.

El 27 de enero, Europol anunció una operación global para acabar con la botnet detrás de lo que llamó el malware más peligroso al obtener el control de su infraestructura y eliminarlo desde adentro.

Poco después, los controladores Emotet comenzaron a entregar una carga útil especial que tenía un código para eliminar el malware de las computadoras infectadas. Esto aún no se había aclarado formalmente y algunos detalles al respecto no estaban del todo claros. En este blog revisaremos esta actualización y cómo debe funcionar.

Descubrimiento

Poco después de la eliminación de Emotet, un investigador observó una nueva carga útil enviada a las máquinas infectadas con un código para eliminar el malware en una fecha específica.

Ese bot actualizado contenía una rutina de limpieza responsable de desinstalar Emotet después de la fecha límite del 25 de abril de 2021 . El informe original mencionaba el 25 de marzo, pero como los meses se cuentan desde 0 y no desde 1, el tercer mes es en realidad abril.

Esta actualización especial fue confirmada posteriormente en un comunicado de prensa del Departamento de Justicia de EE. UU. En su declaración jurada .

El 26 de enero de 2021 o alrededor de esa fecha, aprovechando su acceso a los servidores de Nivel 2 y Nivel 3, los agentes de un socio de cumplimiento de la ley extranjero de confianza, con quien el FBI está colaborando, reemplazaron el malware Emotet en servidores ubicados físicamente en su jurisdicción con un archivo creado por cumplimiento de la ley

BleepingComputer menciona que el socio extranjero encargado de hacer cumplir la ley es la Policía Criminal Federal de Alemania (Bundeskriminalamt o BKA).

Además de la rutina de limpieza, que describimos en la siguiente sección, este «archivo de aplicación de la ley» contiene una ruta de ejecución alternativa que se sigue si la misma muestra se ejecuta antes de la fecha indicada.

El desinstalador

La carga útil es una DLL de 32 bits. Tiene un nombre que se explica por sí mismo (EmotetLoader.dll) y 3 exportaciones que conducen a la misma función.

Si miramos dentro de esta función exportada, podemos ver 3 subrutinas:

El primero se encarga de la limpieza antes mencionada. En el interior, podemos encontrar el control de fecha:

Si la fecha límite ya pasó, la rutina de desinstalación se llama inmediatamente. De lo contrario, el hilo se ejecuta repetidamente haciendo la misma verificación de tiempo y, finalmente, llamando al código de eliminación si la fecha ha pasado.

La hora actual se compara con la fecha límite en un bucle. El ciclo sale solo si se supera la fecha límite y luego continúa con la rutina de desinstalación.

La rutina de desinstalación en sí es muy simple. Elimina el servicio asociado con Emotet, elimina la clave de ejecución, intenta (pero falla) mover el archivo a% temp% y luego sale del proceso.

Dentro de la función: «uninstall_emotet»

Como sabemos al observar el Emotet regular, logra la persistencia de dos formas alternativas.

Ejecutar clave

Microsoft \ CurrentVersion \ Run

Este tipo de instalación no requiere elevación. En tal caso, la DLL de Emotet se copia en %APPDATA%\[random dir name]\[random DLL name].[random extention].

Servicio del sistema

HKLM \ System \ CurrentControlSet \ Service \ <nombre aleatorio de emotet>

Si la muestra se ejecutó con privilegios de administrador, se instala como un servicio del sistema. Se copia la DLL original en C:\Windows\SysWow64\[random dir name]\[random DLL name].[random extention].

Por esta razón, la función de limpieza debe tener en cuenta ambos escenarios.

Notamos que los desarrolladores cometieron un error en el código que se supone debe mover el archivo de aplicación de la ley al directorio% temp%:

GetTempFileNameW (Buffer, L "UPD", 0, TempFileName) 

El «0» debería haber sido un «1» porque según la documentación , si uUnique no es cero, debe crear el archivo usted mismo. Solo se crea un nombre de archivo, porque GetTempFileName no puede garantizar que el nombre de archivo sea único .

La intención era generar una ruta temporal, pero debido a que se usó un valor incorrecto en el parámetro uUnique, no solo se generó la ruta, sino que también se creó el archivo. Eso llevó a una mayor colisión de nombres y, como resultado, el archivo no se movió.

Sin embargo, esto no cambia el hecho de que el malware ha sido neutralizado y es inofensivo, ya que no se ejecutará ya que se eliminaron sus mecanismos de persistencia.

Si la rutina de eliminación antes mencionada se llamó inmediatamente, las otras dos funciones de la exportación inicial no se están ejecutando (el proceso termina al final de la rutina, llamando ExitProcess). Pero esto ocurre solo si la muestra se ha realizado después del 25 de abril.

La ruta de ejecución alternativa

Ahora echemos un vistazo a lo que sucede en el escenario alternativo cuando no se llama inmediatamente a la rutina de desinstalación.

Una vez que se ejecuta el hilo en espera, la ejecución llega a otras dos funciones. El primero enumera los procesos en ejecución y busca el proceso padre del actual.

Luego verifica el nombre del proceso si es «explorer.exe» o «services.exe», seguido de los parámetros de lectura que se le dan al padre.

Ejecutando la siguiente etapa

La siguiente rutina descifra y carga una carga útil de segunda etapa desde el búfer codificado.

El búfer codificado se descifra con el bucle anterior y luego se ejecuta

Redirección del flujo al búfer descifrado (a través de » call edi«):

Se revela el siguiente PE: X.dll :

Después de descifrar la carga útil, la ejecución se redirige al comienzo del búfer revelado que comienza con un salto:

Este salto conduce a una rutina de cargador reflectante. Después de asignar la DLL a un formato virtual, en el área recién asignada en la memoria, el cargador redirige la ejecución allí.

Primero, DllMainse llama al de X.dll (se usa solo para la inicialización). Luego, la ejecución se redirige a una de las funciones exportadas, en el caso actualmente analizado Control_RunDll.

La ejecución continúa con el segundo dll (X.dll). Las funciones dentro de este módulo están ofuscadas.

La carga útil que se llama ahora es muy similar a la carga útil normal de Emotet. Analógico DLL, y también nombrado X.dll tales como: esta uno se pudo encontrar en muestras Emotet anteriores (sin la rutina de limpieza), por ejemplo en esta muestra .

La carga útil de la segunda etapa: X.dll

La carga útil de la segunda etapa X.dll es una DLL de Emotet típica, cargada en caso de que la fecha límite codificada no haya pasado todavía.

Esta DLL está muy ofuscada y todas las API utilizadas se cargan dinámicamente. Además, sus parámetros no son legibles: se calculan dinámicamente antes de su uso, a veces con la ayuda de una larga cadena de operaciones que involucran muchas variables:

Este tipo de ofuscación es típico de las cargas útiles de Emotet y está diseñado para confundir a los investigadores. Sin embargo, gracias al rastreo pudimos reconstruir qué API se llaman con qué compensaciones.

La carga útil tiene dos rutas alternativas de ejecución. Primero verifica si ya estaba instalado. De lo contrario, sigue la primera ruta de ejecución y procede a instalarse. Genera un nombre de instalación aleatorio y se mueve a sí mismo bajo este nombre a un directorio específico, al mismo tiempo que agrega persistencia. Luego, vuelve a ejecutarse desde la nueva ubicación.

Si la carga útil detecta que se ejecutó desde la ruta de destino, toma una ruta de ejecución alternativa . Se conecta al C2 y se comunica con él.

La muestra actual envía una solicitud a uno de los servidores sumideros. Contenido:

L "DNT: 0 \ r \ nReferer: 80.158.3.161/i8funy5rv04bwu1a/\r\nContent-Type: multipart / form-data; límite = ------------------- -GgmgQLhRJIOZRUuEhSKo \ r \ n "

La siguiente imagen muestra el tráfico web de un sistema infectado a través de un documento malicioso que descarga el archivo de actualización especial y vuelve al servidor de comando y control propiedad de la policía:

Motivos detrás del desinstalador

La versión con el desinstalador ahora se envía a través de canales destinados a distribuir el Emotet original. Aunque actualmente la rutina de eliminación aún no se llamará, la infraestructura detrás de Emotet ya está controlada por la policía, por lo que los bots no pueden realizar su acción maliciosa.

Para las víctimas con una infección Emotet existente, la nueva versión vendrá como una actualización, reemplazando a la anterior. Así será como conocerá sus rutas de instalación y podrá limpiarse una vez transcurrido el plazo.

Insertar código a través de una botnet, incluso con buenas intenciones, siempre ha sido un tema espinoso, principalmente debido a las ramificaciones legales que implican tales acciones. La declaración jurada del Departamento de Justicia señala cómo los «agentes de la ley extranjeros, no agentes del FBI, reemplazaron el malware Emotet, que se almacena en un servidor ubicado en el extranjero, con el archivo creado por la policía».

El retraso prolongado para que se active la rutina de limpieza puede explicarse por la necesidad de dar tiempo a los administradores del sistema para realizar análisis forenses y verificar otras infecciones.