Latest Entries »

Blog elhacker.NET: Europol desmantela Emotet: la botnet de malware más  grande del mundo

Pese a los esfuerzos de la Europol a primeros de año por desarticular la infraestructura del que ha sido catalogado como uno de los virus informáticos más peligrosos del mundo, Emotet reaparece. Tan solo unos meses después, el malware TrickBot está siendo utilizado para distribuir lo que parece una nueva versión de Emotet entre los sistemas que previamente han sido infectados con TrickBot.

En enero de 2021 la botnet de Emotet, una de las ciberamenazas más importantes del mundo, fue desmantelada en un esfuerzo en conjunto de multiples países y fuerzas policiales, sin embargo, 10 meses despues y luego de que las autoridades realizaran una desinstalación masiva del malware a nivel mundial, Emotet vuelve a mostrar signos de vida y la reconstrucción progresiva de su botnet a través de uno de sus más fieles colaboradores como es Trickbot.

Según Advanced Intelligence el regreso de Emotet ha sido tramado por un ex miembro de Ryuk, ahora parte de la pandilla de Conti, con la finalidad de dar soporte a los próximos ataques de Ransomware.

Los clientes afiliados de Conti, utilizan un panel de administración para crear nuevas muestras de ransomware, administrar a sus víctimas y recopilar datos sobre sus ataques. Además destacan la cadena de ataques en donde se aprovechan de la vulnerabilidad PrintNightmare (CVE-2021-1675, CVE-2021-34527, y CVE-2021-36958) y FortiGate (CVE-2018-13374, y CVE-2018-13379) para comprometer los sistemas sin parches. 

Hasta ahora se han identificado tres miembros del equipo de Conti, cada uno de los cuales desempeña las funciones de administrador («Tokio«), asistente («it_work_support@ xmpp[.]jp«) y reclutador («IT_Work«) para atraer nuevos afiliados a su la red. 

> Ganancias estimadas del ransomware  Conti

Emergiendo en el panorama de la ciberdelincuencia en octubre de 2019, se cree que Conti es el trabajo de un grupo de amenazas con sede en Rusia llamado Wizard Spider, que también es el operador del infame malware bancario TrickBot. Desde entonces, al menos 567 compañías diferentes han expuesto sus datos críticos para el negocio en el sitio de vergüenza de la víctima, y el cartel de ransomware ha recibido más de 500 bitcoins (25,5 millones de dólares) en pagos desde julio de 2021.

Además, un análisis de muestras de ransomware y las direcciones de billetera bitcoin utilizadas para recibir los pagos ha revelado una conexión entre Conti y Ryuk, y ambas familias apostaron fuertemente por TrickBot, Emotet y BazarLoader para entregar realmente las cargas útiles de cifrado de archivos en las redes de las víctimas, a través de suplantación de identidad (phishing) por correo electrónico y otros esquemas de ingeniería social.

PRODAFT dijo que también pudo obtener acceso al servicio de recuperación del grupo y un panel de administración alojado como un servicio oculto de Tor en un dominio de Onion, revelando detalles extensos de un sitio web de Clearnet llamado «contirecovery[.]ws» que contiene instrucciones para comprar claves de descifrado de los afiliados. Curiosamente, una investigación sobre el proceso de negociación de ransomware de Conti publicada por Team Cymru el mes pasado destacó una URL web abierta similar llamada «contirecoveryi[.]info».

Emotet regresa y se distribuye a través de correos con ficheros ofimática maliciosos

> Método infección

En la actualidad, el correo malicioso trae un archivo adjunto protegido con contraseña, lo que dificulta el análisis automatizado de algunas herramientas de seguridad y que en conjunto a los servidores SMTP que utilizan (organizaciones válidas) permite a los atacantes tener una mayor tasa de éxito.

El archivo .ZIP trae un documento Microsoft Office en su interior, el que puede tener extensión .DOC, .DOCM o .XLSM entre otras. También se han visto casos donde el adjunto es directamente el documento de MS Office y en un pasado también lo hicieron con un link en el cuerpo del correo para la descarga del documento.

  • No habilites nunca el contenido de un fichero desconocido en Word, Excel. Educa a tus usuarios.

Al abrir el documento y habilitar la edición, se activa la macro y el proceso de infección del equipo. La imagen a continuación es una de las plantillas utilizadas actualmente pero pueden ser otras también.

La macro del documento ejecuta Powershell para realizar la descarga del payload final (DLL de Emotet) desde 1 de los 7 sitios distintos que vienen configurados en el documento Microsoft Office.

> Emotet vuelve gracias a TrickBot

El equipo de análisis, al que pertenece Luce Ebach, actualmente continúa la investigación para obtener más información sobre esta nueva variante y poder ponerle freno de nuevo a Emotet.

Según se puede leer en el nuevo informe realizado por Luca Ebach, el 14 de noviembre, Emotet  fue detectado por su equipo de análisis cuando estaban ejecutando una muestra de TrickBot en su sandbox. Esta variante de Emotet tiene forma de archivo DLL. Cuando analizaron la muestra encontrada, parecía que había sido compilada unos minutos antes de que se observara su implementación en las botnet de TrickBot. 

Algunas características de esta nueva variante son que el cifrado para ocultar los datos difiere de la versión anterior del malware y, además, la muestra encontrada emplea un certificado de autoridad autofirmado para poder usar HTTPS y proteger el tráfico de red, además de usar diversos flujos de control para ofuscar el código. Se puede ver una comparativa entre el código de una muestra antigua y la nueva en las imágenes siguientes donde se muestra que para ofuscar el código, en lugar de usar los flujos de control If-else, emplean un bucle while y la expresión switch-case.

En el reporte publicado por SANS se muestra la cadena de infección de la nueva versión de la botnet Emotet. Estas nuevas campañas de malspam contienen archivos adjuntos que pueden presentarse en tres distintos formatos:

  • Archivos de Microsoft Excel (.xlsm)
  • Archivos de Word (.docm)
  • Archivos comprimidos en formato ZIP que vienen protegidos con contraseña e incluyen un archivo Word   

Fuentes

https://blog.elhacker.net/2021/11/botnet-emotet-trickbot-vuelve-de-la-mano-operadores-ransomware-conti.html?m=1#more

https://cyber.wtf/2021/11/15/guess-whos-back/https://www.cronup.com/la-botnet-de-emotet-reinicia-ataques-en-chile-y-latinoamerica/

images

A medida que emergen de los laboratorios y se integran al mundo real, las computadoras cuánticas resultarán muy útiles para la humanidad, sin lugar a duda. No sustituirán a las máquinas convencionales, pero toda vez que se trate de optimizar tareas y cálculos estadísticos, superarán a sus antecesoras. Desafortunadamente, la revolución no se limitará a investigar nuevas medicinas y a desarrollar aviones más avanzados, sino que incluirá la violación del cifrado computacional. Puede que pasen entre cinco y veinticinco años antes de que dichos métodos de hackeo se vuelvan viables, pero ten por seguro que existen datos cifrados en el mundo que necesitan permanecer protegidos durante ese tiempo y posteriormente. Por ello, las grandes empresas y las dependencias gubernamentales necesitan prepararse ahora para el futuro cuántico.

El principal obstáculo para esa preparación en el cifrado de la era cuántica es la ausencia de estándares claros. La comunidad global de criptógrafos ya ha desarrollado varios algoritmos prometedores que resistirán los ataques cuánticos; sin embargo, estos algoritmos tienen que pasar las pruebas y la verificación en varias etapas. La resistencia de los algoritmos debe ser verificable no solo frente a ataques cuánticos sino también convencionales. Debe determinarse cuáles son los más rápidos y eficientes en términos de recursos, de modo que puedan usarse en los dispositivos, como aquellos del IdC, que tienen una potencia computacional limitada; y sus parámetros (por ejemplo, longitud de la clave, etc.) tendrán que encontrar equilibrio óptimo entre la fiabilidad y el desempeño.

Pero esto es apenas un comienzo en el cifrado de la era cuántica. Los estándares existentes de comunicación (por ejemplo, TLS) tendrán que integrar los algoritmos y tendremos que establecer reglas para que los nuevos cifrados coexistan con los pasados. Este trabajo tomará algunos años, claramente. ¿Qué deben hacer mientras tanto los desarrolladores de aplicaciones y plataformas, los fabricantes de coches autónomos y los guardianes de datos estratégicos?

Durante la RSAC 2020, una mesa de expertos en criptografía vio la solución en la “agilidad criptográfica.” Dicho de modo sencillo, si actualmente estás desarrollando o dando soporte al cifrado de datos o al sistema de hash, no establezcas restricciones estrictas. Asegúrate de que los algoritmos de cifrado en uso se puedan actualizar y permite un ajuste amplio a los tamaños de la clave y el búfer. En síntesis, permite que el sistema tenga un espacio para crecer. Esto es especialmente importante para las soluciones integradas o de IdC, porque dichas tecnologías necesitan mucho tiempo para implementarse y décadas para modernizarse. Así, si compras un nuevo sistema, pregunta a los desarrolladores acerca de la criptoagilidad.

 

Ciclo de vida de la criptografía: seguridad del algoritmo con el tiempo. Fuente.

Si la ignoran, será un verdadero fastidio tener que eliminar los algoritmos de cifrado obsoletos e insertar otros nuevos. Un buen ejemplo lo da Brian LaMacchia de Microsoft. Cuando estuvo claro que el código hash MD5 podía ser violado y que ya no era adecuado para generar firmas digitales, Microsoft decidió prescindir de él. Una auditoría extensa reveló que los productos de la empresa contenían cerca de 50 versiones independientes del código de cálculo de MD5, y cada una tuvo que ser eliminada por separado. En consecuencia, el proceso tomó cerca de dos años para completarse.

Otro problema potencial que probablemente se agudice a medida que los algoritmos tradicionales se vean reemplazados por aquellos a prueba de ataques cuánticos es la carencia de memoria para almacenar las claves. Si los desarrolladores de tu sistema decidieron en algún momento que un búfer de 4096 bits era suficiente espacio de almacenamiento de clave para cualquier algoritmo de cifrado, entonces tendrás serias dificultades al implementar el cifrado poscuántico, incluso si los nuevos sistemas son compatibles con la incorporación de nuevos algoritmos.

Para comprobar la criptoagilidad de tus sistemas, intenta implementar soluciones criptográficas basadas en aquellos algoritmos que se disputen el título de estándar oficial de cifrado poscuántico. Muchos algoritmos de cifrado y protocolos incipientes se encuentran disponibles a través del proyecto Open Quantum Safe. Además del código fuente de los propios algoritmos, el sitio ofrece compilaciones preconcebidas de los productos populares de software como OpenSSL y una versión del poscuántica de OpenVPN, hecha por Microsoft.

Fuente | Kaspersky

Ahora que estamos más tiempo en casa debido a la situación excepcional que vivimos a causa del Covid-19, podemos aprovechar e intentar agregar algún tipo de seguridad en nuestra red interna.

En este artículo, vamos a crear un bot de Telegram que nos avise cada vez que se inicie sesión por SSH en alguno de nuestros dispositivos (para este ejemplo usaremos una Raspberry).

Existe un script en github https://github.com/MyTheValentinus/ssh-login-alert-telegram (todos los créditos son de @MyTheValentinus), simplemente se explicará cómo utilizarlo en nuestros dispositivos y cómo generar el bot en Telegram.

1. Requisitos

Para poder configurar todo necesitamos:

  • Una Raspberry con acceso por SSH
  • Cuenta Telegram

2. Proceso

El primer paso será crear el bot de Telegram. Desde la propia aplicación se puede buscar @BotFather o vía web accedemos al siguiente enlace https://telegram.me/BotFather

Información de BotFather

Una vez abierto lo primero que haremos será iniciar el bot con el comando:

/start

Comando /start para iniciar la comunicación con BotFather

El bot nos mostrará la lista de comandos que tiene disponibles para interactuar con él, para crear un bot nuevo necesitaríamos escribir:

/newbot

Comando /newbot para iniciar el bot

Posteriormente, nos solicitará introducir el nombre que deseamos darle a nuestro bot, en este caso será Pruebademo_bot

Nombre del bot

A continuación, nos pide generar el nombre de usuario del bot, para esta demostración vamos a poner demohackpuntes_bot (cada uno puede poner el que desee, pero recordar que debe ser nombre_bot).

Nombre del usuario asociado al bot

Una vez asignados los nombres, se generará un token que tendremos que guardar.

Token del bot

Para comprobar si se ha creado correctamente el bot, deberíamos ir desde la aplicación y buscar @demohackpuntes_bot:

Búsqueda del bot en Telegram

Es posible que exista un botón que indique “Iniciar”, aunque se recomienda escribir cualquier frase en el chat para activarlo.

Por último, tendremos que ir al siguiente enlace, https://api.telegram.org/bot<KEY>/getUpdates (sustituir la palabra [KEY] por el token anterior) y nos devolverá una imagen similar a esta:

ID del usuario asociado al bot

Ahí obtendremos el id del usuario que necesitaremos para configurar el script.

Ahora procederemos a descargar el script de https://github.com/MyTheValentinus/ssh-login-alert-telegram. Desde nuestra Raspberry debemos seguir estos pasos para la instalación:

  • En primer lugar debemos descargar el script con el siguiente comando:

cd /opt/ && git clone https://github.com/MyTheValentinus/ssh-login-alert-telegram

Descarga del script
  • Para editar la configuración de las variables del archivo credentials.config, debemos escribir:

nano ssh-login-alert-telegram/nano credentials.config.

Allí debemos introducir tanto el id de usuario como el token. Y en él añadimos dos valores tal y como se puede apreciar en la imagen:

USERID: Como recordatorio, en este campo se debe introducir el id del usuario asociado al bot. Para obtener este campo hay que enviar un mensaje cualquiera a nuestro bot a través de Telegram y acceder a la ruta https://api.telegram.org/bot<KEY>/getUpdates (sustituimos la parte de <KEY> por el token de antes).

KEY: Es el token que nos ha proporcionado @BotFather al crear nuestro bot.

Edición del archivo credentials.config
  • De manera opcional podemos modificar el archivo alert.sh (para añadir parámetros o traducirlo)
Edición del script alert.sh
  • Ejecutar el script con el comando:

bash deploy.sh

  • Probar el script. Como podéis comprobar el script funciona a las mil maravillas.
Prueba de funcionamiento

Debemos este fantástico tutorial al aporte realizado a la comunidad por parte del site Hackpuntes. Esperamos que os haya sido de utilidad.

Si deseáis que se publiquen otros tutoriales con alguna temática específica animáos a comentar.

Fuente | Hackpuntes

 

A %d blogueros les gusta esto: