Tag Archive: Ransomware


Botnet Emotet-TrickBot vuelve de la mano de operadores del ransomware Conti

Filed under: # Todas las categorías, Noticias generalesDeja un comentario
22 de noviembre de 2021
Blog elhacker.NET: Europol desmantela Emotet: la botnet de malware más grande del mundo

Pese a los esfuerzos de la Europol a primeros de año por desarticular la infraestructura del que ha sido catalogado como uno de los virus informáticos más peligrosos del mundo, Emotet reaparece. Tan solo unos meses después, el malware TrickBot está siendo utilizado para distribuir lo que parece una nueva versión de Emotet entre los sistemas que previamente han sido infectados con TrickBot.

En enero de 2021 la botnet de Emotet, una de las ciberamenazas más importantes del mundo, fue desmantelada en un esfuerzo en conjunto de multiples países y fuerzas policiales, sin embargo, 10 meses despues y luego de que las autoridades realizaran una desinstalación masiva del malware a nivel mundial, Emotet vuelve a mostrar signos de vida y la reconstrucción progresiva de su botnet a través de uno de sus más fieles colaboradores como es Trickbot.

Según Advanced Intelligence el regreso de Emotet ha sido tramado por un ex miembro de Ryuk, ahora parte de la pandilla de Conti, con la finalidad de dar soporte a los próximos ataques de Ransomware.

Los clientes afiliados de Conti, utilizan un panel de administración para crear nuevas muestras de ransomware, administrar a sus víctimas y recopilar datos sobre sus ataques. Además destacan la cadena de ataques en donde se aprovechan de la vulnerabilidad PrintNightmare (CVE-2021-1675, CVE-2021-34527, y CVE-2021-36958) y FortiGate (CVE-2018-13374, y CVE-2018-13379) para comprometer los sistemas sin parches. 

Hasta ahora se han identificado tres miembros del equipo de Conti, cada uno de los cuales desempeña las funciones de administrador («Tokio«), asistente («it_work_support@ xmpp[.]jp«) y reclutador («IT_Work«) para atraer nuevos afiliados a su la red. 

> Ganancias estimadas del ransomware  Conti

Emergiendo en el panorama de la ciberdelincuencia en octubre de 2019, se cree que Conti es el trabajo de un grupo de amenazas con sede en Rusia llamado Wizard Spider, que también es el operador del infame malware bancario TrickBot. Desde entonces, al menos 567 compañías diferentes han expuesto sus datos críticos para el negocio en el sitio de vergüenza de la víctima, y el cartel de ransomware ha recibido más de 500 bitcoins (25,5 millones de dólares) en pagos desde julio de 2021.

Además, un análisis de muestras de ransomware y las direcciones de billetera bitcoin utilizadas para recibir los pagos ha revelado una conexión entre Conti y Ryuk, y ambas familias apostaron fuertemente por TrickBot, Emotet y BazarLoader para entregar realmente las cargas útiles de cifrado de archivos en las redes de las víctimas, a través de suplantación de identidad (phishing) por correo electrónico y otros esquemas de ingeniería social.

PRODAFT dijo que también pudo obtener acceso al servicio de recuperación del grupo y un panel de administración alojado como un servicio oculto de Tor en un dominio de Onion, revelando detalles extensos de un sitio web de Clearnet llamado «contirecovery[.]ws» que contiene instrucciones para comprar claves de descifrado de los afiliados. Curiosamente, una investigación sobre el proceso de negociación de ransomware de Conti publicada por Team Cymru el mes pasado destacó una URL web abierta similar llamada «contirecoveryi[.]info».

Emotet regresa y se distribuye a través de correos con ficheros ofimática maliciosos

> Método infección

En la actualidad, el correo malicioso trae un archivo adjunto protegido con contraseña, lo que dificulta el análisis automatizado de algunas herramientas de seguridad y que en conjunto a los servidores SMTP que utilizan (organizaciones válidas) permite a los atacantes tener una mayor tasa de éxito.

El archivo .ZIP trae un documento Microsoft Office en su interior, el que puede tener extensión .DOC, .DOCM o .XLSM entre otras. También se han visto casos donde el adjunto es directamente el documento de MS Office y en un pasado también lo hicieron con un link en el cuerpo del correo para la descarga del documento.

  • No habilites nunca el contenido de un fichero desconocido en Word, Excel. Educa a tus usuarios.

Al abrir el documento y habilitar la edición, se activa la macro y el proceso de infección del equipo. La imagen a continuación es una de las plantillas utilizadas actualmente pero pueden ser otras también.

La macro del documento ejecuta Powershell para realizar la descarga del payload final (DLL de Emotet) desde 1 de los 7 sitios distintos que vienen configurados en el documento Microsoft Office.

> Emotet vuelve gracias a TrickBot

El equipo de análisis, al que pertenece Luce Ebach, actualmente continúa la investigación para obtener más información sobre esta nueva variante y poder ponerle freno de nuevo a Emotet.

Según se puede leer en el nuevo informe realizado por Luca Ebach, el 14 de noviembre, Emotet  fue detectado por su equipo de análisis cuando estaban ejecutando una muestra de TrickBot en su sandbox. Esta variante de Emotet tiene forma de archivo DLL. Cuando analizaron la muestra encontrada, parecía que había sido compilada unos minutos antes de que se observara su implementación en las botnet de TrickBot. 

Algunas características de esta nueva variante son que el cifrado para ocultar los datos difiere de la versión anterior del malware y, además, la muestra encontrada emplea un certificado de autoridad autofirmado para poder usar HTTPS y proteger el tráfico de red, además de usar diversos flujos de control para ofuscar el código. Se puede ver una comparativa entre el código de una muestra antigua y la nueva en las imágenes siguientes donde se muestra que para ofuscar el código, en lugar de usar los flujos de control If-else, emplean un bucle while y la expresión switch-case.

En el reporte publicado por SANS se muestra la cadena de infección de la nueva versión de la botnet Emotet. Estas nuevas campañas de malspam contienen archivos adjuntos que pueden presentarse en tres distintos formatos:

  • Archivos de Microsoft Excel (.xlsm)
  • Archivos de Word (.docm)
  • Archivos comprimidos en formato ZIP que vienen protegidos con contraseña e incluyen un archivo Word   

Fuentes

https://blog.elhacker.net/2021/11/botnet-emotet-trickbot-vuelve-de-la-mano-operadores-ransomware-conti.html?m=1#more

https://cyber.wtf/2021/11/15/guess-whos-back/https://www.cronup.com/la-botnet-de-emotet-reinicia-ataques-en-chile-y-latinoamerica/

Tags: , , , ,
Comentarios

Secuestros Digitales

Filed under: # Todas las categorías, ArtículosDeja un comentario
29 de julio de 2014

650_1000_secuestrado

Fin de semana. Te levantas, tomas un café, lees un poco del libro que tienes pendiente y sales a hacer un poco de deporte. Vuelves, te duchas y enciendes el ordenador para ver una cosa en Internet. Sorpresa: aparece un mensaje diciendo que o pagas o te quedas sin datos en tu ordenador. Y no te deja hacer nada más.

La primera reacción es de susto. ¿Cómo me ha podido pasar a mí? La segunda es de superioridad: estos hackers no saben que te manejas bien con ordenadores. Coges un Live CD de Linux que tienes por ahí tirado para recuperar tus datos y limpiar el malware. Lo metes en el ordenador, arrancas, y… vaya. Esa carpeta antes no estaba ahí. ¿Y dónde está mi carpeta de usuario? ¿Por qué no se puede abrir ningún archivo?

Lo que te ha atacado es un tipo de virus llamado ransomware. Bloquean tu ordenador y te piden dinero para que puedas volver a usarlo. Según lo sofisticado que sea, puede que sea fácil de saltar y limpiar, o puede que la mejor alternativa sea pagar (incluso a pesar de que eso no te garantice recuperar los datos).

Uno de esos ransomwares sofisticados es CryptoLocker, que se distribuye habitualmente a través de archivos adjuntos. Cuando se carga, se conecta a un servidor de control remoto, que genera un par de claves RSA pública/privada de 2048 bits. La clave pública se la queda el ordenador infectado, y CryptoLocker empieza a cifrar archivos de forma precisa: sólo cifra ciertos tipos como documentos de Office, imágenes o archivos de AutoCAD, los que probablemente sean más valiosos para el usuario.

Por otra parte, muestra un mensaje diciendo que o pagas unos 400 euros, o en unos días se destruirá la clave privada. Y recordemos que, tal y como funciona la criptografía de clave pública, esa clave privada es la única forma de descifrar tus archivos. Incluso aunque pudieses extraer la clave pública del malware, no podrías hacer nada con ella. Además, al ser de 2048 bits, es prácticamente imposible adivinarla por fuerza bruta.

Una infección con este tipo de malware puede ser muy seria, y si no que se lo digan al departamento de policía de Durham, una pequeña ciudad estadounidense. Fueron infectados por CryptoWall, muy similar a CryptoLocker. No sólo se bloquearon los ordenadores, sino que además se cifraron algunas copias de seguridad que estaban almacenadas en discos en red accesibles por los infectados.

Por suerte, no todos son tan letales. Algunos «sólo» te bloquean el Master Boot Record y evitan que se ejecute tu sistema operativo hasta que no pagues el rescate, aunque los archivos siguen siendo accesibles. Otros, como Ransom.AN, sí cifran los archivos pero no están del todo bien diseñados, y reutilizan la misma clave en todos los ordenadores.

> El dinero detrás del secuestro digital

El ransomware empezó a surgir en 2009 en el este de Europa, con cibercriminales operando (probablemente) desde allí. Infectan a los usuarios a través de vulnerabilidades en el navegador, haciendo que se descargue reproductores de vídeo que en realidad son un virus – especialmente en sitios pornográficos, para que el usuario sea más reticente a denunciar y decir dónde se infectó – o a través de adjuntos del correo.

Cuando el malware se instala por la vía que sea, necesitan convencer a los usuarios de que paguen. Para ello suelen usar dos tácticas distintas.

La primera es la vergüenza. El malware muestra imágenes pornográficas o desagradables, de tal forma que prefieras pagar antes que seguir viéndolas. La segunda, la más usada, es la autoridad: se hacen pasar por cuerpos de Policía, diciendo que se ha detectado actividad ilegal (pornografía, zoofilia, violencia, pedofilia…) y que o pagas o se emprenderán acciones legales. Por supuesto, ningún cuerpo policial actúa de esta forma, pero eso no impide que haya gente que se crea la farsa.

Una vez que han convencido al usuario, lo siguiente es conseguir que pague. Para no descubrirse usan tarjetas prepago como MoneyPak o Ukash. Con el auge de Bitcoin, la moneda virtual se ha convertido en un medio muy atractivo para que los cibercriminales reciban su rescate: es muy difícil vincular una cartera virtual a la persona que está detrás de ella.

¿Y cuánto dinero ganarían estos criminales? Según un estudio de Symantec, sólo pagan un 2.9% de los usuarios, un porcentaje bajo. Sin embargo, teniendo en cuenta que los rescates no son baratos y que se infectan muchos ordenadores (unos 5.700 al día), se calculaba que los responsables del ransomware se podían estar haciendo con 394.000 dólares al mes.

> El ransomware, no sólo cosa de Windows

Uno pensaría que todo el ransomware afecta a sistemas Windows. Si bien es cierto que una parte importante está dirigido al sistema de Microsoft por su mayor cuota de mercado (más dinero potencial), otros sistemas también han sido afectados.

Por ejemplo, el mes pasado se detectó SimpleLocker, un ransomware para Android que seguía la misma estrategia de sus primos de ordenador. Veinte dólares por desbloquear los archivos de la tarjeta SD. Por suerte, la clave de descifrado se guardaba en el móvil y era posible recuperarla y desbloquear el móvil.

650_1000_650_1000_hacked

El secuestro digital tampoco requiere un malware. Es el caso de varios usuarios de iPhone, especialmente australianos, que vieron bloqueados sus dispositivos hasta que no pagasen un rescate de hasta 100 dólares. El hacker lo hizo entrando en las cuentas de iCloud de esos usuarios – según Apple, con técnicas de phishing y sin comprometer la seguridad del servicio – y usando la funcionalidad de Find My Phone para bloquear los dispositivos remotamente.

> Cómo evitar que secuestren mis dispositivos

650_1000_contrasena-1

La solución es la de siempre: antivirus y sistema actualizado, y sobre todo, no descargar ejecutables sospechosos ni abrir adjuntos que no sabes de dónde vienen. Si por lo que sea sospechas que tu ordenador pueda estar infectado por uno de estos virus, apágalo para evitar que siga secuestrando tus datos y así poder recuperarlos y limpiar el ordenador con más calma.

Además, hay herramientas especializadas para evitar este tipo de malware. Yago Jesús, de Security By Default, publicó hace poco una actualización a su software Anti Ransom, que nos avisará cuando haya un ransomware cifrando datos en nuestro sistema y así podamos apagar el ordenador rápidamente para evitar que siga ejecutándose. Además, generará un volcado de la memoria del malware para que, en un análisis posterior, se traten de extraer las claves de cifrado.

En el caso de que haya sistemas que puedan bloquear tu teléfono remotamente, como los de Apple, Microsoft o Prey, es recomendable usar contraseñas seguras y activar, si es posible, medidas adicionales como la autenticación en dos pasos.

Y si te has infectado, lo importante es no pagar. Pagar no te garantiza recuperar tus datos, y además estás animando a los cibercriminales a seguir con la estafa. Dependiendo del tipo de virus se podrán recuperar o no los datos, así que lo mejor es acostumbrarte a hacer backups periódicamente, ya sea en la nube o en discos externos.

Fuente | Genbeta

Tags: , , , , , , ,
Comentarios