Resurge Ransomware Satán y ataca a Windows PC

lunes, 25 de junio de 2018


El poderoso Ransomware Satán vuelve a infectar equipos comprometiendo a Windows PC a través del exploit EternalBlue que se encarga de realizar su distribución mediante redes comprometidas.

EternalBlue fue creado para explotar el bloque de mensajes del servidor basado en Windows (SMBv1), mientras que Minikatz es un instrumento de código abierto que permite al atacante extraer información de credenciales Windows.

Para iniciar el proceso del Ransomware Satán, primero se empaqueta un archivo troyano, que va junto al MPRESS distribuyéndose por correo electrónico o de diversas formas hasta llegar al equipo de la víctima. 

Cuando la víctima  ejecuta el troyano, esté libera los archivos EternalBlue de versión pública en la ubicación 'C: \ Users \ All Users \' y los archivos del empaquetador MPRESS, para luego analizar los sistemas de la misma red empleando EternalBlue y así encontrar servicios SBM desactualizados.

La meta de esta agresión al infectar la red completa y encriptar los archivos es maximizar los beneficios de un ataque en la computadora de destino.
Empresas de seguridad informaron que este Ransomware también puede eliminar mmkt.exe (Mimikatz) que es una herramienta de código abierto, permitiendo al atacante extraer información  de credencial de Windows Isass (Servicio de Subsistema de la Autoridad de Seguridad Local). luego Mimikatz almacena la credencial de los equipos de la red y accede e infecta las maquinas en la misma red utilizando las credenciales robadas.

Posteriormente se elimina satan.exe del equipo infectado y empieza el proceso de encriptación en el disco una vez ejecutado, al culminar el proceso de cifrado, reescribe todos los archivos encriptados con: .dbger E.g .: gbhackers.jpg a [dbger@protonmail.com] gbhackers.jpg.dbger.

Al desaparecer el archivo Satan.exe de la memoria, se ejecuta el archivo madre para enviar datos a un servidor de comando y control.

Cuando ya el equipo está bajo control, se muestra la nota de rescate: “Algún archivo ha sido infectado, por favor envíe 1 bitcoin a la dirección de la billetera”; después de la víctima pagar el monto del rescate, debe enviar el código de la máquina al atacante por email para obtener la clave de descifrado.

Las víctimas tienen 3 días para realizar el pago de rescate, si no cumplen en ese plazo entonces los archivos ya no se podrán descifrar. 

Mitigaciones:
Þ Verificar las contramedidas y parches instalados para mitigar el CVE-2017-0143 relacionado a la vulnerabilidad de SMBv1.
Þ Considerar instalar un detector de anomalías, o una solución de Sandbox.
Þ  No exponer puertos Microsoft a Internet.
Þ Realizar la actualización de firmas correspondiente a su Antivirus.
Þ Disponer de tecnología que permita analizar archivos con malware de día cero basado en análisis de emails.
Þ Disponer de controles de parchado en sistemas operativos de manera continua.
Fuente: Gbhackers.com

COMPARTIR:

Twitter Facebook Google Pinterest
Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Resurge Ransomware Satán y ataca a Windows PC
Resurge Ransomware Satán y ataca a Windows PC
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdk7nrZ-LqkJc8Yc5_k7zRMZ_JdvemdVSHn64hJuWxMvCISCPFQp-6usHm_cgwp5BQ64BryZklGB_MIWT2ZvpV_brBexWCGJ1CD5vIoDbFo1UR46o6Ul1ij6UhUMTZ5fZEPZyOuZmGsb4/s640/IMG130+%25282%2529.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdk7nrZ-LqkJc8Yc5_k7zRMZ_JdvemdVSHn64hJuWxMvCISCPFQp-6usHm_cgwp5BQ64BryZklGB_MIWT2ZvpV_brBexWCGJ1CD5vIoDbFo1UR46o6Ul1ij6UhUMTZ5fZEPZyOuZmGsb4/s72-c/IMG130+%25282%2529.jpg
Arkavia Networks News
https://www.arkalabs.cl/2018/06/resurge-ransomware-satan-y-ataca.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2018/06/resurge-ransomware-satan-y-ataca.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy