Ransomware salta los controles de seguridad utilizando protección con contraseña de WinRAR

Recientemente un grupo de investigadores ha descubierto un nuevo grupo de actores de amenaza, los mismos se autodenominan como “Memento” y por el tipo de incidentes a los que han estado involucrados, sus acciones han demostrado que tienen la única finalidad de obtener beneficios económicos.

Memento, ha destacado por su nuevo método para burlar la funcionalidad que impide a los atacantes cifrar archivos, al utilizar el ya conocido software de compresión de archivos WinRAR, abusando de la funcionalidad del software de crear una copia comprimida con contraseña, una vez finalizado el proceso de cifrado, el Ransomware procede a eliminar el archivo original.

Según los expertos, el vector de ataque inicial utilizada por Memento es mediante la explotación de una vulnerabilidad crítica en vSphere Client de VMware (CVE-2021-21972), abordada por la marca el 23 de febrero, la cual permite a los atacantes ejecutar código remoto de forma arbitraria y con privilegios de sistema.

Los investigadores también mencionaron que “Memento” demostró bastante paciencia, por motivo que en los incidentes analizados los atacantes duraron un largo tiempo dentro de la red sin ser detectados, antes de ejecutar el ataque de cifrado, incluso en algunos de ellos lanzaron al menos dos diferentes miners de criptomonedas en los servidores donde lograron su acceso inicial, algo bastante común entre los diferentes atacantes que utilizan exploits similares.

Cuando los atacantes logran obtener el control del dispositivo, es utilizado para la instalación del malware “PyInstaller”, lo que les permite crear paquetes en todas las dependencias utilizando Python, un ejemplo ello, sería una de las herramientas desplegadas durante su proceso de movilización lateral, el cual es Keylogger de código abierto basado en Python.

Las dos herramientas lanzadas a los sistemas comprometidos durante etapas iniciales de infección, fueron wmiexec (para ejecutar comandos) y secretsdump (para obtener credenciales de cuentas), continuando con el reconocimiento y movimiento lateral, los atacantes instalan NMAP (para escanear la red), Plink SSH (para establecer tuneles SSH), Npcap (para capturar paquetes de red) y Mimikatz (para robar credenciales administrativas).


Flujo de ataque de Memento (Sophos)

Para mantener persistencia, los atacantes de Memento crean una tarea programada instalando un script .bat (wincert.bat), la cual llaman “Windows Defender Metadata Monitor”.

El monto demandado por los atacantes una vez cifrado los archivos es de 15,95 BTC, según los expertos, cifra que puede ser observada en el archivo .txt generado una vez completado el despliegue y ejecución del Ransomware, junto con un número de teléfono de Telegram y una dirección de correo electrónico ProtonMail.

Desde Arkavia Networks recomendamos realizar copias de seguridad de forma periódica, así como mantener sus sistemas actualizados, debido a que el realizar Backups, sólo asegura la no interrupción del servicio por un largo periodo de tiempo, pero en caso que la información sea robada, los atacantes amenazan con hacerla pública de no pagarse el dinero demandado.



Referencia:

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,15,asus,1,Ataques,7,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,Check Point,4,Chile,1,Chips,1,Chrome,3,Ciberataque,6,Cibercrimen,155,Cibercriminales,3,Ciberdelincuencia,16,ciberseguridad,176,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,2,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,Hacking,84,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,19,Redes,30,redes sociales,12,Redhat,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,23,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,80,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Ransomware salta los controles de seguridad utilizando protección con contraseña de WinRAR
Ransomware salta los controles de seguridad utilizando protección con contraseña de WinRAR
https://1.bp.blogspot.com/-Vw91lCeddKc/YZ6MI7jJs2I/AAAAAAAACfU/3EEPc67m_IEOYt_FRrzjmWVMI3Q1RMaFwCLcBGAsYHQ/w640-h320/Ramsonware%2BMemento.jpg
https://1.bp.blogspot.com/-Vw91lCeddKc/YZ6MI7jJs2I/AAAAAAAACfU/3EEPc67m_IEOYt_FRrzjmWVMI3Q1RMaFwCLcBGAsYHQ/s72-w640-c-h320/Ramsonware%2BMemento.jpg
Arkavia Networks News
https://www.arkalabs.cl/2021/11/ransomware-salta-los-controles-de.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2021/11/ransomware-salta-los-controles-de.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy