Nuevo ataque ransomware que ha afectado a dos sedes de multinacionales en España.
http://www.elconfidencial.com/tecnologia/2017-06-27/ataque-ransomware-dla-piper-wannacry_1405839/
De momento no veo mucha información al respecto por lo que leo esta variante encripta el MFT no los archivos propiamente, lo que no sé es si se propaga con la misma vulnerabilidad de SMBv1.
Alguno tiene más info al respecto?
#961 Tengo varios colegas trabajando en distintas empresas en el puerto de Algeciras y esta mañana los han largado a todos a casa. Entre la huelga de estibadores y Maersk hackeada tiene que estar graciosa la cosa por allí...
Nada nuevo... otro ramsonware (y bastante cutre por lo que he podido ver) que utiliza un módulo para propagarse por SMBv1 (parecido al wanna cry), las empresas que aún siguen utilizando dicho protocolo y no han aplicado los parches correspondientes son vulnerables a éste ramsonware. La única variante es que esta versión utiliza WMI ademas de ETERNALBLUE (SMBv1).
La cartera de bitcoins es: https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX lleva poco más de 1BTC recaudado con 8 transacciones. El vector 0 de infección es via e-mail, con un scam tipo factura/recibo falso.
#964 He analizado una muestra del ramson en mi lab y se intenta propagar por SMBv1, igual que el wannacry. Hace unas llamadas extrañas al WMI (aún no se cual es el objetivo de usar WMI). También hay algunos reportes en otras webs que lo están analizando y confirman el intento de propagación por SMBv1
Bueno, la cosa se complica... al parecer el bicho hace algo más. En reddit están reportando servidores full-patched que se han infectado :\ Si no es trola lo que dicen en reddit, huele un poco mal
https://www.reddit.com/r/sysadmin/comments/6jsnex/new_ransomeware_attacks_holland_ukraine/
#968 Sí, he visto esa misma string hardcodeada en el ramsom... cuando llegue a casa miro a ver si puedo debugar el bicho para ver en que momento usa WMI y que efectos tiene
#970 #971 Hoy descartado, el lab lo tengo aislado sin internet, no veo forma rápida/sencilla de meter un OBS y hacer streaming, pero me lo apunto para hacerlo otro día (aunque no sea con éste virus en concreto) podría estar interesante.
En reddit ya lo han destripado bastante. Usa SMBv1 (eternalblue) para el spread y luego utiliza una copia de psexec para ejecutar el virus en equipos remotos. Digamos que la infección sería:
[email] > usuario abre mail, ejecuta fichero EXE adjunto > virus ejecuta eternalblue y se propaga a cualquier equipo con SMB vulnerable > virus usa elevación de privilegios SMB null-session > virus ejecuta psexec en toda la LAN > virus comprueba si es admin del PC, si lo es infecta MBR, eleva excepción y reinicia el PC. Si no es admin intentará encriptar los ficheros uno a uno.
#972 Oye, pues algún streaming analizando este tipo de cosas desde cero, con diferentes bichos, para ver sus métodos, vulnerabilidades que atacan y demás estaría interesante. Avisa si eso!.
#970 #971 #973 Hola, os cito a los 3 ya que habéis tenido cierto interés.
He terminado de preparar el lab y el honeypot en una red controlada y con internet a la vez, así que podré hacer grabaciones, OBS, o lo que sea... lo que no estoy seguro es que pueda capturar todo el escritorio o que el escalado se vea bien por twitch, calidad, tamaño, etc... Otra opción que tengo sería documentar los análisis y publicarlos con su explicación, pasos, fotos del proceso... a posteriori.
Por último me pregunto si tendrá exito o no, pues no es algo super divertido de ver ya que requiere tener ciertos conocimientos para entender y disfrutar del proceso.
Otro proyecto que se me ocurre sería crear un github de análisis de ejecutables/malware, explicando los fundamentos iniciales (PE, ASM, debuggers, packers, ...) y luego ir reversando muestras de malware que podáis enviarme, o malware conocido, etc...
Donde creo el hilo? En el foro de desarrollo o hardw/soft? xD
#974 yo la verdad que teniendo 0 idea, si te animas con esta iniciativa te voy a leer, que saber de ciberseguridad nunca está de más.
No tengo ni idea de seguridad y aprender nunca viene mal, en mi opinión modo documentación es mejor que twitch/youtube.
#974AikonCWD:Otro proyecto que se me ocurre sería crear un github de análisis de ejecutables/malware, explicando los fundamentos iniciales (PE, ASM, debuggers, packers, ...) y luego ir reversando muestras de malware que podáis enviarme, o malware conocido, etc...
Eso sería muy interesante ademas para algunos sería de mucha ayuda para aprender, como dice #976
#974 Más que streaming, información técnica y vídeos de YouTube sería bastante curioso. Haciendo streaming puede que se pierdan ciertas cosas. Y recuerda tener una planta de aguacatero detrás mientras los hagas.
#974 yo me anoto, quiero aprender sobre este tema.
Preferiría lo abrieras un OT, una especie de paso a paso desde cero con cada video tutorial y así nos vamos puliendo
Ok, montaré un hosting en github (que son gratis) y algunos videos en youtube, etc...
El tema es que para empezar a analizar ejecutables/malware se necesitan muchos conocimientos previos y básicos sobre programación, ensamblador, debuggar procesos... a parte de nociones básicas sobre instrucciones intel x86/x64, apis, estructura PE, etc... aquí un simple gráfico lo resume todo muy bien:
Mi idea es enseñar lo que está marcado con la flecha roja, pero ahí se ve claramente la cantidad de conceptos previos que se requieren. Va a ser un palazo para la mayoria :\
#974 Ese Aikon, a topeee!! ilustranos donde sea pero comparte el enlace!!! Tengo un par de consultas no solo de virus para ver si me puedes ilustrar.
Un saludo
En la empresa donde trabajo hoy ha cundido el pánico porque a una empleada le ha llegado un mail extraño con un archivo JPG. Aún a sabiendas de lo que se cuece ultimamente, ha decidido abrir la imagen... Según comenta acto seguido el mail ha desaparecido y no ha dejado rastro de nada... Ya están formateandole el PC xDDDDDDD
Nuestra empresa usa McAfee y según comentan las altas capas, tiene todas las versiones del ransom registradas (no me creo una mierda)
Researcher Who Stopped WannaCry Ransomware Detained in US After Def Con
Asociado a la creación del troyano Kronos (usado para robar datos bancarios)
Pues sí, ayer hubo bastante movimiento con el tema. Primero de todo se detectó una transferencia de bitcoins desde las carteras de wannacry (hasta la fecha, todos los bitcoins recaudados no habían sido reclamados/transferidos) hacia otras carteras particulares.
Y luego el chico que descubrió el kill-switch, fue arrestado en Las Vegas, tras una conferencia de defcon por estar involucrado en el desarrollo de un troyano bancario. Muy sospechoso todo xD
#982 Ahi ademas habría que añadir técnicas anti-antidebugging, anti-desensamblado, networking y hardening para no infectarte a ti mismo y alguna cosa mas. Ademas de conocimientos de todos los sistemas operativos habidos y arquitecturas. Amen de controlar de emulación de binarios si no tienes disponible la arquitectura que vas a analizar. Que no todo es malware para windows ( Gracias a dios 
)
