ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
Andrés Naranjo Ransomware: el azote de las Pymes Últimamente no dejan de repetirse las noticias sobre nuevos ataques con ransomware. En este post te explicamos por qué son importantes para las pymes.
ElevenPaths SAVE THE DATE: Security Innovation Day 2016 ¡Regístrate ahora! Security Innovation Day es el escenario desde el que cada año Telefónica y ElevenPaths compartimos de primera mano contigo nuestros últimos lanzamientos y novedades en innovación y...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Gonzalo Álvarez Marañón La fiebre por los NFT: la última criptolocura que está arrasando Internet En mayo de 2007, el artista digital conocido como Beeple se propuso crear y publicar una nueva obra de arte en Internet cada día. Fiel a su palabra, produjo...
ElevenPaths Netflow, machine learning y la detección de anomalías en red: una aproximación académica (Parte III) Encontrar patrones en los datos de red que no se ajusten al comportamiento esperado (o sea anomalías), sigue siendo un reto interesante en la seguridad informática. Las anomalías en...
ElevenPaths Nueva convocatoria del programa ElevenPaths CSE Si eres una persona apasionada por la ciberseguridad y referente en el sector, apúntate al programa ElevenPaths CSE y disfruta de todos sus beneficios.
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
Andrés Naranjo Ransomware: el azote de las Pymes Últimamente no dejan de repetirse las noticias sobre nuevos ataques con ransomware. En este post te explicamos por qué son importantes para las pymes.
ElevenPaths ElevenPaths Radio 3×01 – Entrevista a David Barroso Cuando pensamos en herramientas de ciberseguridad, se nos vienen a la cabeza los cortafuegos, los sistemas de detección de intrusos, los antivirus, etc. Sin embargo, existen otros enfoques de...
GandCrab: historia del ransomware de principio a finDiego Samuel Espitia 25 julio, 2019 Fue en enero de 2018 cuando se detectaron las primeras muestras de un Ransomware-as-a-Service (RaaS), que llamaron GrandCrab. No solo fue uno de los primeros en ser ofrecido como servicio, sino que también fue en cobrar usando DASH, una de las criptomonedas que se han diseñado pensando en mejorar el anonimato y la privacidad de sus usuarios. Estas características fueron las que rápidamente hicieron que GandCrab pasara a ser uno de los ransomware con mayor numero de detecciones en el mundo, logrando en dos meses cerca de 50.000 víctimas y más de 600.000 dolares cobrados en rescates. Sin embargo, errores en la programación del malware permitían recuperar los datos secuestrados usando una copia de la llave de descifrado que, por error, el desarrollador dejaba en el equipo víctima, con lo que se generó la primera herramienta pública para la recuperación de los datos. Esto no sirvió durante mucho tiempo, pues el equipo de desarrollo de GandCrab, realizó unas actualizaciones al código e inutilizaron esta herramienta. Este nivel de gestión por parte de los cibercriminales, significó una especial atención de varias empresas de anti-malware, que empezaron una carrera para detectar todas las variaciones y mecanismos de evasión de anti-malware. De esta manera, se han generado más de 5 versiones del malware hasta la fecha, donde los delincuentes declaran que ya no mantendrán las actualizaciones en el sistema y el FBI hace públicas las llaves maestras de descifrado, ganando esta guerra. Evolución de las versiones En la primera versión, los desarrolladores de GandCrab usaban una única llave de cifrado y varios “exploits kits” para distribuirse. Cuando llegaban a una maquina víctima, se copiaban a si mismos en el folder %appdata%| Microsoft inyectando el comando nslookup.exe para generar una conexión con el C&C en los dominios gandcrab.bit. Ese dominio, al no ser controlado por la ICANN, entregaba un nivel superior de privacidad al atacante, que en conjunto con su fácil uso, lo convirtió rápidamente en el RaaS preferido en DarkNet, no obstante, su reinado duro solo un par de meses, cuando investigadores descubrieron que copiaba la llave de descifrado en la misma maquina víctima. Esto generó que, una semana después de publicar la herramienta de descifrado, se lanzara la segunda versión con un nuevo y mejorado algoritmo de cifrado, colocando .CRAB como extensión a los archivos secuestrados. Pero no fue la única mejora, pues los dominios del C&C fueron modificados y aunque el dominio superior continuaba siendo .bit, estos cambiaban en varias muestras. Además, el método de propagación usado en esta versión fue a través de correos SPAM, aumentando así el numero de víctimas. Un mes después, se publicó la versión 3 con dos mejoras significativas. La primera generaba una presión sicológica más fuerte a sus víctimas, al cambiar el fondo de escritorio por un mensaje donde le avisaba que su información había sido secuestrada. La segunda mejora, fue colocar una llave en el registry de windows que le permitía auto-ejecutarse y ganar así persistencia en la maquina. Pero en Julio de 2018, a tan solo 6 meses de su detección inicial, se hizo publica la cuarta versión, que sin duda era la que mejores avances técnicos demostraba, pues incluía uno de los algoritmos de cifrado más eficiente y rápido que se ha desarrollado, llamado Tiny Encryption Algorithm (TEA) y volvio a cambiar su mecanismo de dispersión, usando falsos sistemas de crackeo de software. Así cuando un usuario descargaba un mecanismo para quitar la seguridad de algún software, realmente estaba descargando la nueva versión de este ransomware. En noviembre se detectó la versión denominada 5.0.4, la cual cambio la forma de propagación, usando campañas de SPAM, ataques de fuerza bruta al servicio de RPD, aprovechando fallos en los sitios web y usando kit de exploits. Además, crea un archivo de instrucciones que la víctima debe seguir para pagar el rescate. Para celebrar el aniversario, se hizo pública la versión 5.1, que modificaba el procedimiento del pago, pues en el archivo que se creaba se solicitaba instalar el navegador TOR y acceder a una URL especifica, donde se encontraba la billetera a la que se tenia que hacer el pago del rescate. Pero esta versión no duro mucho y a menos de un mes fue actualizado por la versión 5.2. Versión que mejoraba el proceso de cifrado y que, en el fondo de escritorio, además de colocar su tradicional fondo negro con letras rojas para indicar la ruta del documento donde estaba el proceso, se colocaba un mensaje que decía “Atrápame si puedes”. La solución encontrada Tras un año y medio de funcionamiento y más de 1,2 millones de víctimas en todo el mundo, especialmente en América Latina, en junio de 2019 los desarrolladores de GandCrab publicaron en un foro de DarkNet que difunde RaaS, que ya no iban a continuar con el proyecto y que todas las víctimas tenian dos meses para pagar, sino iban a perder sus archivos para siempre, pues iban a borrar todas las llaves. Pero el 15 de Julio el FBI hizo publicó que tenía las llaves maestras de descifrado de las versiones 4 y superiores de este malware, a través de un comunicado oficial que indica que las llaves se trabajaron en colaboración con BitDefender y que iban a ser publicadas en el proyecto nomoreransom.org. Este fue un trabajo en conjunto de más de nueve fuerzas de gobiernos, quienes, como indico el FBI en su comunicado, pusieron a disposición las llaves maestras en la página web de NoMoreRansom para que cualquier usuario afectado por alguna versión de este ransomware pueda recuperar sus archivos. Sin embargo, la afectación ya ha sido de mucho tiempo para estas víctimas, por lo que se deben continuar con medidas que permitan salvaguardar información sensible y con los respaldos verificados para poder restaurar en caso de un incidente, sin pagar a los secuestradores. FARO: herramienta para la detección de información sensible en documentosDescubriendo APTualizador: el APT que parchea Windows
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Mónica Rentero Alonso de Linaje Sí, los cerebros femeninos están programados para la tecnología ¿Está la mente femenina programada para la tecnología? Sí, así, como suena. Esa fue la primera gran pregunta que sonó en mi cabeza en el primer año de carrera....
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
Gonzalo Álvarez Marañón La fiebre por los NFT: la última criptolocura que está arrasando Internet En mayo de 2007, el artista digital conocido como Beeple se propuso crear y publicar una nueva obra de arte en Internet cada día. Fiel a su palabra, produjo...
ElevenPaths Ciberseguridad en tiempos de pandemia, ¿cómo ha afectado el confinamiento a nuestra seguridad digital? La pandemia ha acelerado la transición a una vida digital, y con ello se han disparado los ciberataques contra usuarios y empresas. El ataque más frecuente, y que corresponde...
ElevenPaths ElevenPaths Radio 3×11 – Entrevista a Adán Sánchez Cada vez se habla más del Blockchain, una tecnología que, según muchos medios, va a revolucionar el mundo de los negocios mediante los contratos inteligentes o smart contracts y...
El artículo está muy bien pero está escrito “GrandCrab” y en realidad se escribe “GandCrab” Responder