• Registrarse
  • Iniciar sesión


  • Resultados 1 al 9 de 9

    “Anti-child **** Spam Protection 2.0″: metodología y lecciones aprendidas

    “Anti-child **** Spam Protection 2.0″ Metodología y lecciones aprendidas En la última semanas hemos recibido varios reportes de usuarios que fueron afectados por la nueva variante de la amenaza denominada “Anti-child **** Spam Protection 2.0“ ...

          
    1. #1
      Redactor Avatar de Pacman
      Registrado
      abr 2005
      Ubicación
      Silicon Valley
      Mensajes
      1.751

      Mensaje “Anti-child **** Spam Protection 2.0″: metodología y lecciones aprendidas

      “Anti-child **** Spam Protection 2.0″
      Metodología y lecciones aprendidas



      En la última semanas hemos recibido varios reportes de usuarios que fueron afectados por la nueva variante de la amenaza denominada “Anti-child **** Spam Protection 2.0“, y la forma en que esta amenaza se propaga nos permitirá reflexionar respecto a cómo se está gestionando la seguridad en las empresas. Se trata de un ransomware que cifra el contenido del equipo con una contraseña generada pseudo aleatoriamente y posteriormente bloquea el equipo con una pantalla como la de arriba.

      En esta oportunidad tuvimos reclamos de algunos incidentes en clientes nuestros cuando la amenaza era detectada por ESET NOD32 Antivirus (como Win32/FileCoder.NAC o Win32/FileCoder.NAG) y las empresas manifestaban tener el producto instalado y actualizado correctamente. Entonces, ¿qué había ocurrido? A partir del análisis de los equipos y el seguimiento de los casos, podremos aprender algo sobre esta amenaza.

      Para que se comprenda correctamente la metodología de infección, veamos las etapas de infección:

      • Identificación: El ataque comienza cuando los atacantes localizan un servidor (por lo general Windows 2003 Server) que posea publicado en Internet el servicio de Escritorio Remoto (Remote desktop, puerto 3389).

      • Acceso: Luego proceden a explotar algún tipo de vulnerabilidad, ya sea ataques de fuerza bruta en búsqueda de credenciales por defecto o usuarios con contraseñas débiles o directamente algún bug que permita la ejecución de código remoto en este servicio (como por ejemplo las vulnerabilidades MS13-029 o MS13-020).

      • Elevación de privilegios: En caso de conseguir credenciales con permisos de administrador este ítem es obviado. Caso contrario proceden a ejecutar algún otro exploit que permitan la ejecución de código arbitrario con permisos de administrador.

      • Desproteger el equipo: Una vez que logran tener privilegios dentro del sistema, proceden a desactivar cualquier herramienta de seguridad, ya sean soluciones Antivirus o herramientas de monitoreo. En el relevamiento de equipos afectados pudimos encontrar diversas soluciones de seguridad deshabilitadas.

      • Cifrado: Luego proceden a descargar y ejecutar la amenaza en cuestión la cual, de manera automática, cifra (comprime con contraseña generada aleatoriamente) todos los archivos cuya extensión se alguna de las siguientes “.txt, .xls, .xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx, .xlc, .docm, .xlk, .htm, .chm, .text, .ppt, .djvu, .pdf, .lzo, .djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr, .frm, .vbp, .php, .js, .wri, .css, .asm, .html, .jpg, .dbx, .dbt, .dbf, .odc, .mde, .mdb, .sql, .abw, .pab, .vsd, .xsf, .xsn, .pps, .lzh, .pgp, .arj, .gzip, .gz, .pst, .xl”. En algunos casos se registra incluso que se eliminaron de forma segura algún backup que se encontrara dentro del equipo. La contraseña utilizada para cifrar los archivos es creada en el momento de manera pseudo aleatoria, la cual es luego guardada dentro de un archivo de texto y enviada a los estafadores. De esta forma, no es posible replicar el escenario para obtener los datos para recuperar los archivos.

      • Eliminación y bloqueo: Posteriormente se elimina de manera segura, utilizando la herramienta Sdelete de SysInternals, para evitar cualquier intento de recuperación de la misma y por último bloquean el equipo dejando solo visible la pantalla que se observa en la imagen superior donde se pide “rescate” (un pago de dinero) a cambio de la contraseña que decodifica los archivos.


      Como se puede observar, a diferencia de ataques más tradicionales y masivos como gusanos (que explotan vulnerabilidades de forma automatizada) o troyanos (que utilizan Ingeniería Social para que la víctima ejecute el archivo), en este caso los ataques son realizados “manualmente” por el atacante explotando diversas vulnerabilidades en el sistema, poniendo en evidencia que la mera instalación de una tecnología de seguridad no es suficiente si no se acompaña con una correcta gestión de los recursos informáticos y la seguridad.

      ¿De qué sirve una solución de seguridad si la misma no está protegida por contraseña para su deshabilitación? ¿De qué sirve una solución de seguridad si el equipo donde está instalada posee vulnerabilidades que podrían permitir acceso con permisos administrativos al sistema? ¿De qué sirve una solución de seguridad si las contraseñas de acceso al sistema son débiles?

      Es importante destacar que a la fecha no existe una manera viable de poder recuperar los archivos cifrados, y si bien este tipo de estafas no son para nada nuevas, van evolucionando de manera tal que los archivos no puedan ser recuperados a menos que se pague.

      Es vital que no se realicen pagos a estos cibercriminales ya que no solo se estará incentivando este tipo de accionar, sino que tampoco existen garantías que la contraseña sea efectivamente enviada.


      .

    2. #2
      Redactor Avatar de Pacman
      Registrado
      abr 2005
      Ubicación
      Silicon Valley
      Mensajes
      1.751

      Re: “Anti-child **** Spam Protection 2.0″: metodología y lecciones aprendidas

      ¿Cómo protegerse de Anti-child **** Spam Protection 2.0?

      Para terminar, veamos cuáles son las mejores prácticas que podrían ayudar a las empresas no verse afectados por la amenaza ”Anti-child **** Spam Protection 2.0” u otras que posean comportamientos similares:

      Utilizar contraseñas fuertes (alfanuméricas de mínimo 12 caracteres de longitud y que contengan mayúsculas y algún carácter especial) para todos los usuarios.

      Deshabilitar cualquier usuario por defecto dentro del sistema que no este en uso.

      Preferentemente no tener publicado el servicio de escritorio remoto a Internet y de ser necesario, utilizar un puerto no estándar o, mejor aún, que solo sea accesible mediante conexiones de red seguras como son las VPN.

      Tener actualizado los equipos con todos los parches de seguridad correspondiente (recomendamos particularmente corregir ahora las dos vulnerabilidades antes mencionadas) y a la fecha.

      Proteger las configuraciones de los productos de seguridad con contraseñas fuertes. Este punto es clave, ya que de existir esta protección, en este caso la infección no se podría llevar a cabo.

      Contar con una política de backups que aloje los mismos dentro de sistemas protegidos y preferentemente aislados.

      Realizar auditorias de seguridad de manera regular dentro de la red para evaluar los riesgos y la seguridad de los equipos accesibles desde Internet.


      Es importante destacar que a la fecha no existe una manera viable de poder recuperar los archivos cifrados, por lo que es de suma importancia que se apliquen las recomendaciones antes mencionadas.

      Joaquín Rodríguez Varela
      Malware Lab Coordinator
      ESET Latinoamérica

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Re: “Anti-child **** Spam Protection 2.0″: metodología y lecciones aprendidas

      En @InfoSpyware también hemos estado recibiendo varios reportes de usuarios que fueron infectados por este Cripto-Ransomware, los cuales hemos venido centralizando en este tema del foro: “Anti-child **** Spam Protection 2.0″

      Este ataque se produce generalmente durante los fines de semana y va dirigido a particulares/empresas que utilizan servidores 'Microsoft Windows Server' con el Terminal Server habilitado y como bien reportan desde ESET, el ataque es prácticamente manualmente, por lo que si el servidor no está correctamente securizado, lo pueden infectar o secuestrar con “Anti-child **** Spam Protection 2.0″ o alguna de sus variantes que agregan las siguientes extensiones a los archivos:

      - .EXE Variante Filecoder que sí que son descifrables, aunque la solución puede tardar varios días.

      - .Crypt Variante que actualmente se encuentra en investigación por parte de nuestros varios laboratorios.

      - .OMG Variante gpcodec.nak/gpcodec.nai que únicamente se pueden restaurar a través de una copia de seguridad que no haya sido afectada, pero que tampoco recuperar los archivos cifrados.


      En nuestra intención de ayudar con temas de malwares, incluso aunque no brindamos soporte para empresas, igual hemos enviado muestras de los archivos cifrados los cuales nos fueron provistos por los usuarios afectados a los laboratorios de: Dr.Web, ESET, Panda, Kaspersky, McAfee, y Emsisoft, todos con el mismo resultado negativo de que hasta NO se pueden recuperar los archivos cifrados...





      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Re: “Anti-child **** Spam Protection 2.0″: metodología y lecciones aprendidas

      La siguiente es una imagen de la versión 2.0 de "Anti-child **** Spam Protection" la cual si bien principalmente ha estado afectado a usuarios de países en los cuales se habla español, el mensaje sale en inglés.


    5. #5
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Re: “Anti-child **** Spam Protection 2.0″: metodología y lecciones aprendidas

      Una traducción automatizada al español de parte del nuevo mensaje que incorpora el ransomware “Anti-child **** Spam Protection 2.0″:

      ¡Advertencia! El acceso a su computadora es limitado. Sus archivos se han cifrado.

      ¿Ya ve que sus archivos son encriptados y escritorio bloqueado? Por favor, no se preocupe y nos envía correos electrónicos molestos, o asustarnos para enviar reclamaciones en la policía, el FBI u otros -. esto es inútil, por favor lea estas instrucciones cuidadosamente, por lo que recibirá respuestas a la mayoría de sus preguntas.

      No contestamos a las preguntas que ya se respondió en estas instrucciones. No pierda su tiempo y el nuestro.

      Las preguntas estúpidas como - "Tengo copia de seguridad y necesito sólo 1-2 archivos y puedo pagar solo 500,1000,1500 $ USD, etc, tenemos una pequeña empresa, esta cantidad es demasiado alta" - no se tendrá en cuenta .

      Tiene copia de seguridad - restaurar los archivos del mismo . Sabemos que en la mayoría de los casos esto es mentira, que no tienen copias de seguridad y tratando de engañarnos para obtener descuentos y pagar menos cantidad.


      Nuestro precio mínimo para sus archivos es $ 4,000 USD . No conseguimos contraseñas de forma gratuita o 500,1000,1500 $ USD, etc Sabemos que usted tiene dinero.

      Información para las personas que creen que los profesionales pueden descifrar los archivos:

      **** Ahora sólo podemos conseguir que la contraseña fiel a descifrar todos los archivos.

      Usted puede escribir a Dr.Web, Eset, Panda y otras compañías antivirus y de seguridad o dataRestore, pero ahora esto es inútil. Este “Anti-child **** Spam Protection - Versión 2.0" que se tiene es del 03.22.2013 - más de 3 meses pasaron y nadie ayudó a obtener la contraseña o descifrar archivos. Sí, sabemos que era la vulnerabilidad para generar su contraseña en la versión anterior utilizando nuestros nombres de carpetas de software que se ha generado utilizando el mismo generador pseudoaleatorio que se generan contraseñas.

      Ahora, para generar nombres de carpetas no utilizando ningún generadores. También contraseña genera usando tanto pseudoaleatorio generadores generador pseudoaleatorio más segura criptográfica.

      Si usted no pagará nos olvidamos de sus archivos para siempre. Vulnerabilidad de generación de contraseñas fija y no está utilizando archivos rar AES con clave muy fuerte y esto es irreal a agrietarse. Si usted no cree foros sobre rar leer - sólo hay una manera de acabar con él - usar fuerza bruta, pero esto es sólo en teoría, porque a las contraseñas bruto como utilizado por nosotros es necesidad trillones año incluso si usted va a utilizar todos los equipos de el mundo.

      Puede ser que usted piensa que usted puede encontrar una clave en el servidor? No, contraseña será copiado por nosotros y elimina con seguridad. Los archivos fuente también segura eliminan - software de restauración de datos no le ayudará.

      Por supuesto, usted no cree en nuestras palabras, así que lea los foros y preguntar cryptologists. Ahora los archivos cifrados utilizando nuestro software (winrar + contraseña muy fuerte con nuevo derecho y el método de generación de seguro) está bloqueado para siempre, nadie va a ayudarte, todas las conversaciones como - No podemos dejar ahora, pero vamos a escribir que si vamos a fundar la método para generar su contraseña es ******** etc. Si se pudo obtener la contraseña y descifrar se puede ya hacer, pero más de 3 meses pasaron y ningún resultado. Ellos simplemente no quieren reconocer su completa derrota.

      También se puede leer en el foro bleepingcomputer.com sobre método de degradación de varias rondas sha-1, que se utiliza para generar su contraseña en la versión anterior, esto es ******** publicar para engañarnos, ya sabemos la verdadera vulnerabilidad y fue successefully arreglado.

      PS Nuestro software es no le gusta otros codificadores que por lo general se agrietan y los archivos se pueden descifrar el plazo de 1-2 semanas. No trate de utilizar herramientas para descifrar otros codificadores, esto es realmente ******** creer que esto será de ayuda. Nuestro software es único y ahora se llama: “Anti-child **** Spam Protection - versión 2.0 del 22/03/2013" versión anterior llamada simple "protección antispam **** Anti-child".

      Otra información acerca de por qué bloquea, Nuestras Garantías sobre descifrar sus archivos después del pago, Sobre el pago y otra información se puede leer a continuación, simplemente desplácese hacia abajo.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      muf
      muf está offline
      Colaborador Avatar de muf
      Registrado
      jun 2011
      Ubicación
      Antofagasta
      Mensajes
      4.377

      Re: “Anti-child **** Spam Protection 2.0″: metodología y lecciones aprendidas

      Hola compañeros

      El Anti-child **** Spam Protection 2.0 ¿Sólo afecta a Windows Server 2003? Como ya se sabe,Windows Server 2003 ha sido sustituído por Windows Server 2008 y Windows Server 2012.

      Saludos
      muf
      *** Solo sé que nada sé ***

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Moderador Gral.
      Avatar de @Javier_HF
      Registrado
      jun 2006
      Ubicación
      Via Lactea.
      Mensajes
      22.249

      Re: “Anti-child **** Spam Protection 2.0″: metodología y lecciones aprendidas

      Cita Originalmente publicado por muf Ver Mensaje
      El Anti-child **** Spam Protection 2.0 ¿Sólo afecta a Windows Server 2003? Como ya se sabe,Windows Server 2003 ha sido sustituído por Windows Server 2008 y Windows Server 2012.
      Buenas @muf.

      Ten en cuenta lo que se cita aquí :
      Identificación: El ataque comienza cuando los atacantes localizan un servidor (por lo general Windows 2003 Server) que posea publicado en Internet el servicio de Escritorio Remoto (Remote desktop, puerto 3389).
      SE accede por el puerto 3389 del Escritorio Remoto, y esto puede estar tanto en un Server 2003 o 2008 y también en el 2012, a no ser que venga desactivado.

      Saludos.
      Quien no lo intenta no lo consigue | ;-)

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Usuario Avatar de Mitgus
      Registrado
      jun 2013
      Ubicación
      Unknown
      Mensajes
      59

      Re: “Anti-child **** Spam Protection 2.0″: metodología y lecciones aprendidas

      Es grave esta vulnerabilidad. Personalmente veo más seguro ubuntu server, debian o centos que windows server. Se ve que el algoritmo está bien implementado para explotar servicios y obtener permisos de administrador. Hace no mucho intenté evadir el UAC para que mi aplicación corriese automáticamente (no soy creador de malware), pero no hallé forma ni servicio a explotar.

      Una pregunta, ¿Microsoft se ha pronunciado al respecto?

    9. #9
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Re: “Anti-child **** Spam Protection 2.0″: metodología y lecciones aprendidas

      Cita Originalmente publicado por Darkgus Ver Mensaje
      Es grave esta vulnerabilidad.
      Una pregunta, ¿Microsoft se ha pronunciado al respecto?
      No se trata de una vulnerabilidad directamente en Windows Server, sino como se explica más arriba, es un conjunto de factores a un ataque manual (lo que ahora llaman APTs “Advance Persisten Threats en castellano “Amenazas Persistentes Avanzadas”) que de encontrarse alguno de estos les permite a los atacantes tomar el control del servidor y secuestrar los archivos para pedir el rescate.


      • Identificación: El ataque comienza cuando los atacantes localizan un servidor (por lo general Windows Server) que posea publicado en Internet el servicio de Escritorio Remoto (Remote desktop, puerto 3389).

      • Acceso: Luego proceden a explotar algún tipo de vulnerabilidad, ya sea ataques de fuerza bruta en búsqueda de credenciales por defecto o usuarios con contraseñas débiles o directamente algún bug que permita la ejecución de código remoto en este servicio (como por ejemplo las vulnerabilidades MS13-029 o MS13-020).

      • Elevación de privilegios: En caso de conseguir credenciales con permisos de administrador este ítem es obviado. Caso contrario proceden a ejecutar algún otro exploit que permitan la ejecución de código arbitrario con permisos de administrador.

      • Desproteger el equipo: Una vez que logran tener privilegios dentro del sistema, proceden a desactivar cualquier herramienta de seguridad, ya sean soluciones Antivirus o herramientas de monitoreo. En el relevamiento de equipos afectados pudimos encontrar diversas soluciones de seguridad deshabilitadas.

      • Cifrado: Luego proceden a descargar y ejecutar la amenaza en cuestión la cual, de manera automática, cifra (comprime con contraseña generada aleatoriamente) todos los archivos


      Por lo que si se actualiza Windows Server con todos los parches disponibles y se sigue el resto de los consejos de:


      Se puede evitar el resultar víctima de este APT.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.