• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Los Investigadores utilizan el Ataque Mitm contra los Operadores del Ransomware Alma

    Los Investigadores utilizan el Ataque Mitm contra los Operadores del Ransomware Alma Los investigadores ayudan a las víctimas del ransomware Alma a descifrar sus archivos mediante el uso de un Ataque MitM contra los operadores. ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Los Investigadores utilizan el Ataque Mitm contra los Operadores del Ransomware Alma

      Los Investigadores utilizan el Ataque Mitm contra los Operadores del Ransomware Alma


      Los investigadores ayudan a las víctimas del ransomware Alma a descifrar sus archivos mediante el uso de un Ataque MitM contra los operadores.

      Los investigadores de seguridad han descifrado con éxito el ransomware Alma recién descubierto para que las víctimas tengan la posibilidad de descifrar sus archivos de forma gratuita.

      Distribuido a través del kit exploit RIG y utilizando un comando y control de servidor (C & C) mediante tor, el malware ha empleado un método de ataque en dos etapas: después de la encriptación de archivos, muestra a la víctima un descifrador que se utiliza para conectarse al servidor C & C. Debido a eso, los investigadores de seguridad fueron capaces de crear un ataque mand and the middle (MitM) para descifrar los archivos de la víctima de forma gratuita.

      Se observó que Alma genera una extensión de 5 caracteres al azar inmediatamente después de infectar un ordenador, junto con un único ID de 8 caracteres para la víctima que deriva del número de serie de la unidad C: \ y la dirección MAC de la interfaz de red. El ransomware utiliza el cifrado AES-128 para bloquear los archivos del usuario, y agrega la extensión generada con anterioridad a ellos.

      Mientras que apunta a una amplia gama de tipos de archivo, el ransomware se salta los ubicados en las carpetas que contienen las siguientes cadenas: $ Recycle.bin, información deL volumen del sistema, archivos de programa, programdata, Archivos de programa (x86), Windows, Internet Explorer, Microsoft, Mozilla, chrome, datos de programa, la configuración local, la papelera de RECICLAJE, MSOCache, y Unlock_files_.

      De acuerdo con los investigadores de PhishLabs, los autores del malware están tratando de engañar a los usuarios afirmando que el archivo malicioso pertenece a Apple. Debido a esto, el usuario puede creer que la alerta que dé el antivirus sobre el archivo malintencionado podría ser falsa. Para dificultar el análisis, el malware utiliza espacio de direcciones aleatoria de diseño (ASLR) activado por una alerta que se encuentra en el encabezado PE, lo que significa que el sistema operativo cambia aleatoriamente las posiciones en memoria del programa para prevenir los ataques de desbordamiento de búfer.


      El ransomware intenta resolver una dirección .onion de registro de entrada y enviar información específica de la máquina. Estos detalles incluyen: la clave de descifrado AES-128 privada, las extensiones de los archivos cifrados, nombre de usuario, nombre de la interfaz de la red activa, el identificador de configuración regional del sistema (LCID), versión del sistema operativo, ID de la víctima, el software de seguridad instalado, y la hora cuando se ejecutó el programa.

      Después de completar el proceso de cifrado, el ransomware presenta un aviso al usuario informándole de que sus archivos han sido cifrados. El malware también genera un identificador personal que se utiliza para identificar a la víctima en el pago del rescate. Sin embargo, hay una segunda fase de la infección, donde se presenta al usuario con la opción de descargar un descifrador que muestra las instrucciones de descifrado.

      Los investigadores de PhishLabs observaron que el descifrador realiza el registro de entrada con la C & C cuando es ejecutado, y que este componente enviaría el identificador personal de la víctima con el servidor para informar de que la herramienta de descifrado se ha descargado. El servidor notificará al descifrador la dirección Bitcoin, la extensión del archivo de caracteres múltiples, las horas que quedan para pagar el rescate, y el costo del rescate. La víctima tendrá 120 horas para pagar el rescate, desde el momento en el supuesto desencriptador se ha descargado.

      El ransomware utiliza código .NET- ofuscado, lo que permitió a los investigadores ver el código fuente del descifrador e identificar los parámetros del descifrado. A continuación, los investigadores crearon su propia herramienta de descifrado y también lograron cortar la comunicación entre el descifrador original y el servidor después de descubrir que la herramienta era vulnerable a un ataque man-in-the-middle (MitM).

      Debido a que las respuestas recibidas desde el servidor pueden ser modificadas, los investigadores utilizaron la técnica PhishLabs MitM para obtener la herramienta de descifrado con la información que les permitió descifrar los archivos de la víctima de forma gratuita. Los investigadores tuvieron éxito porque el autor no puso en práctica la protección / ofuscación en la carga útil y en el descifrador. Por otra parte, los investigadores sugieren que el autor del malware podría ser nuevo en esta escena.

      "Poco después de la distribución de la carga útil en el medio, el servidor de comando y control empezó a responder con un error de servidor interno 500, dejando a las víctimas sin poder descifrar sus archivos. La infraestructura que rodea a esta campaña no era muy robusta y, finalmente, dio lugar a la caída de la aparición del ransomware Alma. A pesar del carácter amateur del ransomware Alma, no es probable que sus autores cesen su producción y deberíamos esperar ver más de ellos en un futuro próximo ", dicen los investigadores.


      Fuente: SecurityWeek
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      331

      Re: Los Investigadores utilizan el Ataque Mitm contra los Operadores del Ransomware A

      Gracias por la info!