-
añadir a favoritos
Un error ajeno que puede ser Suyo
viernes, 30 de octubre de 2020
Nos gustaría contarle una historia de la que cada uno puede aprender. La vamos a contar, aunque los que no han sido víctimas difícilmente le harán mucho caso. Pero vamos a intentarlo.
La empresa de energía Enel Group por segunda vez este año fue sometida a un ataque de programas extorsionistas. Esta vez un grupo de malintencionados Netwalker le pide un rescate de 14 millones de USD por la clave de descifrado y por rechazar la publicación de varios terabytes de los datos robados.
A principios de junio Intranet de Enel fue atacada por un programa extorsionista Snake, también conocido como EKANS, pero este intento fue detectado antes de que el malware pudiera difundirse.
El 19 de octubre fue publicada una demanda de rescate de Netwalker.
Según los datos de Netwalker, han robado unos 5 terabytes de datos y estaban dispuestos de difundir una parte de los mismos durante la semana. También informaron que «analizarían cada archivo en busca de cosas interesantes» y lo publicarían en su sitio web de filtración.
Esta táctica sirve para aumentar la tensión y hacer que la empresa víctima pague el rescate.
La empresa víctima es una de las más importantes en el sector energético europeo; 61 000 000 clientes en 40 países. A fecha de 10 de agosto, la empresa ocupa el lugar 87 en el ranking Fortune Global 500 con ganancias de casi 90 millares de USD en el año 2019.
NetWalker apareció por primera vez en agosto del año 2019. En su primera versión, el extorsionista se llamaba Mailto, pero a finales del año 2019 cambió el nombre por NetWalker.
El programa extorsionista funciona por esquema Ransomware-as-a-Service (RaaS) con acceso cerrado a través del portal del programa extorsionista. Los equipos de hackers se registran en este portal y se someten al proceso de verificación, y luego se les proporciona el acceso al portal web donde los mismos pueden crear sus propias versiones del extorsionista.
Luego el extorsionista se difunde por los equipos de segundo nivel y cada grupo lo difunde como quiera.
Aun no hay información sobre este ataque, pero normalmente los grupos de hackers usan las técnicas de penetración características.
Un malintencionado entró en la red a través de RDP usando la cuenta DomainName \ Administrator, intentó iniciar Cobalt Strike Beacon, y luego hizo un dump de la memoria con ProcDump и Mimikatz. Luego se conectó al controlador del dominio a través del protocolo RDP, usando PsExec inició el extorsionista NetWalker en todos los sistemas conectados al dominio.
Primero fue lanzado el script c37.ps1. Unos minutos más tarde, fue lanzado c37.exe que copia a sí mismo al catálogo temporal y luego se para.
El archivo binario c37.exe incluye el código Neshta, poison, BazarBackdoor, XMRig y la mayor parte de CobaltStrike.
Un intento de iniciar estos programas en el arenero por los investigadores no tuvo éxito, lo cual significa que se usan los métodos de esquivar areneros.
… Una vez iniciado AdFind, unos minutos más tarde se abrió la línea de comandos y los comandos siguientes han sido copiados e insertados lentamente, o introducidos manualmente.
Luego el script con nombre pcr.bat fue eliminado y ejecutado.
Los hackers tardaron 1 hora y 5 minutos en hacer todo esto. La penetración primaria se realizó al usar la cuenta comprometida RDP.
No publicamos el informe completo porque el mismo está disponible siguiendo un enlace más arriba (en inglés). Pero las vulnerabilidades básicas de seguridad son obvias.
- Las contraseñas débiles del administrador del sistema, lo cual permitió a los malintencionados entrar en la red.
- El acceso remoto a la red sin restricciones de direcciones, es decir, sin indicar las direcciones de las cuales están disponibles los equipos.
- Posibilidad de inicio no controlado del software.
- No hay análisis de archivos entrantes para el arenero de clase Dr.Web vxCube. Los hackers implementamos los métodos de esquivar los areneros más populares.
Y, como vemos, a pesar de las ganancias importantes de las empresas atacadas y mucho dinero destinado para la seguridad, los hackers no han tenido que usar las técnicas de hackeo sofisticadas, sobornar ni chantajear.
#hackeo #rescate #extorsión #protección_contra_la_pérdida_de_datos #historia #daño
El mundo de antivirus recomienda
El virus penetró en la red local e infectó todos los clientes así como NAS con backups.
Una solicitud al soporte técnico de Doctor Web.
Hay un dicho popular diciendo que las personas inteligentes aprenden de los errores de los demás. Pero, al parecer, si los hackeos no afectan a todos, nadie usará contraseñas resistentes, tampoco dividirán las redes en subredes, y los equipos donde se realiza la copia de seguridad seguirán siendo disponibles por la red.
Y nuestra recomendación es obvia: aprenda de los errores de los demás!
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 0 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
Lia00
23:23:17 2020-11-09
Неуёмный Обыватель
23:22:43 2020-10-30
Masha
17:39:24 2020-10-30
Татьяна
17:16:21 2020-10-30
Пaвeл
14:01:55 2020-10-30
GREEN
07:34:26 2020-10-30
A veces piensas, bueno, ¿cómo, cómo pudo pasar esto? Una empresa bastante grande, todo está bajo supervisión (¡debería estarlo!). Después de todo, seguro que todo está ahí: dinero, infraestructura de trabajo ... Solo habría "buena voluntad" de la dirección. Pero no, nada ayuda contra el descuido, sólo la propia experiencia "amarga".
ka_s
07:07:00 2020-10-30