ALERTA DE SEGURIDAD> Nueva variante de Ransomware SAMAS

By | noticias, Sin categoría | No Comments

SAMSA RANSOMWARE2

RESUMEN

Ransomware-SAMAS es una conocida familia de ransomware cuya veta más destructiva fue renombrada a inicios de año, SAMAS cifra ciertos tipos de archivos y exige al usuario comprometido pagar al atacante un rescate para descifrar esos archivos.

Los atacantes obtienen acceso a un servidor externo de la organización y realizan un reconocimiento de los puntos finales en la red usando Microsoft Active Directory (csdv.exe).

Esta nueva variante contiene líneas de comandos vssadmin en el script.  Los key files generalmente siguen la nomenclatura: _PublicKey.keyxml. Estos key files se utilizan como argumento para el binario de cifrado principal samsam.exe, que lee las key files “.keyxml” y comienza el cifrado de las extensiones de archivos predefinidas.

Los atacantes también ejecutan otro script (generalmente llamado re1.bat) para eliminar los archivos de copia de seguridad presentes en los sistemas de punto final

MITIGACIÓN

Recomendamos:

  • Ningún equipo debe estar por debajo de las firmas: DAT 8976 y AMCORE 3427
  • Genere las reglas en VSE y ENS. Consulte los siguientes artículos para configurar las reglas de Protección de acceso en VirusScan Enterprise: KB81095 y Cómo crear una regla de protección de acceso definida por el usuario desde una consola VSE 8.x o ePO 5.x  KB54812
  • Los archivos adjuntos de e-mails externos deben escanearse primero con un antimalware y, si es necesario, eliminarse sin abrirlos.
  • Nunca haga clic en enlaces en correos electrónicos sin verificar la URL.
  • No abra archivos adjuntos de documentos de Office a menos que se lo solicite específicamente al remitente. Vea el asunto del correo electrónico o envíe un correo electrónico por separado para validar al remitente antes de abrir los archivos adjuntos.
  • Deshabilite los Macros en las aplicaciones de Microsoft Office.
  • Los usuarios finales deben hacer una copia de seguridad de los datos comerciales en las carpetas compartidas de la organización. Los datos que residen en los dispositivos del usuario se pueden perder de forma permanente en el caso de una infección de ransomware.
  • Reporte correos electrónicos sospechosos al equipo de seguridad.

 

Más información y consultas: expertos@ransecurity.com

Caso de éxito Centrify 2018

By | noticias, Sin categoría | No Comments

Grupo Argos fortalece la seguridad y reduce la complejidad en los centros de datos y la nube con Centrify Identity Platform

  • Sinopsis del desafío: Aumentar la visibilidad de la actividad contratada de TI para una administración más
    eficiente, así como el cumplimiento de la Ley SOX debido a las inversiones en los EE.UU. Aumentar la seguridad y reducir la tensión sobre el servicio de asistencia debido a las solicitudes de reinicio de contraseña, proporcionando a los empleados un inicio único de sesión (SSO) para las aplicaciones clave de la empresa e incorporando las Mac al Active Directory.

https://www.ransecurity.com/wp-content/uploads/2018/07/CASO-DE-EXITO-Grupo-Argos-2018.pdf

BlackBerry ha obtenido la puntuación más alta en los seis casos de uso del informe de Gartner Capacidades Críticas Para la Gestión de Movilidad de Alta Seguridad

By | noticias, Sin categoría | No Comments

Por segundo año consecutivo, BlackBerry ha obtenido la puntuación más alta en los seis casos de uso del informe de Gartner Capacidades Críticas Para la Gestión de Movilidad de Alta Seguridad

El informe ofrece una orientación para los compradores de TI, especialmente paras los de las empresas de industrias reguladas como servicios financieros, sanidad y energía entre otros, así como las agencias gubernamentales, que requieren una seguridad robusta. Y como la ciberseguridad se ha convertido hoy en día en una discusión a nivel consejo de administración dentro de empresas de todos los sectores, el informe se considera como lectura obligatoria para cualquier empresa donde se valoren los datos y las redes.

De los 15 proveedores evaluados, BlackBerry recibió:

    • La puntuación más alta en Seguridad de grado gubernamental (High-Security Government Grade)
    • Mayor puntuación en alta seguridad comercial (High-Security Commercial)
    • Mayor puntuación en datos compartidos (Shared data)
    • Mayor puntuación en dispositivos compartidos (Shared devices=
    • Mayor puntuación en No-Empleado (non-employee)
    • Mayor puntuación en BYO

BlackBerry también fue posicionado como líder en el Magic Quadrant de Gartner para EMM por segundo año consecutivo. Y también recibimos la puntuación más alta en dos casos de uso en el informe de Gartner 2017 Capacidades críticas para la gestión de la movilidad empresarial para las industrias reguladas y el soporte de dispositivos no administrados.

Con capacidades que van desde industrias reguladas que requieren alta seguridad, hasta empresas con menores necesidades de seguridad móvil que prefieren el enfoque más ligero de Mobile Application Management (MAM), BlackBerry Enterprise Mobility Suite (BEMS) le permite administrar y asegurar una amplia gama de necesidades empresariales.

 

Para obtener más información, descargue el informe completo de Gartner, Capacidades críticas para la gestión de movilidad de alta seguridad, 2017

  • Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

+INFORMACIÓN

http://blogs.blackberry.com/2017/08/blackberry-repeats-as-highest-scorer-in-all-six-out-of-six-use-cases-in-gartners-2017-critical-capabilities-for-high-security-mobility-management-report/

Ante cualquier duda o inquietud no dudes en contactarnos:

Julián Jimenez Yory

jjimenezyory@ransecurity.com

ATENCIÓN! Bad Rabbit lo que necesitas saber y extra.dat para detectarlo

By | noticias, Sin categoría | No Comments

BADRABBIT

¿QUÉ ES BAD RABBIT?

¿Escuchaste de Bad Rabbit?, la nueva cepa de ransomware, se disfrazó como una actualización de Flash, fue detectada por primera vez el 24 de octubre. Hasta la fecha, los sistemas atacados se han limitado principalmente a Rusia y Ucrania. El ransomware es la tercera gran propagación de malware este año: sigue las cepas de código malicioso WannaCry y NotPetya de mayor alcance. Esto es lo que sabemos sobre Bad Rabbit hasta el momento.

El ransomware Bad Rabbit se propaga a través de ataques “drive-by”, en este caso, el malware está disfrazado como un instalador de Adobe Flash. Cuando se abre el archivo de aspecto inocente, comienza a bloquear la computadora infectada. La descarga de Flash se ha instalado en sitios web que usan JavaScript inyectado en los archivos HTML o Java de los sitios web afectados. El malware no se instala automáticamente, lo que significa que se debe hacer clic para que funcione.

Si una persona hace clic en el instalador malicioso (y dado el número de actualizaciones de Flash emitidas, esto es muy probable), su computadora se bloquea. La nota de rescate y la página de pago demandan alrededor de $ 280 en Bitcoin y da un plazo de 40 horas para que se realicen los pagos.

¿A QUIÉN HA GOLPEADO?

La mayoría de los objetivos se encuentran en Rusia y Ucrania, afectando al Metro de Kiev, el aeropuerto de Odessa y principalmente webs de medio de comunicación, también se han presentado casos en Turquía y Alemania.

¿DE DÓNDE VIENE?

El análisis encontró que el ransomware explota el bloque de mensajes del servidor, que también se vio en NotPetya. Malwarebytes concluye que Bad Rabbit es “probablemente preparado por los mismos autores” como NotPetya.

Sin embargo, Bad Rabbit no parece ser tan sofisticado como las otras cepas de ransomware de este año. No explota la vulnerabilidad Eternal Blue de Windows almacenada por la NSA, para lo cual Microsoft ha emitido parches.

 

DETECCIÓN Y RECOMENDACIONES

Nombre del archivo:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da.exe

FlashUtil.exe

 

Tipo de archivo:

El malware inicia una línea de comandos con los siguientes valores:

Cmd /c schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR “C:\Windows\system32\cmd.exe /C Start \”\” \”C:\Windows\dispci.exe\” -id 1082924949 && exit”

“/ TN rheagal” se refiere a una cuenta del sistema con el nombre rhaegal utilizado para crear la tarea programada e iniciar el archivo ransomware

El malware utiliza los siguientes comandos para borrar registros de seguridad y eliminar el número de secuencia de actualización (USN) change journal, que se usa para recuperar archivos, por ejemplo:

Cmd /c wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D C:

Actualmente hay tres muestras asociadas con esta campaña de ransomware, que representan el cuentagotas y el ejecutable principal:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648

RECOMENDAMOS

+INFORMACIÓN

https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/

Ante cualquier duda o inquietud no dudes en contactarnos:

Pablo Renzo

prenzo@ransecurity.com

RAN TOUR 2017

By | Sin categoría | No Comments

RAN TOUR 2017
Buenos Aires, Argentina. Septiembre 2017.
www.ransecurity.com
+Encuentro de profesionales de Seguridad TI + Charlas de primer nivle sobre tendencias de seguridad informática regional y mundial + Networking.

Sponsors: McAfee + Tenable + IBM Argentina + BlackBerry + Centrify + Boldon James + CyberArk + Nexsys Argentina Media Partner: IT Sitio

ATENCIÓN! Intento de estafa mediante un phishing AFIP (ARGENTINA)

By | noticias, Sin categoría | No Comments
ALERTAAFIP

Informamos a todos nuestros clientes que se encuentra activo un intento de estafa mediante un phishing, el cual distribuye un falso e-mail de AFIP (Administración Federal de Ingresos Públicos). Este e-mail contiene un archivo .doc, el cual usa un exploit que afecta la vulnerabilidad CVE 2017-8759 a http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8759

El e-mail pretende ser de la AFIP y viene de un server que la IP asignada a Gualberto Larrauri. El mensaje del e-mail describe el adjunto como un manual para un portal de la AFIP, el mismo es un .zip que contiene un RTF con extensión .doc. Si bien contiene un .doc real, dentro también se encuentra el exploit CVE 2017-8759 que puede infectar y vulnerar una PC con SO Windows.

Una vez abierto el RTF genera una actividad en powershell que descarga un ejecutable malicioso en Windows que además crea persistencia en el registro de Windows.

phshingAFIP1 phshingAFIP2 phshingAFIP3

Cuando se analiza el tráfico se puede ver que hace varias request hacia dos IP

154.16.93.182 y 103.200.22.206

phshingAFIP4

Este tráfico malicioso generado incluye HTTP request para inyecciones de código Javascript, Powershell Script, y ejecutables de Windows por el puerto TCP 8007.

Los hashes son los siguientes:

SHA256 hash:  7bd46284dabf1f400102aa35e123eb2ffe2838560fbc016ba4f2cd376742004c

  • File size:  52,132 bytes
  • File type:  Zip archive
  • File name:  comprasAnexoII.zip
  • File description:  Email attachment

SHA256 hash:  4a07c6f26ac9feadbd78624d4e063dfed54e972772e5ee34c481bdb86c975166

  • File size:  286,981 bytes
  • File type:  Rich Text Format (RTF) file
  • File name:  comprasAnexoII.doc
  • File description:  RTF file with CVE-2017-8759 exploit

SHA256 hash:  610e6611b3b2e3bd85173cba76bf069fb7134b86f533141f79811fcc29d62b33

  • File size:  440,832
  • File type:  PE32 executable
  • File location:  hxxp://classupdate.punkdns.top:8007/txt/words.exe
  • File location:  C:\ProgramData\SystemMicrosoftDefender2.1\[random characters].exe
  • File description:  Follow-up malware, Neurevt.A (Betabot)

 

TRAFICO AL MOMENTO DE LA INFECCIÓN

  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/doc.txt
  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/accounts.hta
  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/pause.ps1
  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/words.exe

TRAFICO POST INFECCION:

  • 103.200.22.206 port 80 – av.bitdefenderesupdate.ru – POST /.av/logout.php
  • 103.200.22.206 port 80 – av.bitdefenderesupdate.ru – POST /.av/logout.php?id=[various numbers

 

RECOMENDACIONES:

Al no contar con el parche para la vulnerabilidad CVE 2017-8759 este ataque podría generar una infección, escalación de privilegios y otros efectos, por lo cual recomendamos:

  • Asegurar la aplicación de cada una de las actualizaciones automáticas de Windows, de lo contrario, actualizar a la última versión disponible del parche manualmente.
  • Mantener actualizados las soluciones de Antivirus y dispositivos Firewall.
  • Sensibilizar a los usuarios para evitar descarga de archivos adjuntos en correos sospechosos
  • Actualizar extra.DAT  en el ePO. Instrucciones para actualizar el extra.DAT https://kc.mcafee.com/corporate/index?page=content&id=KB67602

Ante cualquier duda o inquietud no dudes en contactarnos:

Pablo Renzo
prenzo@ransecurity.com

Nueva versión de CBT-Crytolocker infecta la Web

By | noticias, Sin categoría | No Comments

En los últimos años, hemos visto un aumento de innumerable amenazas de ransomware desde Cryptowall yCTB-Locker hasta Locky, descubierto la semana pasada.

Ahora apareció una nueva variante de CTB-Locker, orientada a infectar sitios web. Esta versión se “apropia” de los sitios web y bloquea el acceso a sus datos, los cuales son descifrados después de hacer un pago de 0,4 a 0,8 Bitcoins. A modo de “prueba de vida”, los administradores del sitio web infectado pueden desbloquear 2 archivos gratis.

Según una sencilla busqueda, se puede confirmar que actualmente ha infectado a cientos de sitios web.

Así funciona la CTB-Locker para sitios web

CTB-Locker sustituye la página principal del sitio (index, default, etc.) y lo reemplaza por un index.php con un mensaje informando que los archivos han sido cifrados y se tiene que abonar un rescate antes de un determinado plazo, después del cual el monto a pagar se duplica. Por ahora parece que el ransomware solo afecta a sitios con tecnología LAMP.

Los sitios web comprometidos muestran el siguiente mensaje:

“Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.”

El mensaje también contiene una guía paso a paso que ayuda a las víctimas para realizar el pago a una dirección Bitcoin determinada e incluso un chat dónde se puede consultar con los delincuentes.

Por ahora se desconoce cómo llega CTB-Locker al servidor afectado, pero basado en el análisis de sitios web cifrados, se supone que son sitios WordPress vulnerables.
Para iniciar el proceso de cifrado, el desarrollador de malware utiliza dos claves AES-256: una de estas claves se utiliza para descifrar los dos archivos de prueba y la otra clave se utilizará para cifrar el resto de los archivos del sitio. Las extensiones a cifrar corresponden a casi cualquier tipo de archivo conocido y se almacenan en: archivo de web_site_document_root]/extensions.txt. También se dejan otros archivos en elwebserver, tales como: index.php, allenc.txt, test.txt, victims.txt, extensions.txt, secret_[site_specific_string].

Según Benkow Wokned, el investigador de seguridad que descubrió esta versión de CTB-Locker, la páginaindex.php utiliza la función jQuery.post() para comunicarse y registrar datos del servidor C&C delransomware.

Fuente: https://blog.segu-info.com.ar/2016/02/nueva-version-de-ctb-locker-infecta.html

CONTACTO

E-mail: Soporte técnico: helpdesk@ransecurity.com Info: expertos@ransecurity.com
RANSecurity Argentina: (+54 11) 5353 9999
RANSecurity Chile: Tel: (+562) 3223 9532
RANSecurity Perú: Tel: (+51 1) 711 4764