Español | English
rss facebook linkedin Twitter

ATS: el mejor amigo de Slave

Hace unos días comentábamos en este blog la aparición del troyano Slave, Un nuevo malware que se diferencia por sus webinjects en formato JSON. En este post vamos a diseccionar el sistema de transferencias automáticas (ATS) que trabaja conjuntamente con Slave el cual está configurado para atacar a determinadas entidades bancarias.
El ATS que inyecta Slave resulta sencillo en su funcionamiento pero a la vez muy efectivo; en nuestra investigación pudimos analizar el código del script ejecutado en el navegador de la victima. Este está diseñado de forma modular permitiendo la adaptación a diferentes "sites" de banca online de manera rápida y sencilla. En el momento del análisis el ATS afectaba a tres bancos con distintas inyecciones para cada tipo de acceso (empresas o particulares). También se encontraron nuevas entidades que aunque no estaban presentes en la configuración de Slave, parecían estar preparadas para su activación en próximas fechas.

Para identificar la página de la banca online en la que se encuentra el usuario el script hace uso de diferentes técnicas como inspeccionar la URL actual o buscar elementos en el objeto DOM de la página.

En función de la página en la que se encuentra el usuario, el scritp es capaz de realizar diferentes acciones. Las páginas con código mayor de 100 se corresponde a los formularios de "login", que dependiendo del banco puede haber 1 o 2 diferentes. En estás páginas el script recoge las credenciales del usuario y las almacena en el sessionStorage del navegador. Si además de la contraseña la entidad pide algunos dígitos de una clave de paso, el script es capaz de reconocer los dígitos solicitados y enviar la máscara de dicha clave. Sin embargo para su funcionamiento el ATS no necesita robar las credenciales y la única acción que realiza con ellas es enviarlas al C&C, posiblemente para una revisión manual. Este comportamiento permite deducir que su prioridad no es realizar dicha captura, sino modificar transferencias en tiempo real, como veremos más adelante.

En caso de capturar correctamente correctamente las credenciales del usuario, el script pasa a ejecutar las siguientes acciones en el resto de la web:

  • Acción 1 (landing page), se limita a enviar los datos de usuario y contraseña como log. Dependiendo del banco, esta acción puede ser ignorada, ya que no contiene datos de interés.
  • Acción 2 (accounts info), busca la información relativa a las cuentas del usuario, extrae los datos y los envia al C&C en el siguiente formato:
Nombre Titular*Número de Cuenta*Saldo*-*|
  • Acción 3 (new transfer), se encarga de modificar la transferencia legítima para enviar el dinero a una mula en lugar del destinatario original. Antes de hacerlo se realizan varias comprobaciones, entre ellas que la cuenta tenga suficientes fondos (mas de 2 cifras) y que no se haya realizado ya una transferencia fraudulenta. Si la víctima pasa estos controles, se realiza una petición de mula al C&C.

La respuesta del ATS a esta petición incluye los datos del nuevo destinatario de la transacción y la cantidad a enviar. Con dicha información, el script falsifica la transferencia, mostrando al usuario los datos que espera ver (la transferencia que cree realizar) y enviando al banco los ilegítimos. De esta forma es el propio usuario quién realiza los pasos de verificación. Ya sea introduciendo valores de la tarjeta de coordenadas, el PIN enviado al móvil o cualquier otro factor de doble autenticación.
De forma adicional, Una vez se ha realizado la transferencia ilegítima se ejecuta la función fixBalance?()en todas las páginas donde aparezca el saldo de la cuenta. Esta función modifica el valor del saldo visualizado para ocultar el robo, siendo incluso persistente a sesiones, por lo que mientras el usuario este infectado la transferencia fraudulenta y el saldo real serán completamente indetectables en la web de su banco.
Respecto a la comunicación del script con el panel de control, si bien no fue posible replicar este proceso, un análisis preliminar permitió extraer las siguientes conclusiones:
  • Para comunicarse con el C&C el script utiliza JSONP, dependiendo de la inyección puede llegar a cargar la librería JQuery para realizar las peticiones.
  • En todas ellas se añade un campo "key" que viene hardcoded en el propio binario y resulta necesario para la comunicación.
  • Más allá de esta comprobación y de la capa SSL, las comunicaciones script-C&C no parecen incluir ninguna otra clase de cifrado u ofuscación.
Finalmente estos son los MD5 que identifican las muestras analizadas:
1a621d205e984f92a42e00dd250e4ca0
4da23d28b515ff7cc1e51821895fea7a
b5d5c2782b078f4148f5a102dde5dc8b
ea593dc3d2056c5c1a2c060cc77c4990
1bbd341d8fa51f39c7f8df7753b72b00
50fc29042f8c54d99a6ec3dfd82b40e0
b9d28002e69f87e1f407a501d2bf5c3c
fab771fb164e54c6982b7eb7ba685500
3153be649d0d868c77a064e19b000d50
594fa3dd37c9b720c24bf34cf4632c20
c892c191a31f4a457ff1546811af7c09
3bd78217be4e455c107f81543de51bf0
9db30f3d2a0d68f575c79373cded12c0
ced7970f13c40448895967d4c47843e0
400fbcaaac9b50becbe91ea891c25d71
a86bd976ce683c58937e47e13d3eb448
e03512db9924f190d421ff3d3aaa92f0

Detectada una nueva variante de ransomware móvil


Es de sobra conocida la tendencia en malware que ha causado más problemas en lo que va de año: Ransomware (Cryptowall, Cryptolocker y sus variantes, por nombrar algunos).

Aunque ya se había visto alguna muestra de ransomware (Koler),  en el entorno móvil, no era común encontrar Spam tradicional con estas aplicaciones maliciosas hasta ahora.

Hace unos días recibimos un e-mail supuestamente genérico de Spam en el que se adjuntaba un archivo adjunto de dudoso nombre “Check Updates.apk” que en principio se hacía pasar por una actualización de Flash Player.

Un primer vistazo rápido a la aplicación ya indica que, desde luego, dista mucho de ser una actualización válida de nada, como se puede comprobar simplemente revisando las imágenes y documentos HTML que están integrados.






Dichos documentos, que serán presentados al usuario como parte del proceso de “scam” siguen el esquema común. En este caso, es el FBI el que ha detectado (mediante la plataforma PRISM) que el usuario ha visitado páginas prohibidas y debe pagar una multa.

A continuación se presenta un extracto del texto:
 


La instalación de la aplicación tampoco reviste más problemas y tras abrir la aplicación se mostrará brevemente un reproductor de videos (naturalmente falso).




Tras unos segundos, se lanzará la ventana de la supuesta infracción, que quedará fija, impidiendo al usuario acceder al resto de aplicaciones o cerrarla.

Este mensaje, a diferencia del que mostraba Koler, no se modifica dependiendo de la zona geográfica, sino que es el mismo siempre. Aquí tenéis algunas capturas:




Una vez bloqueado el dispositivo y solicitado el pago de la “multa”.

Para proceder al pago de la multa, se solicita comprar y cargar con 500$  una tarjeta de pago PayPal MyCash para posteriormente entregar el código de la misma al botmaster usando el panel de la aplicación maliciosa (como puede verse en la captura anterior). Una vez hecho esto la aplicación promete  desbloquear el dispositivo y el descifrar los datos del usuario.

Detalles técnicos

La aplicación no presenta muchas novedades a nivel de desarrollo, ni componentes, ni técnicas. Requiere un elevado número de permisos y usa las características de la plataforma como una aplicación normal (no implementa “exploits” o requiere privilegios de superusuario). Podríamos destacar lo siguiente:

  • La ventana de la supuesta denuncia al usuario se genera como una alerta de sistema, que se muestra por “encima” del resto de ventanas de la aplicación.
  • El sistema de cifrado es AES y  usa la librería criptográfica estándar. La clave de cifrado siempre es la misma, así como el Salt para su creación (PBKDF2WithHmacSHA1)

    A pesar de que el código de cifrado y descifrado esta completo, no se ha detectado en las pruebas que la aplicación maliciosa realmente cifre el contenido del almacenamiento externo (objetivo /sdcard/Android/).
  • La aplicación hace uso de una librería de terceros (Volley) para la gestión de conexiones.
  • Para amedrentar al usuario se muestran ciertas características personales en el mensaje, como son: IP del dispositivo, lista de enlaces favoritos del navegador, fotografía del usuario (con cámara frontal) e información de geolocalización basada en la IP.
  • Las principales funcionalidades son
    • Reenvío de SMS almacenados y contactos al servidor malicioso
    • Captura de los SMS entrantes
    • Envío de SMS a través del dispositivo
    • Cifrado y descifrado de la tarjeta de almacenamiento externa
    • Bloqueo y desbloqueo del dispositivo
  • Además,  el servidor entrega al bot un “SMS template” que será usado para enviar un SMS con la URL del APK a todos los contactos del usuario (esto ya se observó en versiones recientes de Koler)


Panel de control

La URL del panel de control se encuentra “hardcodeada” en el propio código del bot. Una vez resuelta la URL se consultará periódicamente al servidor por nuevos comandos (se usará comunicación estándar http y respuestas JSON):

GET /pha?android_version=4.1.2&id=xxxxxxxxxx&phone_number=xxxxxxxxx&client_version=1.03&imei=xxxxxxxxxxxxxxxx&name=sdk

Durante el registro del bot, se recibirá también un mensaje de “template” de SMS  así como información  de geolocalización (comentados anteriormente)

{"sms_template": "OMG!!! Guess who's on a video here, you will not believe it!!!  hxxp://xxxxxx.com/video.apk"}

{"city": "Madrid", "ip": "82.xxx.xxx.xxx", "lon": yy.yyy, "lat": zz.zzz, "country_code": "ES", "country_name": "Spain"}

El servidor también implementa un acceso para la consulta y control de los bots.
También se ha encontrado alojado en el mismo una página falsa de descarga de la aplicación.


Conclusiones y mitigación

El “boom” de los ransomware empieza a encontrar distintas formas de distribución, y a pesar de ser aplicaciones sencillas y poco avanzadas, cumplen su función de “extorsionar” al usuario. Los métodos aún son muy orientados a la ingeniería social, pero se van añadiendo funciones adicionales (robo de SMS, propagación, etc.)

Para mitigar sus efectos, se recomienda mantener desactivada la opción de instalación de fuentes desde orígenes desconocidos de Android y filtrar en los servidores de correo los archivos adjuntos con extensión “.apk”.

Si la aplicación maliciosa se ha instalado, siempre se puede proceder a su limpieza usando “adb uninstall” (requiere depuración USB activa) o reiniciando el sistema en modo seguro, para posteriormente desinstalarla normalmente.

S21sec ecrime

PD: El MD5 analizado es el siguiente: f836f5c6267f13bf9f6109a6b8d79175

La Smart-grid desde el punto de vista de los “malos”

La Smart-grid o red eléctrica inteligente es una red eléctrica modernizada que integra los últimos avances de las TIC dentro en toda la cadena de valor del negocio eléctrico (generación, transporte, distribución y comercialización).

Esta red permite la recopilación de gran cantidad de datos sobre el funcionamiento de la red y la administración remota de todos sus componentes, permitiendo una gestión más eficiente. Pero la Smart-grid también implica una serie de nuevos riesgos para el sector. Especialmente riesgos de ciberataques malintencionados.

La Smart-grid es un objetivo muy jugoso para “los malos”, que podrían ser entre otros trabajadores descontentos, agencias de inteligencia extranjeras, crimen organizado, extorsionadores, terroristas, etc.

Estos grupos inicialmente no tienen un conocimiento directo de las vulnerabilidades que pueda tener una Smart-grid y probablemente van a atacar los puntos aparentemente más débiles de la infraestructura para intentar alcanzar sus objetivos.

Si hacemos un pequeño juego de rol y nos ponemos en el papel de estos “malos”, podemos simular su forma de pensar y adivinar por dónde van a atacar. Esto nos puede ayudar a protegernos con mayor eficacia.


Si partimos de este esquema aproximado de una red eléctrica ficticia:


Podemos identificar algunos de los puntos que podrían estar más expuestos a ciberataques:
  • Los accesos desde la red corporativa.
  • Las estaciones remotas.
  • Las comunicaciones GPRS.
  • Las comunicaciones vía satélite.
  • Los contadores inteligentes.
  • Las comunicaciones vía PLC.
  • Las comunicaciones vía Radio.


Estos elementos de la red se encuentran más expuestos a ataques, bien por ser accesibles fácilmente o bien por presentar vulnerabilidades conocidas.


Los accesos desde la red corporativa están expuestos porque estas redes son muy grandes y difíciles de controlar en su totalidad. Hay usuarios conectando desde distintas partes del mundo, oficinas repartidas físicamente, distintos tipos de accesos a Internet, conexiones con clientes y proveedores, etc. Estas redes suelen contar con varios mecanismos de seguridad pero también han sido el objetivo tradicional por parte de los atacantes y por lo tanto es donde estos cuentan con una mayor experiencia ofensiva. Además, en muchos casos no se realiza una correcta segregación y control de accesos hacia los sistemas industriales que permiten operar las distintas infraestructuras eléctricas (subestaciones, centros de transformación, contadores eléctricos, centros de control, etc.).

Las estaciones remotas normalmente se encuentran en medio del campo o en lugares apartados y su seguridad física o la seguridad del cableado de red es más difícil de controlar. Por ejemplo es habitual encontrar remotas de telecontrol en centros de transformación y subestaciones. Los primeros normalmente los encontramos en armarios o pequeños locales protegidos por candados/puertas cuya seguridad es baja. Los segundos, aun incluyendo otro tipo de medias de seguridad física más complejas (sensores, vallados, CCTV, etc.) también suelen ser localizaciones desatendidas.

La comunicación GPRS y en general cualquier tipo de comunicación por el aire, se puede capturar por parte de usuarios maliciosos. Si estas comunicaciones no incorporan cifrado robusto o presentan vulnerabilidades, pueden ser utilizadas como una vía de acceso a la red interna. En el caso de GPRS, se conocen desde hace tiempo debilidades que comprometen en gran medida su seguridad. Por una parte el cifrado utilizado a nivel GSM puede ser roto con los equipos adecuados y por otra parte no existe un proceso de autenticación segura por el lado de la BTS que da el servicio GSM frente al terminal, de forma que es posible la realización de ataques de estación base falsa para interceptar el trafico GPRS.

Un ejemplo de la explotación práctica de estas vulnerabilidades fue presentado hace unos años en la BlackHat DC 2011 por dos investigadores españoles.

Las comunicaciones vía satélite presentan riesgos similares. La señal recibida del satélite se puede capturar libremente del aire y si no se implementa un cifrado robusto, su seguridad podría ser comprometida.

Un ejemplo de estos ataques fue presentado por un compañero de S21SEC en la BlackHat DC 2010 y recientemente otro investigador español ha publicado un artículo bastante detallado sobre los riesgos de este tipo de comunicaciones.

Los contadores inteligentes están habitualmente en armarios con baja seguridad dentro de los edificios o incluso a veces accesibles fácilmente desde la calle, de forma que su manipulación es sencilla. También es posible comprar contadores inteligentes en páginas de segunda mano para analizar su electrónica, manipularlos y extraer la información de seguridad contenida en los mismos.

Las comunicaciones vía PLC entre contadores y concentradores (que por cierto, suelen encontrarse también en los centros de transformación, junto con las unidades remotas dedicadas al telecontrol de los transformadores) se realizan a través de un medio compartido (el cable eléctrico) de forma que pueden ser capturadas o manipuladas por cualquier usuario que tenga acceso a un enchufe eléctrico en las proximidades.

Y por último, las comunicaciones vía radio presentan una situación similar y pueden ser capturadas si un usuario malicioso se encuentra dentro del alcance de la señal.

Cualquiera de estos puntos es probable que sea objeto de ciberataques en un futuro cercano y por lo tanto es necesario diseñar medidas de seguridad y de detección adecuadas para mitigar estos riesgos. 

Estos aspectos los iremos cubriendo en los próximos artículos, pero si queréis ir entrando en materia podéis acudir a los documentos publicados por ENISA sobre seguridad en Smart-grid y preparados con la colaboración del equipo de investigación de S21SEC. 


Ramón Pinuaga
S21SEC





Nuevo troyano bancario 'Slave' afectando a bancos de Polonia

Hemos detectado un nuevo troyano desconocido que utiliza inyecciones en formato JSON. Después de ver tantos troyanos usando inyecciones tipo ZeuS, es interesante encontrarse algo así. Actualmente afecta a entidades polacas. El análisis preliminar de las inyecciones nos ha permitido ver que en ciertas entidades se incluye el código necesario para realizar transferencias automáticas (ATS).


La muestra tiene un chequeo que evita que pueda ser ejecutada a partir del 1 de abril de 2015. Esto no quiere decir que a partir de ese día desaparaezca la amenaza, es muy probable que el botmaster envíe una actualización del binario antes de esa fecha. El objetivo de la medida es, probablemente, el limitar la ventana de tiempo en la que las muestras pueden ser analizadas de forma automática en sandboxes. 


Existen indicios de que el autor usó el código fuente de chromium para crear el troyano al cual hemos decidido bautizar como Slave.


Uno de los nombres con los que se ha distribuido el troyano es Faktura V_388_02_20_2015.doc.scr lo cual parece indicar que al menos una de las vías de distribución del malware con las campañas de spam.

Algunos hashes:
1a621d205e984f92a42e00dd250e4ca0
3bd78217be4e455c107f81543de51bf0
50fc29042f8c54d99a6ec3dfd82b40e0
400fbcaaac9b50becbe91ea891c25d71
ced7970f13c40448895967d4c47843e0
fab771fb164e54c6982b7eb7ba685500

En un futuro, y una vez hayamos analizado las inyecciones en detalle, actualizaremos el blog para mostrar cómo funciona el módulo ATS de las mismas.

Para más información, puede ponerse en contacto con nosotros: blog [at] s21sec.com

S21sec Ecrime

El retorno de Stuxnet

No es realmente cierto que el virus Stuxnet pueda volver a penetrar en un sistema de control y provocar un ataque como hizo ya hace 5 años; pero hace un mes se ha conocido que una de las vulnerabilidades que aprovechaba este virus sigue existiendo, y que afecta a los sistemas Windows.

Pongamos en antecedentes. Hace ya unos años os contamos en este post y este otro cuál era el funcionamiento de Stuxnet a bajo nivel y cómo se aprovechaba de las vulnerabilidades. Básicamente el virus entró en el sistema a través de una memoria USB infectando un equipo y a partir de ahí se extendió a diferentes equipos y dispositivos de la red de control.

El funcionamiento de la vulnerabilidad ahora redescubierta es sencillo, se aprovecha de la carga de ficheros de iconos (.cpl) por ficheros de enlaces (.lnk) para ejecutar código arbitrario. Los ficheros de iconos funcionan como dlls, haciéndose una carga dinámica de ellos.

Supuestamente Microsoft solucionó la vulnerabilidad con un parche de seguridad publicado en el verano de 2010, o eso se pensaba. El problema es que este parche no soluciona el problema, así lo han demostrado a principios de éste 2015 técnicos de Kaspersky Labs, y los sistemas llevan conviviendo con la vulnerabilidad durante 4 años pensando que ya estaba solucionada. Microsoft ha publicado un nuevo parche de seguridad para solucionar esta vulnerabilidad, esperemos que esta vez hayan acertado.

Podéis encontrar más información leyendo esta noticia.

Jairo Alonso Ortiz
IACS&SCADA Security Researcher

CARBANAK APT: Ciberataque dirigido a cajeros (ATM)

En octubre de 2014, una investigación de la organización policial internacional Interpol alertó de un nuevo tipo de malware bancario denominado Tyupkin, que facilitaba a los criminales la obtención de control completo sobre los cajeros automáticos, permitiéndoles el robo de importantes cantidades de dinero en efectivo sin necesidad de uso de tarjetas de crédito o débito (para más información puede consultar nuestro blog post).

Lejos de ser un caso aislado, recientes eventos muestran un aumento de los ataques basados en malware dirigidos al entorno de cajeros automáticos, con una variedad de vectores de ataques que comparten un objetivo, el robo del dinero almacenado en efectivo, atacando directamente al banco sin necesidad de involucrar a los clientes.

El último incidente que ha atraido el interés de la industria es el denominado Carbanak APT (también conocido como Anunak), un sofisticado cibertatque que afecta a entidades financieras en más de 30 países con una pérdidas acumuladas cercanas a los mil millones de dólares.

El vector de ataque consiste en el compromiso de la red de la víctima mediante el envío de emails de spear phishing que permitían la descarga del código malicioso que a posteriori se propagaba por sistemas críticos.

Habiendo infectado a usuarios clave, los atacantes les espiaban para obtener un conocimiento detallado de las herramientas y procedimientos de trabajo internos, posibilitándoles copiar estos procedimientos para llevar a cabo sus actividades fraudulentas sin ser detectados por las contramedidas de seguridad del banco.

Aunque los cibercriminales utilizaron múltiples rutas, una de las más relevantes fue el control de la red de cajeros automáticos.

Control de una red de cajeros con  Carbanak

Una vez que la APT  Carbanak comprometía satisfactoriamente la red de la víctima, los atacantes ganaban acceso a la infraestructura de gestión de la red de cajeros infectando esos sistemas con su propio malware.


Campaña masiva de Dalexis + CTB-Locker

Campaña

En los últimos días se ha detectado una campaña masiva de SPAM en la que está siendo distribuido el downloader conocido como Dalexis. Debajo de estás lineas se puede apreciar una captura de pantalla de uno de los correos fraudulentos:




Los archivos adjuntos al correo de spam son ficheros comprimidos con extensiones .zip o .cab. En su interior contienen un archivo .scr que una vez ejecutado mostrará uno de los siguientes documentos:


  • Documento 1


  • Documento 2



  • Documento 3


Este downloader está vinculado al Ransomware CTB-Locker. Este cripto malware  se caracteriza por cifrar entre otras las siguientes extensiones de archivos: pdf, xls, ppt, txt, py, wb2, jpg, odb, dbf, md, js, pl, etc.

Así mismo es capaz de cifrar aquellas unidades de disco que estén mapeadas y sean accesibles como unidades locales.



Una vez cifrados los archivos la siguiente nota de rescate será mostrada:


Esta nota se mostrará dependiendo de la localización de la víctima en uno de los siguientes idiomas: francés, inglés, italiano, alemán y holandés. Los criminales han añadido información para guiar a la víctima en los pasos para realizar el pago del rescate




La descarga del ransomware se hace mediante un a petición a la red TOR (The Onion Router) con el fin de ocultar el contenido de la comunicación e impedir la inspección de los paquetes, esta petición se hace mediante una pasarela por lo que a simple vista parece una sesión de TLS normal.
El fichero descargado está a su vez cifrado siendo el downloader responsable de descifrarlo y lanzarlo a ejecución.

Hasta el momento hemos identificado los siguientes dominios :

•    hxxp[s]://voigt-its.de/fit/pack.tar.gz
•    hxxp[s]://scolapedia.org/histoiredesarts/pack.tar.gz
•    hxxp[s]://pleiade.asso.fr/piwigotest/pack.tar.gz
•    hxxp[s]://maisondessources.com/assets/pack.tar.gz
•    hxxp[s]://jbmsystem.fr/jb/pack.tar.gz
•    hxxp[s]://breteau-photographe.com/tmp/pack.tar.gz
•    hxxp[s]://www.cpeconsultores.com/tmp/pack.tar.gz
•    hxxp[s]://siestahealthtrack.com/media/pack.tar.gz
•    hxxp[s]://peche-sportive-martinique.com/wp-includes/pack.tar.gz
•    hxxp[s]://microneedle.com/menu_files/pack.tar.gz
•    hxxp[s]://hotel-mas-saint-joseph.com/css/pack.tar.gz
•    hxxp[s]://springtree.cba.pl/modules/cario.tar.gz
•    hxxp[s]://smartoptionsinc.com/data-test/nero.tar.gz
•    hxxp[s]://ppc.cba.pl/cache/nero.tar.gz
•    hxxp[s]://mmadolec.ipower.com/me/cario.tar.gz
•    hxxp[s]://masterbranditalia.com/downloader/cario.tar.gz
•    hxxp[s]://integritysites.net/files/nero.tar.gz
•    hxxp[s]://evalero.com/img/cario.tar.gz
•    hxxp[s]://compassfx.com/OLD/cario.tar.gz
•    hxxp[s]://collection-opus.fr/_gfx/cario.tar.gz
•    hxxp[s]://cargol.cat/IESABP/nero.tar.gz
•    hxxp[s]://bikeceuta.com/templates/nero.tar.gz
•    hxxp[s]://www.lamas.si/picture_library/upupup.tar.gz
•    hxxp[s]://wcicinc.org/flv/dostanes_do_drzky.tar.gz
•    hxxp[s]://thinkonthis.net/style/dostanes_do_drzky.tar.gz
•    hxxp[s]://stmarys-andover.org.uk/audio_files/upupup.tar.gz
•    hxxp[s]://sp107.home.pl/logs/dostanes_do_drzky.tar.gz
•    hxxp[s]://ohayons.com/dostanes_do_drzky.tar.gz
•    hxxp[s]://fotocb.de/php/upupup.tar.gz
•    hxxp[s]://dequinnzangersborne.nl/language/upupup.tar.gz
•    hxxp[s]://dariocasati.it/logs/dostanes_do_drzky.tar.gz
•    hxxp[s]://thomasottogalli.com/webtest/sancho.tar.gz
•    hxxp[s]://ourtrainingacademy.com/LeadingRE/sancho.tar.gz
•    hxxp[s]://m-a-metare.fr/media/sancho.tar.gz
•    hxxp[s]://locamat-antilles.com/memo/sancho.tar.gz
•    hxxp[s]://joefel.com/easyscripts/sancho.tar.gz
•    hxxp[s]://cds-chartreuse.fr/locales/sancho.tar.gz

Recuperación de los archivos infectados:

CTB-Locker usa un algoritmo de cifrado basado en curvas elípticas por lo que se puede considerar lo bastante fuerte como para garantizar que los ficheros no podrán ser recuperados, al menos a corto plazo.

Contramedidas

Como de costumbre la prevención es la mejor contramedida, el no abrir ficheros adjuntos en correos no solicitados y establecer una política adecuada que limite los permisos de los usuarios en las unidades compartidas de red.

Así mismo el impedir que una vez infectado el downloader pueda descargar el binario del ransomware. S21Sec analiza diariamente miles de muestras de malware la información extraída de dichas muestras alimenta el servicio de listas negras y la solución Lookwise Threat Intelligence para la detección de amenazas en la red interna de la organización.

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login