Nemty Ransomware – Aprendiendo haciendo


Resumen Ejecutivo

El Equipo de investigación de amenazas avanzadas (ATR) de McAfee observó una nueva familia de ransomware llamada "Nemty" el 20 de agosto de 2019.

Estamos en una era en la que los desarrolladores de ransomware enfrentan múltiples dificultades, desde el gran trabajo realizado por la comunidad de seguridad para protegerse contra su malware, hasta iniciativas como la No más proyecto de rescate que ofrecen a algunas víctimas una forma de descifrar sus archivos. No solo eso, sino que la comunidad criminal clandestina en torno a tales desarrolladores de ransomware también puede ser hipercrítica, llamando al código incorrecto y eligiendo no comprar ransomware que no está desarrollado profesionalmente.

Después de que uno de esos desarrolladores, llamado jsworm, anunciara a Nemty en foros clandestinos, notamos que algunos usuarios de la comunidad criminal no recibieron bien el ransomware. Ciertos sectores de ese foro comenzaron a reprender a jsworm por las decisiones técnicas tomadas sobre las funciones del ransomware, así como el mecanismo de cifrado utilizado.

Jsworm respondió a todos los comentarios, agregando evidencia sobre cómo las declaraciones críticas hechas estaban equivocadas y mostró el valor de sus nuevas versiones. También corrigieron algunos errores feos revelados por los usuarios en el foro:

Uno de los usuarios en el foro destacó una función de cómo Nemty detecta duplicados de extensión en un sistema, que el autor tenía que volver a escribir:

A pesar de las deficiencias en su ransomware, los desarrolladores de Nemty todavía están en el foro subterráneo, lanzando nuevas muestras e infectando a los usuarios a través de su programa de afiliados.

Telemetría

Según nuestra telemetría, hemos visto actividad de Nemty en estas ubicaciones:

FIGURA 1. Mapa de telemetría

Análisis técnico de Nemty

Nemty se ejecuta en un modelo Ransomware-as-a-Service (RaaS). Hemos observado que se entrega utilizando:

  • RIG Exploit Kit en septiembre de 2019
  • Sitios ficticios de PayPal
  • Ataques RDP a través de afiliados en sus campañas
  • Botnet: distribuido a través de la botnet Phorpiex en noviembre de 2019
  • Cargador: SmokeBot

FIGURA 2. Anuncio de ransomware Nemty

En el anuncio de lanzamiento, los desarrolladores de Nemty ofrecieron dos tipos de colaboración: afiliación o asociación privada. Encontramos dos alias que anuncian Nemty, uno de los cuales es jsworm, que es bastante activo en los foros y anuncia todas las noticias y actualizaciones allí.

Esta es la línea de tiempo de las operaciones realizadas por el equipo de Nemty:

Observamos cómo los desarrolladores de Nemty adoptaron algunas características de otras antiguas familias de ransomware como el desaparecido Gandcrab. Un ejemplo de esto es la reutilización y la referencia a una URL que conduce a una imagen con texto en ruso y una imagen del presidente ruso, como Gandcrab tenía en su código.

FIGURA 3. URL codificada dentro del ransomware Nemty que apunta a la misma imagen que GandCrab

Los autores de Nemty lanzaron diferentes versiones de su ransomware. En este artículo de investigación destacaremos cómo funciona la primera versión y los cambios significativos agregados en versiones posteriores.

Hash: 505c0ca5ad0552cce9e047c27120c681ddce127d13afa8a8ad96761b2487191b

Tiempo de compilación: 2019-08-20 19:13:54

Versión: 1.0

La muestra de malware es un binario de 32 bits. El empaquetador y el malware están escritos en el lenguaje C / C ++ como anunció el autor en el foro subterráneo.

La fecha de compilación en el encabezado PE es el 20 de agosto de 2019.

FIGURA 4. Imagen EXEInfo

Nemty usa RunPE en la ejecución, lo que significa que se descomprime en la memoria antes de la ejecución.

Analizando la muestra, podríamos encontrar cómo el desarrollador agregó ciertas protecciones a su código, como:

  • Descifrar cierta información en la memoria solo si el proceso de cifrado funciona según lo previsto
  • Borrar la memoria después de terminar algunas operaciones
  • Intercambio de información entre diferentes direcciones de memoria, limpiando el espacio de memoria anterior utilizado

Proceso de creación de notas de ransomware

Para crear la nota de ransomware, Nemty toma cada cadena y la guarda en la memoria. Cuando el ransomware compila todas las cadenas necesarias, las unirá para crear toda la nota de ransomware. En esta operación, Nemty descifrará línea por línea, moverá los datos a otra dirección de memoria y limpiará la anterior para dejar la información solo en el nuevo espacio de memoria.

Para la primera versión de Nemty, el método de cifrado no se aplicó de manera consistente a todas las cadenas, por lo que es posible ver algunas cadenas y detectar parte de las funcionalidades o archivos jugosos de ellas.

FIGURA 5. Borrar cadenas en Nemty

Nemty y las unidades lógicas

En ejecución, Nemty verificará todas las unidades lógicas disponibles en el sistema, guardando la información sobre ellas en una lista estática con la siguiente información:

  • Tipo de unidad
  • Espacio libre disponible

Mediante el uso de la API de Windows, "GetDriveTypeA", el ransomware diferenciará las unidades entre:

FIGURA 6. Comprobación del tipo de unidades lógicas

Para verificar el espacio libre disponible en el sistema, Nemty usará "GetDiskFreeSpaceExA", nuevamente a través de la API de Windows:

FIGURA 7. Comprobación del espacio libre en disco

Extracción de la dirección IP pública de la víctima

Desde la primera versión, Nemty ha implementado una funcionalidad para extraer la dirección IP pública de la víctima. La información se extrae mediante una solicitud al servicio IPIFY en http://api.ipify.org. RaaS utiliza con frecuencia este tipo de servicios para verificar la ubicación donde la víctima estaba infectada.

FIGURA 8. Nemty obteniendo la IP pública

El agente de usuario para algunas de las versiones de Nemty era la cadena "Chrome". El agente de usuario está codificado como una sola cadena en el ransomware en lugar de usar un agente de usuario original.

FIGURA 9. Obtener la dirección IP de la máquina víctima

El servicio IPIFY se utiliza para recuperar la dirección IP pública de la víctima y, con los datos extraídos, Nemty realiza otra conexión a http://api.db-api.com/v2/free/countryName utilizando los datos obtenidos previamente como argumento. La dirección IP extraída y los datos del país se utilizan más tarde como parte de la creación de la nota de ransomware.

FIGURA 10. Obtener las cadenas del nombre del país en función de la dirección IP

Extracción de información de la víctima

Nemty extraerá la siguiente información de la víctima:

  • Nombre de usuario
    • Uso de la API de Windows GetUserNameA
  • Nombre del computador
    • Uso de la API de Windows GetComputerNameA
  • Perfil de hardware
    • Uso de la API de Windows GetCurrentHwProfileA

Con estos datos, los autores se aseguran de que la víctima infectada sea única, lo que ayuda a los operadores de RaaS a cuantificar cuántas víctimas pudieron infectarse o mediante el uso de afiliados.

FIGURA 11. Obtenga el nombre de usuario, el nombre de la computadora y el perfil de hardware de la máquina víctima

Nemty 1.0, aplicación incorrecta de la protección del país

Las familias RaaS generalmente aplican algunas protecciones para evitar infectar ciertas regiones geográficas. En la primera versión, Nemty todavía tenía esta característica en desarrollo, ya que nuestro análisis mostró que el ransomware no verificaba si la víctima pertenecía a alguno de los supuestos países incluidos en la lista negra. Durante nuestro análisis de ransomware es bastante habitual encontrar funciones que aún están en desarrollo y luego se incorporan en futuras versiones.

Si el país detectado está en la lista negra, Nemty devuelve la cadena "verdadero" y la mantiene en la configuración. Si no se encuentra el país, el valor del campo será falso.

FIGURA 12. Verifique el nombre del país y devuelva una cadena verdadera o falsa

Claves de cifrado Nemty

Inmediatamente después de hacer esta verificación, Nemty decodificará, desde base64, el valor de la clave maestra y la mantendrá en una dirección de memoria para usar más tarde. Paralelamente, preparará una cadena aleatoria con un tamaño fijo de 7 caracteres y la usará con la cadena "_NEMTY_" para crear la nota de ransomware con la extensión específica utilizada en los archivos cifrados. Nemty creará un par de claves RSA, una pública y otra privada, en este proceso.

FIGURA 13. Exportar RSA público y claves privadas

Dentro de esta operación, Nemty codificará esas claves en base64:

FIGURA 14. Codificación de claves RSA generadas

Después de esta codificación, Nemty decodificará nuevamente la clave pública RSA de la víctima y la importará para su uso posterior.

FIGURA 15. Decodificación de la clave pública RSA para uso posterior

Se vuelve a utilizar la misma operación, pero esta vez con la clave pública maestra RSA de los desarrolladores de ransomware.

Claves de cifrado Nemty

En el proceso de cifrado, con todos los datos recopilados del usuario, Nemty creará su archivo de configuración, todo en la memoria. El archivo de configuración es un archivo estructurado JSON con todos los datos recopilados y la clave AES creada previamente. Con respecto a la clave utilizada, es la misma para todos los archivos, sin embargo, Nemty usa un IV diferente para cada archivo.

Archivo de configuración de Nemty:

A continuación se puede encontrar un ejemplo de la información recopilada por Nemty y luego utilizada en el archivo de configuración:

Este es un archivo de configuración Nemty de ejemplo:

FIGURA 16. Archivo de configuración de Nemty

Los diferentes campos para el archivo de configuración son:

El archivo de configuración se guardará en el disco cifrado con una clave pública RSA de 8192 bits y codificado en base64.

FIGURA 17. Cifrar el archivo de configuración y codificar en base64

Nemty obtendrá el nombre de usuario registrado en el sistema a través de "SHGetFolderPathW" y lo guardará y cifrará con la extensión .nemty en esa carpeta.

FIGURA 18. Obtener la carpeta raíz del usuario

FIGURA 19. Creación del archivo de configuración en el disco.

Hilos de cifrado Nemty

Para el cifrado, Nemty creará un nuevo subproceso por cada unidad lógica que se encuentre en el sistema para cifrar los archivos.

El método utilizado para cifrar los archivos es similar a otras familias RaaS, obteniendo todos los archivos utilizando las funciones "FindFirstFileW" y "FindNextFileW". Nemty evitará encriptar carpetas con los siguientes nombres:

El proceso de cifrado también evitará el uso de archivos con los siguientes nombres:

FIGURA 20. Verificación de la carpeta en la lista negra y los nombres de archivo

Esta comprobación se realiza utilizando la función insensible "lstrcmpiW". Cuando Nemty esté encriptando un archivo, intentará dos combinaciones, una en minúscula y otra en mayúscula.

Las extensiones marcadas son:

FIGURA 21. Verificación de las extensiones de archivo

Si Nemty tiene comprobaciones exitosas, creará un IV aleatorio y encriptará parte del archivo con las claves AES generadas previamente. Luego comienza el IV usando la clave pública RSA de la víctima y lo agrega al archivo encriptado.

FIGURA 22. Escriba el archivo encriptado y coloque el IV en él

Nemty pondrá la información requerida para descifrar el archivo en la parte encriptada y luego agregará la extensión ".nemty" y continuará con la siguiente carpeta o archivo.

FIGURA 23. Cambio de nombre del nuevo archivo con la extensión Nemty

Después de finalizar el proceso de cifrado, Nemty usará la función "WaitForSingleObjects" y esperará todos los hilos pendientes. También descargará el navegador Tor y abrirá una conexión en el bucle de retorno con el archivo de configuración.

Como acción final, Nemty ejecutará el símbolo del sistema de la máquina con la palabra codificada "cmd.exe" y abrirá la nota de ransomware.

FIGURA 24. Apertura de la nota de rescate

El estilo de la nota de ransomware cambió a través de las diferentes versiones que lanzaron los desarrolladores de Nemty.

FIGURA 25. Diferentes notas de rescate entre versiones

En el lado izquierdo, podemos ver la versión 1.4 de Nemty. En el lado derecho, la nota de ransomware pertenece a Nemty versión 1.0.

Al igual que otras familias de ransomware, Nemty realizará estas acciones al final:

  • Eliminar las instantáneas con vssadmin
  • Deshabilite las protecciones de arranque con bcedit y wbadmin
  • Elimine el catálogo de Windows con WMIC usando la clase sombra

Todas estas llamadas se realizan con la función "ShellExecuteA" con la cadena "cmd.exe" como programa principal y la otra como argumento.

FIGURA 26. Eliminación de los volúmenes de sombra, desactivando las protecciones de arranque y eliminando el catálogo

Mutex

Nemty creará un mutex específico en el sistema cada vez que infecte un sistema:

El ransomware verificará la existencia del mutex utilizando la función "GetLastError".

FIGURA 27. Creación del mutex codificado

Si el sistema se infectó previamente con Nemty y contiene el mutex, el ransomware finalizará la ejecución utilizando la función "ExitThread". Esta llamada finalizará el hilo principal del malware, finalizando la ejecución y devolviendo el control al sistema operativo.

La función "ExitProcess" a menudo se usa para evitar la supervisión simple de la API.

Nemty usa RC4 para cifrar sus cadenas y, en ejecución, se descifrarán y decodificarán desde base64 y luego se usarán como parte de la nota de ransomware.

FIGURA 28. Cálculo del tamaño de la memoria para decodificar desde base64

La clave RC4 utilizada para Nemty 1.0 es "f * ckav". Otras familias de malware también suelen usar nombres o expresiones ofensivas con respecto a la industria de la seguridad en sus implementaciones.

Para el descifrado, los desarrolladores implementaron una función a través de la API para reservar el espacio necesario con "malloc" y luego decodificar la cadena en la memoria. Como protección, si el ransomware no puede obtener el tamaño o en la operación de decodificación, la ejecución finalizará utilizando "ExitThread".

FIGURA 29. Descifrar los datos con RC4

Nemty – Aprendiendo haciendo

Desde que se lanzó la primera versión de Nemty, los autores comenzaron a desarrollar su ransomware agregando nuevas capacidades y arreglando aspectos de su código.

Analizando las primeras versiones de Nemty, podemos afirmar que eran más avanzadas en técnicas y ofuscación en comparación con otras familias RaaS, pero la primera versión todavía contenía funciones con algunos errores, como referencias a llamadas API que el ransomware no usaba.

En el momento en que escribimos este artículo, los desarrolladores detrás del ransomware han lanzado 9 versiones diferentes:

Changelog Nemty 1.4

Hemos observado cambios en las diferentes versiones de Nemty. Para la versión 1.4, los desarrolladores aplicaron los siguientes cambios:

  • El ransomware recopilará información sobre las unidades lógicas después de verificar si la víctima tiene el mutex Nemty.
  • Comprobación de lenguaje
    • En esta versión, Nemty respetará y evitará cifrar archivos para víctimas dentro de los países de la CEI.

FIGURA 30. Verifique para evitar cifrar si el idioma está en la lista negra

CAMBIOS EN LA VERSIÓN 1.5

En comparación con Nemty 1.4, esta versión más nueva fue una versión importante, agregando los siguientes cambios:

  • Información de la víctima almacenada en el registro
  • Persistencia
  • Capacidad para matar procesos y servicios.
  • Nuevo mutex
  • Cambio de imagen codificado
  • Panel C2 de acceso público
  • 4 nuevos países en la lista negra

Información de la víctima almacenada en el registro

El primer cambio importante en esta versión de Nemty fue el uso del registro de Windows para almacenar información sobre la máquina infectada. La colmena utilizada es HKCU con el identificador NEMTY.

FIGURA 31. Información guardada en el registro

Capacidad para matar procesos y servicios

La segunda característica agregada es la posibilidad de eliminar ciertos procesos para facilitar el cifrado de archivos en el sistema, algo que comúnmente implementan otras familias RaaS.

Para eliminar esos procesos, Nemty usará taskkill / im PROCESSNAME.

FIGURA 32. Terminación de procesos.

Entre ciertos procesos de eliminación, Nemty detendrá ciertos servicios en el sistema con los mismos objetivos:

Para detener los servicios Nemty, utilizará "net stop" y el nombre del servicio.

FIGURA 33. Parada de servicios en la máquina víctima

Persistencia

Las primeras versiones de Nemty no tenían ninguna técnica de persistencia, por lo que el autor decidió agregarlo en la versión 1.5. La persistencia se realiza a través de una tarea programada, "crear / sc onlogon". El binario se copia en el directorio principal de usuarios con el nombre codificado (esto se puede adaptar para cada binario lanzado) "AdobeUpdate.exe" y la tarea se inicia usando "ShellExecute".

FIGURA 34. Creación de una tarea programada para la persistencia.

Cambio de imagen codificado

Con respecto a la imagen codificada en las primeras versiones, para esta versión, Nemty decidió cambiarla e incluir una nueva.

FIGURA 35. Nueva imagen referenciada en el malware

Panel C2 de acceso público

El autor decidió cambiar TOR por un panel público C2 donde Nemty enviará los datos de la víctima.

https://nemty.hk/public/gate?data=

4 nuevos países en la lista negra

Para esta versión, el autor agregó cuatro nuevos países a la lista negra:

Cambios en la versión 1.6

En comparación con la versión anterior, Nemty en la versión 1.6 solo implementó un solo cambio. El autor usó su propia implementación del algoritmo AES en lugar de usar CryptoAPI.

La forma en que el malware generó previamente la clave aleatoria se basó en funciones de tiempo, pero con la versión 1.6 usó principalmente algún otro valor para generar la clave aleatoria.

FIGURA 36. Cambios en la función de generación de claves

Uno de los socios en el No más proyecto de rescate, Tesorion, decidió publicar un descifrador gratuito para las víctimas infectadas por Nemty. Después del anuncio, los autores de Nemty lanzaron una nueva versión utilizando una función AES adecuada usando CryptoAPI.

FIGURA 37. Nueva implementación de la criptografía AES usando CryptoAPI

Como en un juego de gato y ratón, Tesorion lanzó un nuevo descifrador para esta versión específica. Los autores de Nemty respondieron incluyendo un mensaje codificado a Tesorion en las muestras:

Tesorion "tesorion, gracias por tu artículo".

Segunda versión de 1.6

En lugar de cambiar el número de versión de Nemty en este nuevo binario, los autores lanzaron una nueva versión de 1.6 con algunos cambios.

Los cambios agregados para esta versión son:

  • Nueva utilidad vssadmin utilizada
  • Nuevos procesos y servicios para matar
  • Función FakeNet

Esta nueva versión se lanzó solo 2 días después del lanzamiento de la primera versión 1.6; Esto significa que el actor es bastante activo en el desarrollo de este ransomware.

Nueva utilidad Vssadmin utilizada

El primer cambio para esta versión es cómo se enumeraron las unidades lógicas. El autor de Nemty implementó el uso de la utilidad "vssadmin" y también redujo la capacidad de los volúmenes sombra a 401MB. Este cambio probablemente ayudó al ransomware en términos de rendimiento.

FIGURA 38. Cambiar el tamaño de los volúmenes sombra en la unidad lógica objetivo

La idea de este cambio era permanecer más sigiloso contra los productos de seguridad de punto final, en lugar de simplemente eliminar la instantánea y ejecutar consultas a través de WMI, BCEDIT, etc. El autor cambió su enfoque para usar vssadmin con el indicador de eliminación.

Nuevos procesos y servicios para matar

Los autores de Nemty agregaron nuevos procesos para matar a fin de facilitar el cifrado de archivos:

Además de los nuevos procesos, el autor también incluyó nuevos servicios:

Característica FakeNET

Para esta versión, los autores de Nemty decidieron agregar una característica interesante. El ransomware en ejecución había implementado una función para recuperar la dirección IP pública de la víctima. En el caso de que Nemty no pueda conectarse con la dirección IP externa, el ransomware agregará datos falsos para continuar el proceso de cifrado. Los datos falsos serán:

FIGURA 39. Nemty usa la dirección IP falsa y la información del nombre del país si no puede conectarse a la URL para obtener una IP WAN

Esta característica implementada por Nemty expondrá a los usuarios en los países protegidos, ya que cifrará el sistema, incluso si el usuario pertenece a uno de los países especificados en la lista negra estática.

Versión 2.0

En esta versión, los desarrolladores decidieron eliminar ciertas funciones y agregaron un nuevo proceso de cifrado:

  • La función FakeNet se eliminó y Nemty solo usó el mecanismo anterior para verificar la región de la víctima.
  • Una función inicial que prepara un contenedor para usar el algoritmo RC4 con el nombre "rc4" y obtener una clave basada en la cadena codificada (puede cambiar en otras muestras) "sosorin :)". Esta clave se utiliza para descifrar parte de la nota de rescate y ciertas cadenas. Cambia el uso de la propia implementación RC4 de los autores para usar ahora el algoritmo RC4 con CryptoAPI.
  • Una nueva generación de contenedores de claves RSA, mejorando el proceso de generación de claves.
  • El texto de la nota de rescate incluía "NEMTY REVENGE" en lugar de "NEMTY PROJECT" y también agregó la frase: "No confíes en nadie. Incluso tu perro ".

FIGURA 40. Nota de ransomware Nemty

Version 2.2

Para esta versión, los desarrolladores de Nemty solo hicieron dos cambios menores:

  • Cambio del nombre mutex
  • Una nueva nota de rescate:

FIGURA 41. Ejemplo de la nueva nota de rescate

Versión 2.3

En esta versión, encontramos cambios importantes en comparación con la versión anterior:

  • Un nuevo valor mutex
  • El servicio utilizado para cambiar la IP pública de https://api.ipify.org a https://www.myexternalip.com/raw
    • En caso de que falle la búsqueda, la dirección externa cambia de NINGUNO a NOT_DEFINED.
  • La verificación del sistema operativo Windows para XP fue engañada en versiones anteriores y ahora solo tiene una verificación específica.
  • Los campos de configuración cambiaron, se eliminaron ciertos campos y se agregaron otros nuevos.
    • Este es un ejemplo para el nuevo archivo de configuración:

{

"Fileid": "NEMTY_E1EIVPU",

"Configid": "mArJi2x3q3yFrbvL8EYkKezDeGPgWeOG",

"Compid": "a3cande1-f85f-1341-769f-806d6172f54544",

"Ip": "NINGUNO",

“Country”: ”” “errorCode” “:” “INVALID_ADDRESS” “,” “error” “:” “invalid addr” “,” “version” “:” 2.3 “,” “computer_name” “:” “USERPC ”‘’‘nombre de usuario’‘:’‘usuario’‘’‘os’‘:’‘Windows XP’‘’‘pr_key’‘:’BwIAAACkAABSU0EyAAgAAAEAAQDdTDOyFDw4 + kjmmP2epZ / 484E7PLyyZ5W1obSZSHWPirGeobWwqnoVTXLPbKVYXZ4qszCzO71hwFKcKjeYjX1dVzSlonqpWlU5d2XLtM + 6oN9PTUIv2Fp8Quf8w3FU + 0OmmS9A0s3n6cnvpA8oIJTZFgYurYDs78Gv3dt4dUkQioqyT / kWBOTZMBARqjiN6JwCCZDU4moRm + 9IcqiXzUydebF99EoHxKcJrAekIHuHbHzZq / FcVogFSHT + 4aV2 / NTrESiNLeLYWv0S / GJrYs2xoLLe3NpdW7disE / PY1yn4flWGPU931AWy4 / ba8 + bjRXr1UPCKFk370oqWesemfK8j694toexJlRYc8s1mql2T6gq / NnqsWIxgR2B4Esn3xMzXcGZD86mA + XO / gZWgZw9kyJ4rzonWiF8OMWznKgmC0n4rxoOh70eE0m15LPkJOJwmBcVoHE189R71titoNMEYZsK8 / WE0x8YJjAAdxmI4ATufV1ZUDbO7yOf5Tc5UuHTxu5iUOL0dO004Hh0t6SZIxbjU btlHhJTiUULL + TpyG9YP1LyNMhKDE80viN9Co / a6xbs6IRhxhRRFthtHE / kRBeYfhptCblWOStLebtrNgwfe8f3AR2XdH6uESiQ8rTXG / dSgXOfmUQzuvSbxdL4aQ5docbtjQlMEl / FqYqs1pGTEB + cBATRoeY97LSCr / ZvhQPUVPyAD0NHKPOUawrGtXyiAYP3WWhKOQFM1nqQ1E9Mf38NHbaQtNJ8s / BOvMxra2Q9AaCd34IGz3uZuEZIqqXx2qqchHoHPFvopBnkCiJThmb0PoUHsA4keC7EIv3To038Wg2GYhfzy6 + vwEIx01F02xhZSHjSUlSmYM2YiS4FZu2F02L49tUPIueqo3ON2ts + G / z36kkaBFocPRJjQGL2cUmG0jI0kdahL6uNYfUL3Cu261bmxewxS1eSk + cb2zC5OckuwxoT66ZddRF + Ud2K2SIPV3oMy3D / 4oUtsrAEUv2inEthtwvY8FdzzsM1KlcvLszggKHRdTe4a3hf9ALU7omy3avhGaCtznhRnZvD0W1QNKyKRYBCtHc7e30EpbYtQ8kxRBrrQfySsQMDPfagETSDQMRdD0lLmNCsaJJqS9s7CnsXuTedTiOZA7Nddrc / qUceeZ7ZXMvwhpQJ6TglLJ / qCMFz6u63biGhCi38BxVRhrFzMIV4wEHlmw / 7ZKiIsE49XvWzJJH3J6cgvw8XGysgS29w8McqSVaucPhw + lONwc8SLTqDwZ78ozJmr3Hq4bWFjlMSeo / H8tzr ++ eVMAwNiiECWo2 / i2WwraBG7 / jpwtedjQF576tBE6TEvriVjohjyhAYj0SprtJoqS5kX6NVM8c8GaeVKbcUp6bPqZLlGi1yfP0dhgpnR81SfDVuv / RaLPedYPfKL3hK1g6UbRJvENVgrr5tik8TLley6v73MI1pbWmEnr48Zk8Y6bb4fm0H9OvkiDYmDDTh4I49TNEyuw8eD8auJ6CsapZUTmvqMlrGI3rnjueTdjQ = “,” “Unidades” “: (” “tipo de unidad” “:” “FIJO” “,” “letra_unidad” “:” “C”: ”/” “,” “tamaño_total” “:” 9GB “,” “ used_size ”“: ”9GB“, ”“ drive_type ”“: ”“ NETWORK ”“, ”“ drive_letter ”“: ”“ E ”:” / ”“, ”“ total_size ”“: ”9GB“, ”“ used_size ”“: ”9GB“ ”)”

  • El agente de usuario cambió a uno nuevo, "Naruto Uzumake".
  • Concatenando muchos comandos taskkill mediante el uso de "ShellExecuteA"; Esta versión de Nemty mata muchos procesos nuevos.

FIGURA 42. Procesos de matanza con CMD

  • Para esta versión, los autores agregaron ejecuciones de PowerShell utilizando un símbolo del sistema con la función "ShellExecuteA":

FIGURA 43. Lanzamiento de un comando de PowerShell

  • Esta versión agregó una nueva subclave en la clave de registro "Ejecutar" en la sección HKEY_CURRENT_USER con el nombre "daite drobovik":

FIGURA 44. Crear persistencia

  • La nota de rescate fue cambiada nuevamente para esta versión:

FIGURA 45. Ejemplo de la nota de rescate en la versión 2.3

Versión 2.4

Esta versión fue una versión menor como Nemty 2.2. En nuestro análisis solo notamos cambios para la nota de rescate:

FIGURA 46. Ejemplo de la nota de rescate en la versión 2.4

Versión 2.5

Esta es la última versión de Nemty que descubrimos. Este representa un lanzamiento menor y solo vimos dos cambios para esta versión:

  • Un nuevo valor mutex
  • Una nueva nota de rescate:

FIGURA 47. Ejemplo de la nota de rescate en la versión 2.5

Relación entre JSWORM y Nemty

Nuestro equipo de Advanced Threat Research (ATR) siguió la actividad del usuario jsworm en los foros subterráneos y descubrió otra pieza de su ransomware, llamado ransomware JSWORM. A continuación se muestra un anuncio que hicieron en el mismo foro en el que presentaron Nemty:

FIGURA 48. JSWORM ransomware y anuncio de Nemty

Analizamos todas las muestras que teníamos de JSWORM y Nemty y no pudimos encontrar ninguna relación en la base de código entre ellas, pero está claro que ambas piezas de ransomware pertenecen al mismo nombre.

PICADILLO FAMILIA Marca de tiempo de compilación
0b33471bbd9fbbf08983eff34ee4ddc9 Nemty 2019-08-29 08:31:32
0e0b7b238a06a2a37a4de06a5ab5e615 Nemty 2019-08-19 04:34:25
27699778d2d27872f99ee491460485aa JSWORM 1992-06-19 22:22:17
31adc85947ddef5ce19c401d040aee82 JSWORM 2019-07-19 05:21:52
348c3597c7d31c72ea723d5f7082ff87 Nemty 2019-08-25 11:58:28
37aaba6b18c9c1b8150dae4f1d31e97d Nemty 2019-08-20 19:13:54
4ca39c0aeb0daeb1be36173fa7c2a25e Nemty 2019-08-13 14:46:54
5126b88347c24245a9b141f76552064e Nemty 2019-08-21 16:16:54
5cc1bf6122d38de907d558ec6851377c Nemty 2019-08-21 14:27:55
74701302d6cb1e2f3874817ac499b84a JSWORM 2019-07-10 08:44:29
7def79329823f3c81a6d27d2c92460ef JSWORM 2019-07-09 18:54:23
dcec4fed3b60705eafdc5cbff4062375 Nemty 2019-08-21 19:25:16
de9e1a5fc0f0a29b97eb99542d1f297a JSWORM 2019-07-09 20:25:14
f270805668e8aecf13d27c09055bad5d Nemty 2019-08-21 18:42:10
f796af497399c256129f2ce61eb8855b JSWORM 2019-07-19 05:24:00
fbf7ba464d564dbf42699c34b239b73a JSWORM 1992-06-19 22:22:17
0f3deda483df5e5f8043ea20297d243b Nemty 2018-12-04 11:00:39

Algunas de las muestras publicadas contienen empacadores personalizados, por lo que la marca de tiempo de compilación no es precisa para esos casos.

Según los datos de los binarios que encontramos, podemos ver cómo comenzó la actividad de Nemty algún tiempo después de que desapareciera el ramsomware JSWORM. Esto podría indicar que el actor de amenaza jsworm estaba desarrollando ambas piezas de ransomware al mismo tiempo.

Descifrador gratuito disponible a través de No más rescate

Uno de los socios de NoMásRansom fue capaz de lanzar una versión funcional de un descifrador Nemty. Si alguien se ve afectado por este ransomware, es posible contactarlos a través de NoMoreRansom para obtener un descifrador.

Nemty publica los datos del cliente públicamente

En nuestro análisis del ransomware Nemty, detectamos una nueva tendencia en cómo sus autores manejan los datos de sus víctimas.

En este caso, al igual que hemos visto con otras familias de ransomware como Maze, Nemty tiene su propio sitio web en el que se divulgan públicamente los datos de los clientes.

Fuente de la imagen: Bleeping Computer

Conclusión

A pesar de la cantidad de familias RaaS que aparecieron este año, Nemty representa otra pieza para observar y seguir. Desde que comenzamos a observar las actividades de este ransomware, los delincuentes detrás de él han lanzado múltiples versiones nuevas con correcciones de errores y mejoras. Dicha actividad sugiere que los autores de ransomware sienten presión por el gran trabajo realizado por los investigadores y organizaciones de seguridad, y en el caso de Nemty, incluso por parte de la comunidad criminal clandestina, que rápidamente criticó algunas de sus funciones e implementaciones.

Tesorion, ahora socio en No más rescate, lanzó un descifrador de trabajo para Nemty y ahora esperamos que el autor cambie el ransomware nuevamente para continuar con sus actividades. La última acción que observamos de este grupo fue el sitio web que se muestra arriba, creado para filtrar datos de clientes.

Mitre ATT y CK

La muestra utiliza las siguientes técnicas MITER ATT & CK ™:

ID de técnica Descripción de la técnica
T1124 Descubrimiento de hora del sistema
T1083 Descubrimiento de archivos y directorios
T1012 Registro de consultas
T1057 Descubrimiento de procesos
T1047 Instrumentación de Administración Windows
T1035 Ejecución de servicio
T1215 Kernel Módulos y Extensiones
T1179 Enganche
T1112 Modificar registro
T1107 Eliminación de archivos
T1089 Deshabilitar herramientas de seguridad
T1055 Inyección de proceso
T1179 Enganche
T1055 Inyección de proceso
T1132 Codificación de datos

Cobertura

Trojan.si genérico

GenericRXIS-SF! 348C3597C7D3

Genérico RXIS-SF! 37AABA6B18C9

GenericRXIS-SF! 5CC1BF6122D3

GenericRXIU-OJ! 0B33471BBD9F

¡Rescate-Nemty! 09F3B4E8D824

Ransom-Nemty! 2FAA102585F5

Ransom-Nemty! 65B07E2FD628

Ransom-Nemty! 9D6722A4441B

RDN / GenDownloader.alr

RDN / Generic.fps

RDN / Generic.fqr

RDN / Generic.fry

RDN / Generic.ftv

RDN / Generic.fxs

RDN / Generic.fyy

RDN / Ransom.gg

RDN / Ransom.gn

Trojan-FRGK! 484036EE8955

Indicadores de compromiso

Picadillo Marca de tiempo de PE
64a1ce2faa2ab624afcbbbb6f43955e116b6c170d705677dba6c4818770903aa 1992: 06: 20 00: 22: 17 + 02: 00
c537c695843ab87903a9dbc2b9466dfbe06e8e0dde0c4703cbac0febeb79353a 1992: 06: 20 00: 22: 17 + 02: 00
8e6f56fef6ef12a9a201cad3be2d0bca4962b2745f087da34eaa4af0bd09b75f 1992: 06: 20 00: 22: 17 + 02: 00
ca46814881f2d6698f64f31e8390fe155b9fd0d8f50b6ab304725a2251434aa7 2009: 08: 13 23: 36: 24 + 01: 00
5d04d789d66152e3fc0a2d84a53c3d7aa0f5d953c1a946619deeb699f3866e26 2017: 01: 02 12: 16: 24 + 01: 00
a743d29eb16f9b4a59b2fd8c89e59053bdccce362f544fe82974e80d580c88f6 2018: 03: 27 07: 09: 32 + 02: 00
5439452012a052851fdd0625abc4559302b9d4f4580e2ec98680e9947841d75d 2018: 04: 17 01: 50: 07 + 02: 00
20d432c171ec17e7c5105f032210a96ea726ffc52154b79ec43acd62d6e3f304 2018: 06: 09 22: 43: 06 + 02: 00
9fad280bb034a4683be9ab4a35d2859e61dc796a6134436b4403c2cb9a9ebfea 2018: 06: 09 23: 45: 15 + 00: 00
7c1aaccca9dd236b9271c734d987d0fccc3e91bfa4c445c5e1c7c41e61ffe3ca 2018: 06: 16 17: 31: 40 + 02: 00
2f2aeb72dd127057fac1eeefdc0539fc3fa7bdff36d288bd7e20f2756194253d 2018: 06: 16 23: 24: 06 + 02: 00
6b3fea34cb8bb5cc6d698e30933884e1fe55c942d8768da85eb1c8085525bb41 2018: 06: 20 00: 56: 49 + 01: 00
345380e840249081cba552af4ab28d7c65d4052f6e4bedd748b673b8853e6e96 2018: 06: 20 01: 56: 49 + 02: 00
0f6e82387a5fe0f64d7cec15466b17a623aa8faaf9971df3c49ab65d49d1422e 2018: 07: 06 02: 30: 25 + 02: 00
4b86f102eff21382c1a40a28bd4db19356e1efd323336bcec6645e68592e754a 2018: 07: 07 17: 59: 57 + 01: 00
b604a25ae4a668170bf28bfc885d0e137f4ff3a29eb7f772ba7098ecfb9bacb3 2018: 07: 08 12: 47: 46 + 02: 00
664b45ba61cf7e17012b22374c0c2a52a2e661e9c8c1c40982137c910095179a 2018: 07: 14 02: 09: 27 + 01: 00
536209365d143bf90a44f063eff9254639d7976b2f77edcc2a0ff6ac1e5a5464 2018: 07: 23 22: 32: 23 + 02: 00
e29d154b067f298bab794d9f85ee7b3d58ebf17b56f6cff6601fb6ce48482f09 2018: 08: 01 20: 19: 32 + 02: 00
c2a32b7094f4c171a56ca9da3005e7cc30489ae9d2020a6ccb53ff02b32e0be3 2018: 08: 06 17: 50: 00 + 02: 00
5d58c85ba5bd7a4ca3d5ade7bff08942a12399f82defa370691524d8797a1095 2018: 08: 09 01: 11: 34 + 02: 00
c8d44e8c91ed028626a8e2b3a526627790a2ac3e7078316172e35371fb984eee 2018: 08: 09 01: 11: 34 + 02: 00
7eb2b5125f9fbcc2672c05031456b6a2432c8921e9fa561bb7d7fa72010638b0 2018: 08: 22 21: 17: 21 + 01: 00
06c1428e1a41c30b80a60b5b136d7cb4a8ffb2f4361919ef7f72a6babb223dd3 2018:08:22 22:17:21+02:00
66e55d3ffc0dcc4c8db135474cb8549072f8b1015742038f2ebb60d8c5dbd77c 2018:08:24 01:21:20+02:00
7fab9295f28e9a6e746420cdf39a37fe2ae3a1c668e2b3ae08c9de2de4c10024 2018:08:27 18:49:08+02:00
bf3368254c8e62f17e610273e53df6f29cccc9c679245f55f9ee7dc41343c384 2018:08:28 00:50:58+02:00
eb98285ef506aa5b6d38bbd441db692b832f7ed1b9cb1dc4e2fec45369c8432a 2018:08:29 19:54:20+02:00
676224fb3ab782fc096351c2419ebd8f7df95a9180407f725c57e72d2bbec5b1 2018:08:29 20:05:56+02:00
9b5067d5e7f7fbf52b5069f5557d5b0cf45752a6b720f5a737b412600da8c845 2018:09:07 18:40:54+02:00
30832d5709f93b16a6972fca9159fbd886a4e9815ef0f029fade5ca663e9761e 2018:09:08 01:26:36+01:00
e5527d1bfc8b1448dcd698f23ac7142a066bb19b6109ef1c92df4d6214aa2d6a 2018:09:11 22:58:35+02:00
c09272b4a547aa5e675f9da4baf70670bd192b1dfd8dd33b52a42ee83f782cac 2018:09:30 18:36:38+02:00
aa36aa7425e9591531d5dad33b7e1de7ffbe980376fc39a7961133f5df8ab31a 2018:10:03 22:27:20+02:00
a54bca66aac95cb281d313375e38cd8058ace1e07c5176995531da241c50dbd6 2018:10:06 10:02:23+02:00
63ed68751000f7004bf951bc4a4c22799a94d28602f4022d901b6558ff93b46b 2018:10:09 22:04:03+02:00
fe639627cf827e72c30992c627fffd458f7afb86d5b87e811415b87c2276e59c 2018:10:12 20:11:41+02:00
74f8c39f3b0e4338eeaabad97c9303139336be9ebe059501a78174570540eb9e 2018:10:14 01:10:44+02:00
0a472cb6772f554afc9720064a0ba286ddc02250b9249cace39b3bdd77b5265c 2018:10:20 16:38:09+02:00
0a0fb6e146bf8473b8931c3775529b2a0c8baf0db9afae7d3bb53f3d1da8c6ca 2018:10:21 23:30:07+02:00
0285a046ecaa82e685275ea53ae56134cb992991ef0d2ac5af3f5c15ebd136cc 2018:10:25 23:28:29+02:00
3d852ca618763ced2e280f0c0079e804935b70dcd4adc3912c2e2b3965e196c4 2018:11:03 16:59:21+01:00
4f3c6b42a2182b530f44d37fb82df8c2e1ca3858bfdd6d921aa363efe3e6e7bb 2018:11:03 16:59:21+01:00
3d9742b2ca3756645f88e885d1dadb2827a19f01ca6fb4a5170f2888cced35e1 2018:11:03 16:59:21+01:00
a2f6c36cb8f46207028fbd3f3b69e306d3bdc4fc0391cfda5609812df880be07 2018:11:10 17:30:47+01:00
b3dbfbd64088691b4bf07b9001890bc60ff7f95fb44acdc20d95e8dd3c72c050 2018:11:11 00:53:46+01:00
5e4a090b75ca915fc42a149c7ddfba0dbe1a6846fe3b36249923549656c31218 2018:11:25 19:51:19+01:00
a5590a987d125a8ca6629e33e3ff1f3eb7d5f41f62133025d3476e1a6e4c6130 2018:12:04 12:00:39+01:00
a7558decb9516122781243e791c982977660152813817fb7ed00359365fcb0d3 2018:12:06 17:53:43+01:00
b2c11e6126a7de326e5fef14679279bf9fa920b7ba7142984d99790d89155b69 2018:12:06 17:53:43+01:00
4379f688682395f0ebcd70acd14c304a1074928198b4d0bebb5362d56328f76e 2018:12:06 21:13:33+01:00
8dca973cccf5073a9f53f055fa275215520ba67416b5d206c673df533532efe5 2018:12:07 01:04:23+01:00
9913afe01dc4094bd3c5ff90ca27cc9e9ef7d77b6a7bdbf5f3042a8251b96325 2018:12:10 19:04:48+01:00
17864c4e21c0ebaf30cca1f35d67f46d3c3c33a5b8ea87d4c331e9d86d805965 2018:12:15 23:24:41+01:00
36bd705f58c11c22529a9299d8c0c1a33cf94fb9b7cce0a39a79e4d8f523308d 2018:12:16 21:12:50+01:00
1b18d04d4ca37ecc25bd8d4f229121c89a57c80615d40ff94868f380cdfaed7c 2018:12:24 21:33:38+01:00
b0bd94cf4f409bb5ba2661d875e0488e59492c95a539508172e2670d74feb0ea 2018:12:27 21:42:57+01:00
b9ff00a4b426742892e21601a68b19ffa44668f3274ec250e60843c3224b6b42 2018:12:30 01:14:36+01:00
4f5bb92d861601642aec31ecbd7864b2dcca9027ef3ff7256c0d12915580181b 2019:01:10 22:35:38+01:00
2a5f9e5d72b4841538a73ee2556865d8ed76e3da38571f00148368874edf55c8 2019:01:19 23:44:33+01:00
708922215acc1ddbe35a9549afce408aaa0aa74caa78feca96150e755ebf7b98 2019:02:02 11:07:14+01:00
03e46ba0d430afd4c85eaef47dcb38faf8cd7ef78ef25f8aa911c216a598245c 2019:02:02 23:01:04+01:00
cbb016cab1718c610f2bd98e0190bb5a426a2de38ddfccfec86196294e47bca0 2019:02:05 04:34:44+01:00
2ebe4c68225206161c70cf3e0da39294e9353ee295db2dc5d4f86ce7901210c5 2019:02:08 18:17:02+01:00
947bddf40d6dcf4cbbf174b2067a9f5e09fa2eb03d039974feba1d398ddeb184 2019:02:11 23:26:07+01:00
3207b5da6ecf0d6ea787c5047c1e886c0ee6342a5d79e4bcb757e7e817caa889 2019:02:16 17:40:03+01:00
ee3a8512f4109ec7a21831aee68ba53fb431d5eac613b66bf9877f50118c0cd4 2019:02:16 19:26:22+01:00
9caae99f53cc1446f04703754fa03b98a6303882e0999653c2c5fbfe656e3164 2019:02:26 00:00:02+01:00
cfe5682a41c5b4a3fd9c09070262171a05e0ce99868ef0e2058a5d65385ed681 2019:03:10 18:09:02+01:00
1ac0c87c3ff27dc6d630cb3f543311fb48edfc88d33470836438b1d388ae9687 2019:03:12 20:03:50+01:00
57a73c98866cd1aa0e57b84c0a13a54901077d23b6683d16b713d652d74fd1c7 2019:03:24 20:58:51+01:00
f2c6e0a2500876a3426b191cfbd3b65625bb182f23fda68d256f56a644f4f123 2019:04:02 11:44:51+02:00
5078a0940abc31a7fa271483ac345044a91a0e21c517bceb85091cd3fca310f7 2019:04:03 01:09:42+01:00
92981ed851493d6897339df02a77799645a0edf078daa8cf6cf09293f0801b7c 2019:04:06 02:29:49+02:00
084da93689b04f0a162bcd6fa2d43937f84182ac94d40b871d8650d89501c2bd 2019:04:10 00:40:47+01:00
e563bfae9ee7effe4c9766ded059dc2e91f7f76830973dfdadfb203c47fe8c2a 2019:04:12 17:33:50+01:00
a77beff2bf75a2a82b7c96438e9c55e2839cba2ea057892422b714876b8def58 2019:04:12 21:09:21+01:00
d341571f9b8ea62f52b9563ca1fb77bee5127a2a5b93d00682622eb116db0275 2019:04:12 22:26:26+01:00
510c0746a5d8b0175e80e2fbbbfbf194c8e20e56cccd5a9ec5fac4ad2e2f77f7 2019:04:15 19:01:48+02:00
e070a88883634bf7105f9744123adfd3890947e8da4754d2560293e68f809f10 2019:04:17 01:57:08+02:00
44c6edb224810748a0b15512a47647f5e35157fdaa30357d2820c1eb250273e4 2019:04:17 20:57:27+01:00
db25fd682243d4449c423a57591bd0d69a98f3e6149b815e6c556a76b5fbb71a 2019:04:19 19:05:12+02:00
405df2b5aa985c8386d347b6e7f269e546231a02abd1e793ae792010248bc9da 2019:04:27 00:59:44+02:00
081444b3b8b82c06c631d3106859ab530435af68292a8009c4b6eb2285cb9929 2019:04:27 22:03:27+02:00
a380640490d3aa7380255ed9269bb967a4daee6d2d20353a50154e7e6d399746 2019:04:28 23:52:25+02:00
fe244ab332b490623a8a313a8b64a1d280f3e03b2457f6c3235d01ee8f21c701 2019:04:29 00:49:00+02:00
abf148370f7cc9c16e20c30590a08f85208f4e594062c8a9e59c0c89cd8ff43f 2019:04:29 02:32:07+02:00
034b86e971f24282bd0c1b74a257c7c60ec7d83fa45ac5d5321e7c436675be89 2019:05:04 17:03:52+02:00
859e8f98203fa9b8fb68cf1e4c6f9a1143c970bd2830601841b83ee49b2a72ba 2019:05:05 22:59:32+02:00
2e436f4277a6cac69c5b484284160559752ef0679e27e2af8112e78c9074a17c 2019:05:07 23:20:09+02:00
6be9cc0bda98fee59c94d687c293b83f1b41588ca991f35328f4d56c9c1f38e4 2019:05:17 12:12:43+01:00
29ba2b8099985501ae9aafa964daeca66d964e9fbc1d0025928b49fcae0efb63 2019:05:17 12:58:42+02:00
a08dc1e27b9e92ba70dcd2bce611fa51ec3601e4a2e7cdbb7713b656160c3773 2019:05:28 21:36:33+02:00
cc496cec38bbc72bae3cb64416baca38b3706443c4f360bd4ba8300d64b210d2 2019:08:13 16:46:54+02:00
267a9dcf77c33a1af362e2080aaacc01a7ca075658beb002ab41e0712ffe066e 2019:08:19 05:34:25+01:00
505c0ca5ad0552cce9e047c27120c681ddce127d13afa8a8ad96761b2487191b 2019:08:20 20:13:54+01:00
6a07996bc77bc6fe54acc8fd8d5551a00deaea3cc48f097f18955b06098c4bd3 2019:08:21 16:27:55+02:00
d421d9b0cc9ce69fc4dea1d4bd230b666b15868e4778d227ead38b7572463253 2019:08:21 17:16:54+01:00
f854d7639a5db4c42b51aecd541aaf61879591adf42ebcba068f3b111fb61a34 2019:08:21 19:06:44+01:00
688994783ce56427f20e6e2d206e5eee009fcc157ba37737dce1b14a326cc612 2019:08:21 20:25:16+01:00
4cf87dd16d57582719a8fe6a144360f3dfa5d21196711dc140ce1a738ab9816e 2019:08:21 20:34:34+02:00
15084aa0f30f5797bd666f18d0992dfcdb1c080c8d25cf2f6d97f9166e45b93b 2019:08:31 14:06:01+01:00
7c638c17b3fc92393c421dff34a1c9245c26f9526fb20699af567e6a38535a06 2019:09:04 14:05:11+02:00
022076c2c8f1555ee98a08ff5714aa1db20e1841fe3b8d1362fed0d6bef1c87d 2019:09:19 22:32:44+02:00
fb81f82121f9604a664925790e83763f7dceb2adaa4aeafaf8af24f7986e1f12 2019:09:24 12:28:55+02:00
a41949b9cddc2838534c0f70c0a615a7135fc95e452270ff661247a60d6b638d 2019:09:24 14:55:26+01:00
3aeaf37af33b92dfa62489250ec2857d6bab1098fcf356cdb58e05efabe359cb 2019:09:27 12:59:27+02:00
9f2a0b1553f8b2e1a5c0c40023ac9abed76455cdb0f5a346601088615606eac0 2019:09:28 11:31:11+02:00
068575719283c1e33abb8530340d7ac0b4d44b15da1ee0877c03537216df3001 2019:09:30 02:31:49+02:00
9574f57f7a4192f0507fa3361fb3e00e1f1101fdd818fc8e27aaba6714cd373c 2019:10:02 17:22:33+01:00
98f260b52586edd447eaab38f113fc98b9ff6014e291c59c9cd639df48556e12 2019:10:04 09:56:21+02:00
30ad724c9b869ff9e732e95c7e3b94a0d118297c168ffd4c24bac240e0cba184 2019:10:04 13:01:21+01:00
62c3b52b5310393dbf0590bc246161249632a1d2f21c3aa7fb779dc8018a0edf 2019:10:05 03:10:25+01:00
d041cc7e2e9d8d6366b28abc0428b7d41ad75bcfb67631830a838c32e49fd365 2019:10:07 17:57:43+02:00
88fcdfd4c89a9d3108582e5746b58beda9e538f357f3b390a008a7e5925c19f5 2019:10:07 18:22:30+02:00
9b5a42c4dbb2df3e1457e8a7bdbe93a2a4b4382a4de70077ace34a3c5a04ba1f 2019:10:10 02:55:12+02:00
2497543441cf35647afa60d6bc76825cfebf24e3421fbe101b38838aed63ba21 2019:10:11 02:44:30+02:00
5e2c0b6d2f74605f11047a6b6ebff7026035471bccd3e2c6ba03df576eef08cd 2019:10:12 20:12:30+02:00
aaaa143d3636133fa952b79f3e447264a56a4db223a046906b95802e50a359f9 2019:10:25 11:04:07+02:00
0c18068dab291fcdd5a9aa94fb6cb07b8aeec1e4ecbab3746c3b0586e7bbd692 2019:10:26 06:58:37+01:00
36e66c1d562af0df6c493cb998b24f8b52da55452dce6514d92e14ee64ab41c6 2019:11:26 20:09:10+01:00
2160391fc7c69bc30dea5c4e0e3e6ca2045d021087d4f1170d74eacedae9ebd2 2019:11:26 20:09:10+01:00
b01054d750aaa982359bee75707847f30df668135ca139e25b142e18f8cf2f51 2019:11:26 20:09:10+01:00
97c5eeddaaa99a578a94609a69be099d7ac61f4d797f14a5f9a696566205366e 2019:11:26 20:09:10+01:00
c5d43698296b4e9b9f7491669b7b20ef651302593c72b827462c08c9d6e76ae3 2019:11:26 20:09:10+01:00
d5b4f6cd5c6d142cdcfeca789b58942ee01270cb52de1d0f4c8d3cb7f44fa6e4 2019:12:14 15:45:13+01:00
e04d28b43fcc11ef8869641c2795774ae139ee6ed06c295c772d8a4f2381e831 2019:12:15 09:55:10+01:00
1d3f2ba1c701ecf04c288b64d9f2470c6f58744d5284174c1cb8e8b3753f3fae 2019:12:15 09:55:10+01:00
45c3faeb8cdd2cbdcf6161f05b2e72aba7927594138da693b0020f24db9e60d8 2019:12:15 09:55:10+01:00
4402b31f717bfe82498d162adac0c9b4f5a9ca413c883ac94ab8e322c50f11db 2019:12:23 09:17:02+01:00
a3cb6814fcdb42517728815c875f2dc169ac7b15f615b971eff209c4e2937527 2019:12:23 17:10:14+01:00
0a14d4313ded36716d9de16b8487ac91b0dcf6a77c9f0c21531916c31a0a5ee9 2019:12:24 05:03:25+00:00
735ef043f3f64a9c57ba938dddc6fdac60ed30fa746a728635835c7162729710 2019:12:25 20:14:11+01:00
92cf38b5bee56490871c19e1ee31239c550a0eb6d177a37d02079465be9e4f7d 2019:12:27 18:55:35+01:00
4b4feffb0783aca42f0e9c38961340a76b4a2b3fd324f71e764a88ab500f1372 2019:12:27 18:55:35+01:00
5a022aba75d4986adedb1a5fb62fce8946d43f06846f663a851ba93e9e317f8c 2019:12:27 18:55:35+01:00
3ae7d44569b2885de360c0e6c3448772f74c1c3ff4ee3f594053a95bfc73850f 2019:12:27 18:55:35+01:00
42e9356feb10e5814fb73c6c8d702f010d4bd742e25550ae91413fa2a7e7c888 2019:12:27 18:55:35+01:00
bf6b8563773f7a05de33edcb1333d9e39e5bc60c91d111d3fb4ec7f5cfbb6c43 2019:12:28 03:06:43+01:00
842b92ed20115ff28fd5b8b204e80e88168594aa5ce44c288a560ec6f907516a 2019:12:28 03:06:43+01:00
eedefda5ff588f0b194b97a0244d6d3e4892b9a5f1539b33aa0fa86a47be7ea1 2019:12:28 03:06:43+01:00
d398280940af9fcb5aad2f0eb38d7b00b9d241ad1c4abfe3ca726accded70e2a 2019:12:29 09:38:39+01:00
6e18acc14f36010c4c07f022e853d25692687186169e50929e402c2adf2cb897 2020:01:07 10:57:37+00:00
8e056ccffad1f5315a38abf14bcd3a7b662b440bda6a0291a648edcc1819eca6 2020:01:18 12:03:36+01:00





Enlace a la noticia original