Detalles del ataque REvil Ransomware


Detalles del ataque REvil Ransomware

ArsTechnica tiene un buena historia sobre el ataque de ransomware REvil del fin de semana pasado, con detalles técnicos:

El ataque de este fin de semana se llevó a cabo con una precisión casi quirúrgica. Según Cybereason, los afiliados de REvil primero obtuvieron acceso a entornos específicos y luego utilizaron el día cero en Kaseya Agent Keep track of para obtener control administrativo sobre la purple del objetivo. Después de escribir una carga útil codificada en base 64 en un archivo llamado agent.crt, el cuentagotas lo ejecutó.

[…]

El cuentagotas de ransomware Agent.exe está firmado con un certificado de confianza de Windows que utiliza el nombre del registrante «PB03 Transport LTD». Al firmar digitalmente su malware, los atacantes pueden suprimir muchas advertencias de seguridad que de otro modo aparecerían cuando se instala. Cybereason dijo que el certificado parece haber sido utilizado exclusivamente por el malware REvil que se implementó durante este ataque.

Para agregar sigilo, los atacantes usaron una técnica llamada DLL de carga lateral, que coloca un archivo DLL malicioso falsificado en un directorio WinSxS de Windows para que el sistema operativo cargue el archivo falso en lugar del legítimo. En este caso, Agent.exe suelta una versión obsoleta que es susceptible a la carga lateral de DLL de «msmpeng.exe», que es el archivo para el ejecutable de Home windows Defender.

Una vez ejecutado, el malware cambia la configuración del firewall para permitir que se descubran los sistemas Windows locales. Luego, comienza a cifrar los archivos en el sistema….

REvil exige 70 millones de dólares por un descifrador universal que recuperará los datos de los 1.500 clientes de Kaseya afectados.

Más noticias.

Tenga en cuenta que este es otro ataque a la cadena de suministro. En lugar de infectar esas 1.500 redes directamente, REvil infectó a un solo proveedor de servicios administrados. Y aprovechó una vulnerabilidad de día cero en ese proveedor.

Publicado el 8 de julio de 2021 a las 10:06 AM •
comentarios



Enlace a la noticia authentic