WEBINAR: INTERCEPT X & DEEP LEARNING

Tenemos el agrado de invitarte a participar en el seminario virtual de Sophos Intercept X y el Aprendizaje Profundo. Esta conferencia web gratuita se realizará el miércoles 25 de abril, a la 10:00 am. Aprende más acerca de cómo el Aprendizaje Profundo de Sophos Intercept X te puede ayudar a proporcionar una Seguridad de la Información muy avanzada para tu organización.

CASO DE ESTUDIO: UNIVERSIDAD DE OKLAHOMA

La Universidad de Oklahoma ha adoptado Office 365 para habilitar a sus usuarios, y ha acogido la seguridad avanzada de Cisco para proteger a sus usuarios, sus cuentas y su información.

...
...

Enter your text here

Enter your text here

El regreso del ransomware Mamba​

Mamba Ransomware

A finales de 2016, con el uso del ransomware Mamba, hubo un gran ataque en contra de la Agencia de Transporte Municipal de San Francisco. Mamba usa una utilidad legítima llamada DiskCryptor para codificar completamente el disco. Este mes, hemos notado que el grupo responsable de este ransomware ha reanudado sus ataques. Actualmente, hemos observado ataques en contra de algunas compañías en Brasil y Arabia Saudí.

 

Los ataques con el ransomware Mamba suceden en dos fases:

 

Fase 1 (Preparación):

La primera fase se encarga de instalar la herramienta DiskCryptor en la máquina víctima. El dropper malicioso almacena los módulos de DiskCryptor en sus propios recursos.

Según el sistema operativo, el malware puede escoger entre los módulos DiskCryptor de 32 bits o de 64 bits. Luego, bota los módulos necesarios en la carpeta “C:\xampp\http”.

Después de eso, lanza el instalador botado DiskCryptor. Al instalar DiskCryptor, el malware crea un servicio que tiene parámetros de SERVICE_ALL_ACCESS y SERVICE_AUTO_START.

El último paso de la Fase 1 es reiniciar el sistema.

 

Fase 2 (Codificación):

El malware instala un nuevo gestor de arranque en el MBR con el software DiskCryptor. Este gestor de arranque contiene el mensaje de rescate para la víctima.

Después de que el gestor de arranque se instala, las particiones del disco se codifican con una contraseña previamente especificada como un argumento de una línea de comando para el dropper.

Una vez terminada la codificación, el sistema se reiniciará, y la víctima verá la nota de rescate en su pantalla.

Los productos de Kaspersky Lab detectan esta amenaza con la ayuda del componente de System Watcher (Inspector del Sistema) con el veredicto: PDM:Trojan.Win32.Generic.

 

Decodificación

Desafortunadamente, no hay manera de decodificar la información que ha sido codificada con DiskCryptor, porque esta utilidad legítima utiliza algoritmos de codificación muy fuertes.

(Esta nota fue resumida de la publicación que apareció originalmente en inglés en SecureList de Kasperksy, con el título ‘The return of Mamba ransomware’, escrito por Anton Ivanov y Orkhan Mamedov, del 09 de agosto de 2017: https://securelist.com/the-return-of-mamba-ransomware/79403/)