Universidad de Granada

Seguridad Informática

Inicio >> Archivos para seguridad

Nueva herramienta de descifrado para combatir el ransomware Gandcrab

por

Otra noticia interesante del CCN:

NOTICIAS DE SEGURIDAD
Publicado el:
martes, 19 febrero 2019

  • La herramienta es de uso gratuito y ha sido desarrollada por la policía rumana en colaboración con la Europol, Bitdefender y autoridades de varios países.

La web No More Ransom ha lanzado una nueva herramienta gratuita de descifrado para prevenir ataques del ransomware GandCrab, uno de los programas de rescate más prolíficos del mundo hasta la fecha. Este malware ha infectado a más de medio millón de víctimas desde que fue detectado por primera vez en enero del año pasado.

La herramienta ha sido desarrollada por la policía rumana en estrecha colaboración con Europol y la empresa de seguridad en Internet Bitdefender, junto con el apoyo de las autoridades policiales de Austria, Bélgica, Chipre, Francia, Alemania, Italia, los Países Bajos, el Reino Unido, Canadá y el FBI de los Estados Unidos.

Además de las versiones 1, 4 y las primeras versiones de la 5, la nueva herramienta resuelve las infecciones con las versiones 5.0.4 a 5.1, la última versión desarrollada por los ciberdelincuentes.

En octubre, se puso a disposición una herramienta de descifrado que cubría todas las versiones del malware, excepto dos, de las versiones existentes en ese momento. Esta herramienta siguió a un lanzamiento anterior en febrero. Estas dos herramientas, que han sido descargadas más de 400.000 veces hasta la fecha, han ayudado a cerca de 10.000 víctimas a recuperar sus archivos cifrados, ahorrándoles unos 5 millones de dólares en pagos de rescate.

Europol (19/02/2019)

Más información

STOP Rasonware

por

Os dejo copia de la página “una al día” donde nos hablan de Rasonware.

27/01/19

‘STOP Ransomware’ aumenta el número de víctimas en los últimos meses

Desde el mes de diciembre han aparecido múltiples variantes del ransomware conocido como ‘STOP ransomware’ que han infectado miles de usuarios.

Durante el mes de diciembre y en lo que llevamos de enero, se han distribuido hasta 17 variantes de este ransomware. Todas ellas han sido distribuidas a través de sitios de descarga de cracks y software pirata como KMSPico, Cubase y Photoshop, entre otros.

Las variantes distribuidas durante esta campaña de ransomware no incluyen cambios importantes en su código, tan solo cambia la extensión utilizada para renombrar los ficheros cifrados. Las extensiones de las muestras conocidas hasta la fecha son: .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .djvup, .djuvq, .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba y .adobe.

En el apartado técnico, este ransomware utiliza Salsa20 como algoritmo de cifrado y una clave de 256 bits diferente para cada archivo. Para generar la clave de cifrado por cada fichero, usa una clave maestra que se obtiene realizando una petición al servidor de control, sin embargo, en caso de no poder realizar la conexión, usaría una clave maestra por defecto ya almacenada en el código. Una vez obtenida el hash md5 de dicha clave, se crea una cadena de texto con los primeros 5 bytes del fichero a cifrar concatenado con el hash MD5 de la clave maestra, y se utiliza como clave de cifrado el hash MD5 de esta cadena de texto. Como vector de inicialización (IV) para el algoritmo de cifrado utiliza los primeros 8 bytes de la clave.

Estas variantes del ransomware incluyen una peculiaridad que podría utilizarse para recuperar ciertos ficheros, y es que cifra únicamente los primeros 153600 bytes del fichero. Por el momento, el investigador y analista de malware, Michael Gillespie, ha publicado una herramienta que permite descifrar los ficheros cifrados utilizando la clave maestra que incluye por defecto el ransomware. Aun no existe una herramienta que permita el descifrado de ficheros cifrados utilizando las claves proporcionadas por el servidor de control puesto que los atacantes las cambian continuamente.

Cada una de las variantes utiliza un servidor de control diferente y estos servidores suelen estar activos durante un par de días, ya que mientras el servidor de control esté activo es posible obtener la clave de cifrado replicando la misma petición realizada por el malware. Para la obtención de la clave el malware realiza una petición HTTP GET a un fichero get.php y pasa como parámetro una variable pid cuyo valor es el hash MD5 de la dirección MAC del adaptador de red del ordenador (get.php?pid=md5(MAC_ADDRESS)).

 

Más información:

Fuente:

https://www.bleepingcomputer.com/news/security/new-rumba-stop-ransomware-being-installed-by-software-cracks/

Herramienta de descifrado:

https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-tro-djvu-rumba-openmetxt-support-topic/page-31#entry4673086

Hilo de afectados:

https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-tro-djvu-rumba-openmetxt-support-topic/

Algunos consejos de la OSI para navegar por internet

por

Siguiendo con el espiritu de recopilar información e informar sobre ciberseguridad en esta entrada hago referencia a una presentación de la OSI (Oficina de Seguridad del Internauta) dependiente del INCIBE (Instituto de CIBErseguridad) junto con la Agencia Española de Protección de Datos donde editan una guía de privacidad y seguridad en internet. De igual forma nos dejan en esta página algunas opciones para securizar nuestras redes sociales.

Si lo deseas, puedes descargar las distintas fichas de las que se compone la guía de manera individual. Elije la temática que más te interese, descárgate la ficha y sé el primero en compartirla con tus contactos.

Espero que os sea de utilidad.

Protege tus activos web con WAF de código abierto (Open Source WAF)

por

Fuente: Geekflare.

Miles de sitios web son pirateados cada día debido a una configuración incorrecta o un código vulnerable. El servidor de seguridad de aplicaciones web (WAF) es una de las mejores maneras de proteger su sitio web de las amenazas en línea. Si su sitio web está disponible en Internet, entonces puede usar herramientas en línea para escanear un sitio web en busca de una vulnerabilidad para tener una idea de qué tan seguro es su sitio. No se preocupe si se trata de un sitio web de intranet, puede utilizar el código abierto del escáner web Nikto. El WAF comercial puede ser costoso y si está buscando la solución gratuita para proteger su sitio web con WAF, el siguiente Firewall de aplicaciones web de código abierto puede ser útil.

Lista de WAF Open Source

  • 1. ModSecurity
  • 2. IronBee
  • 3. NAXSI
  • 4. WebKnight
  • 5. Shadow Daemon
1. ModSecurity

ModSecurity de TrustWave es uno de los cortafuegos de aplicaciones web más populares y es compatible con Apache HTTP, Microsoft IIS y Nginx.

Las reglas gratuitas de ModSecurity serán útiles si está buscando la siguiente protección.

    Secuencias de comandos entre sitios
    Troyano
    Fuga de información
    inyección SQL
    Ataques web comunes
    Actividad maliciosa

ModSecurity no tiene una interfaz gráfica y si está buscando una, puede considerar el uso de WAF-FLE. Te permite almacenar, buscar y ver el evento en una consola.

2. IronBee

IronBee es un marco de seguridad para construir su propio WAF. IronBee aún no está disponible en el paquete binario, por lo que debe compilar desde la fuente y probarlo en el siguiente sistema operativo.

    CentOS
    Fedora
    Ubuntu
    OS X

Es un marco de seguridad web altamente portátil y muy liviano.

3. NAXSI

NAXSI es Nginx Anti-XSS y SQL Injection. Entonces, como puede adivinar, esto es solo para el servidor web Nginx y principalmente para protegerlo de los ataques de inyección de SQL y los scripts entre sitios.

La solicitud GET y PUT del filtro NAXSI solo y la configuración predeterminada actuarán como un firewall DROP por defecto, por lo que debe agregar la regla ACEPTAR para que funcione correctamente.

4. WebKnight

WebKnight WAF es para Microsoft IIS. Es un filtro ISAPI que protege su servidor web al bloquear las solicitudes incorrectas. WebKnight es bueno para asegurarse de lo siguiente.

    Desbordamiento de búfer
    Directorio transversal
    Codificación de caracteres
    inyección SQL
    Bloqueando robots malos
    Hotlinking
    Fuerza bruta
    Y mucho más…

En una configuración predeterminada, todas las solicitudes bloqueadas se registran y puede personalizar según sus necesidades. WebKnight 3.0 tiene una interfaz web de administración donde puede personalizar las reglas y realizar tareas de administración, incluidas las estadísticas.
5. Shadow Daemon

Shadow Daemon detecta, registra y previene ataques web al filtrar solicitudes de parámetros maliciosos. Viene con una interfaz propia donde puede realizar la administración y administrar esta WAF. Es compatible con PHP, Perl y Python framework de lenguaje.

Puede detectar los siguientes ataques.

    inyección SQL
    Inyección XML
    Inyección de código
    Inyección de comando
    XSS
    Acceso de puerta trasera
    Inclusión local / remota de archivos

El código abierto es gratuito, pero no obtiene soporte empresarial, lo que significa que necesita confiar en su experiencia y soporte comunitario. Por lo tanto, si está buscando el WAF comercial, puede consultar el siguiente.

    CloudFlare (basado en la nube)
    Incapsula (basada en la nube)
    F5 ASM
    Reglas comerciales de TrustWave ModSecurity
    SUCURI (basado en la nube)
    Herramientas Akeeba Admin (para Joomla)

Artículo completo en Geekflare

Mas información en Microsoft o CloudFlare si no deseamos código abierto.