Google Drive elimina automaticamente los elementos de la papelera tras 30 dias: Actualmente, Google Drive mantiene todos los elementos eliminados en la papelera a menos que la vacíe

Microsoft trabaja en una experiencia similar a WeChat para aplicaciones de Microsoft 365: Microsoft ha estado trabajando en una plataforma distribuida a gran escala, o base, que se ubicará en la parte superior de muchos de sus servicios basados ??en la nube

Spotify nivela las acusaciones de monopolio contra Apple tras el anuncio de Apple One: Spotify está acusando a Apple de prácticas comerciales monopólicas luego del anuncio de este último de su paquete de suscripción Apple One junto con los modelos Apple Watch Series 6 y iPad de octava generación en su evento Time Flies el martes.

Como habilitar o deshabilitar el calendario alternativo en la aplicacion Calendario de Windows 10: La aplicación Calendario de Windows 10 tiene muchas características interesantes, como conectar su Calendario de Google, Calendario de Outlook, crear nuevos eventos, cambiar el fondo del calendario, habilitar el modo oscuro, etc.

Falta el boton Fusionar y centrar esta atenuado o no funciona en Excel: El botón de la barra de herramientas Center Across Columns ya no está visible en Microsoft Excel

Como mostrar u ocultar la lista de formulas mientras escribe en Excel: Cuando comienza a escribir una fórmula en Excel, muestra una lista masiva desde donde puede elegir cualquier cosa y autocompletar la fórmula.

Como monitorear el uso de la CPU en la base de su Mac: Si a menudo ejecuta aplicaciones con un uso intensivo del procesador, es bueno vigilar el uso de la CPU de su Mac

Como transferir fotos y documentos en la carpeta segura de Samsung: Se supone que los teléfonos inteligentes son los dispositivos más privados en nuestra vida cotidiana; sin embargo, debido a ciertas limitaciones del software y otros problemas, la privacidad no siempre se mantiene en los dispositivos

Microsoft Edge podra reemplazar Safari como navegador de iPhone predeterminado: Una próxima versión del navegador Microsoft Edge para iOS permitirá a los usuarios configurarlo como el navegador predeterminado en el iPhone.

Usuarios advierten que la actualizacion de Windows 10 podria romper su menu de inicio: Después del lanzamiento de la actualización de septiembre de 2020 de Windows 10 ( KB4571756 y KB4574727 ), los usuarios informan problemas de rendimiento, fallas del menú Inicio, problemas de inicio de sesión, error temporal en el perfil de usuario, pantalla azul de la muerte y una serie de otros errores menores. Si algo de esto le suena familiar, no está solo.

Actualizacion de Windows 10 ahora te obliga a instalar Microsoft Edge: Las actualizaciones más recientes de Windows 10 para el hogar parecen estar instalando Microsoft Edge en dispositivos personales, ya sea que lo necesiten o no

Como extraer un icono de un archivo exe de Windows: A veces, está trabajando en un proyecto y necesita acceso a una versión de alta calidad del icono de una aplicación de Windows 10, pero no puede encontrar uno en Internet.

Como eliminar elementos marcados de Google Keep Notes: Google Keep es una gran herramienta para tomar notas. No está al mismo nivel que Microsoft OneNote , pero funciona muy bien para todas sus necesidades básicas para tomar notas, e incluso para algunas cosas avanzadas

Error 0x887c0032 en Windows 10: Si encuentra el error 0x887c0032 no puede reproducir video o audio en su computadora con Windows 10 cada vez que intenta reproducir un archivo de video o audio a través de la aplicación Películas y TV

Ransomware Death Ransom comienza a hacerse un nombre

Una variante de ransomware que puede dejar su huella en la temporada navideña es una relativamente nueva llamada Buran.

Buran fue descubierto en mayo por el investigador de seguridad nao_sec . Sus operadores se apresuraron a elegir un camino que, si se hacía correctamente, les proporcionaría mucho más efectivo que si distribuyeran el ransomware ellos mismos. Al adoptar un modelo de negocio de ransomware como servicio (RaaS), los operadores buscan crear un ejército de afiliados para distribuir el ransomware, con la esperanza de obtener una buena cantidad de Bitcoin en el proceso. RaaS tiende a operar permitiendo que los afiliados distribuyan el ransomware, mientras que los creadores del ransomware toman un porcentaje de los rescates extorsionados por los afiliados.

VegaLocker

El análisis realizado por investigadores de seguridad reveló que Buran no es una amenaza completamente nueva; más bien, el código comparte varios artefactos con una familia de ransomware anterior, Jumper o Jamper, que es en sí misma una evolución de VegaLocker. Los investigadores observaron otras similitudes, como cómo se almacenan los archivos en la carpeta temporal y cómo el ransomware modifica el registro. Sin embargo, estos factores solo indican una relación; Una de las pruebas clave que vinculan a las familias anteriores es cómo todas utilizan los mismos métodos para eliminar instantáneas, copias de seguridad y la copia de seguridad del sistema.

Una de las últimas campañas conocidas que se vieron cuando se distribuyó VegaLocker ocurrió a fines de 2018 hasta abril de 2019. El ransomware se eliminó como carga después de que una campaña de publicidad maliciosa comprometiera con éxito las máquinas. VegaLocker no fue la única carga útil: la campaña también buscó difundir troyanos bancarios y spyware. Se creía que las cargas posteriores de ransomware distribuidas por la campaña de publicidad maliciosa eran Buran; sin embargo, más tarde se demostró que eran VegaLocker, su abuelo. Esta puede haber sido la canción del cisne del ransomware, solo para dar paso a los operadores que dedican su tiempo a Buran. Esto también le da crédito a la idea de que Buran sea una evolución de VegaLocker.

Buran

Buran se anuncia en foros clandestinos como una variedad estable de malware que cuenta con un componente criptográfico fuera de línea, soporte 24/7, claves globales y de sesión y sin dependencias de terceros como bibliotecas. En su mayor parte, los investigadores están de acuerdo con el anuncio. Descubrieron además que el ransomware es capaz de escanear unidades locales y rutas de red. Buran también puede encriptar archivos sin cambiar la extensión del archivo, eliminar puntos de recuperación, eliminar registros y eliminar catálogos de respaldo. También es capaz de borrarse a sí mismo.

Buran ransomware archivos cifrados

Donde los operadores de Buran pueden haber fibrado un poco es que afirman que el ransomware es compatible con todas las versiones de Windows. La investigación encontró que este no es el caso, ya que Windows XP parece ser inmune. Al igual que con Sodinokibi , otro ransomware popular que se ofrece como RaaS, el kit de explotación RIG parece ser el método preferido de distribución actual. En particular, el ransomware aprovecha CVE-2018-8174para permitir el compromiso inicial de las máquinas.

La vulnerabilidad también se conoce con el nombre de Vulnerabilidad de ejecución remota de código del motor de Windows VBScript y se clasifica como una vulnerabilidad de ejecución remota de código que permite la ejecución de código malicioso al abusar de la forma en que el motor VBScript maneja los objetos en la memoria. La vulnerabilidad afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10.

Actualmente, hasta ahora se han detectado dos versiones de Buran, ambas escritas en Delphi. La segunda versión muestra mejoras sobre la primera. Es necesario mejorar el código para que los afiliados busquen distribuir malware, ya que querrán mejoras para evitar la detección e infectar máquinas. Este también es un sello distintivo de los modelos RaaS, ya que el ransomware en sí mismo debe atraer afiliados y es poco probable que se registren si se percibe que el malware está desactualizado. Una vez que Buran se deje caer en un sistema vulnerable, verificará si la máquina está registrada en Bielorrusia, Rusia o Ucrania. Si el cheque devuelve verdadero, Buran saldrá.

Otra característica del malware que vale la pena señalar es que es capaz de crear archivos y almacenarlos en carpetas temporales. Buran también buscará mantener la persistencia en la computadora infectada mediante la creación de claves de registro. Esta táctica de mantener la persistencia también se encontró en Jumper y VegaLocker. El hecho de que el código esté escrito en Delphi también es interesante, ya que el código se enseñó predominantemente en América Latina y en los antiguos países que formaron la Unión Soviética. Dado que el código excluye las máquinas registradas en Rusia, Bielorrusia y Ucrania, algunos han especulado que los operadores del ransomware pueden estar operando en uno de esos tres países.

Buran se dirige a las empresas alemanas

En octubre, surgieron informes de que las empresas alemanas estaban siendo atacadas activamente en una campaña de distribución de Buran. Las organizaciones estaban siendo atacadas a través de una campaña de malspam usando un señuelo eFax junto con un documento malicioso de Word. La nota de rescate también se tradujo al alemán y contenía la palabra alemana para datos: "daten". El correo electrónico no deseado contenía enlaces a una página PHP que servía los documentos maliciosos de Word que descargarían el ransomware, presumiblemente mediante el uso de macros habilitadoras. Al usar hipervínculos en lugar de archivos adjuntos, se cree que los que están detrás de la campaña intentaron evitar ser detectados por escáneres de malware configurados para bloquear correos electrónicos no deseados.

Esta focalización de las organizaciones alemanas, así como otras campañas, muestra que Buran no se distribuye de manera hiper-focalizada. Más bien, el malware se adapta a la necesidad de los afiliados detrás de una determinada campaña. El malware utilizado de esta manera a menudo se conoce como malware básico, ya que ningún objetivo específico moldea su desarrollo.

El objetivo principal de los desarrolladores es ganar dinero. Para seguir ganando dinero, Buran realiza varias funciones anti forenses para evitar la detección y el análisis por parte de los investigadores de seguridad. Por ejemplo, Buran elimina los registros de conexión RDP, aunque el ransomware no se distribuye a través de conexiones RDP. Estas medidas anti forenses son ruidosas y alertan a las redes defensoras, pero parece que los desarrolladores están más preocupados por eliminar evidencia en lugar de la detección temprana del ransomware.

Socavando la competencia

Buran no es la primera, ni la última pieza de ransomware que se ofrece como RaaS. Actualmente, Sodinokibi sigue un modelo comercial similar, y GandCrab prácticamente perfeccionó el modelo comercial. Para obtener una ventaja sobre la competencia, los desarrolladores de Buran están empleando una táctica comercial antigua en lugar de un código y tecnologías novedosos o nuevos: socavar a sus rivales.

Normalmente, los desarrolladores de RaaS cobran entre el 30% y el 40% de las infecciones exitosas que resultan en el pago del rescate. Los operadores de Buran están cobrando solo el 25%, ahorros sustanciales para aquellos que buscan extorsionar fondos, pero no pueden molestarse en desarrollar el ransomware. Eso no es todo lo que los desarrolladores de Buran están dispuestos a negociar sobre su porcentaje de participación: algunas almas afortunadas podrían obtener ahorros aún mayores. Dado que Buran ha recibido una actualización desde que se lanzó al mercado y que los desarrolladores están dispuestos a socavar a su competencia, es seguro asumir que están a largo plazo. Quizás, esperan que al atraer afiliados a un precio más bajo, puedan atraer más que sus competidores, ganando así cantidades similares o más de efectivo obtenido ilegalmente que sus rivales.

Otro indicador de que los desarrolladores de Buran están en el juego largo es que el ransomware no infectará máquinas en ciertas regiones. Una posible razón es evitar la atención de la policía local para que puedan operar por períodos más largos.