La nueva versión del ransomware de GandCrab descubrió que atacaba el sistema objetivo utilizando el propagador de exploits SMB a través de sitios web comprometidos que se presentaban como un sitio de descarga
GandCrab Ransomware Attack es ampliamente difundido en Ransomware hoy en día con futuros recién actualizados en constante desarrollo para apuntar a varios países.
Los atacantes de Gandcrab Ransomware escanean ampliamente las páginas web de Internet para descubrir los sitios web vulnerables y aprovecharlos para distribuir el ransomware en gran cantidad.
Esta nueva versión de Gandcrab contiene la larga lista codificada de sitios web comprometidos que solían conectarse con ella.
El atacante que usa un algoritmo pseudoaleatorio específico para elegir la palabra predefinida genera la URL completa para cada host y la URL final generada por el siguiente formato www.{Host}.com/data/tmp/sokakeme.jpg.
Una vez que el malware obtiene los datos, se conecta a la URL envía datos de víctima cifrados (y codificados en base64) como dirección IP, nombre de usuario, nombre de equipo, DOMINIO de red, lista de AV instalados, sistema operativo, arquitectura de procesador, red y local Unidades, etc.
Más tarde, GandCrab Ransomware Attack mata a la lista específica del proceso, como msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlwriter.exe, oracle.exe, synctime.exe, etc. para garantizar el cifrado completo de los archivos de destino.
Esta operación de proceso de asesinato ayudaría a garantizar que la rutina de cifrado complete su objetivo sin interrupciones.
Ataque de GandCrab Ransomware - SMB Exploit
Varios informes que afirman que esta versión del malware de GandCrab se puede autoprogramar a través de un "exploit SMB" que también se usa para propagar ataques de ransomware WannaCry y Petya / NotPeta en el segundo trimestre del año pasado.
La nueva extensión de los cambios. La estructura del código del ataque de GandCrab Ransomware fue completamente reescrito. Y, según Kevin Beaumont, un arquitecto de seguridad con sede en el Reino Unido, el malware ahora utiliza el exploit de la Agencia de Seguridad Nacional EternalBlue (NSA) para atacar vulnerabilidades SMB y propagarse más rápido.
Según el informe de investigación, se supone que un módulo llamado "network f ** ker" es responsable de realizar el exploit SMB.
Según Fortinet, a pesar de esta cadena, no pudimos encontrar ninguna función real que se asemeje a la capacidad de explotación reportada. Como esta cadena no está conectada a ninguna función de propagación de exploits real que podamos descubrir, parece mucho más probable que se esté refiriendo simplemente al cifrado de recursos compartidos de red, y no a ningún tipo de propagación de exploits.
"Hemos proporcionado este análisis para ayudar a prevenir la posibilidad de un pánico innecesario en la comunidad. No está destinado a desacreditar a ningún informe o personalidades, pero hasta que tengamos una sólida evidencia de su existencia, actualmente consideramos que la propagación de exploits SMB de GandCrab es solo especulativa. Dijo Fortinet.
Fecha actualización el 2021-07-14. Fecha publicación el 2018-07-14. Categoría: ransomware. Autor: Oscar olg Mapa del sitio Fuente: gbhackers