Ransomware Satan incluye vulnerabilidades en su arsenal

ransomware

Expertos de Los laboratorios FortiGuard han descubierto una nueva variante de Satan ransomware eso incluye nuevas vulnerabilidades en su cartera y aprovecha vulnerabilidades adicionales para infectar tantas máquinas como sea posible.

Satan ransomware apareció por primera vez enel panorama de amenazas en enero de 2017 cuando la investigación de malware independiente @ Xylit0l lo descubrió. losransomware pertenece a la familia Gen: Trojan.Heur2.FU y se ofreció como un RaaS (Ransomware-as-a-Service).

Satan ransomware utiliza la criptografía RSA-2048 y AES-256 , que anexa los nombres de los archivos cifrados con la.stnExtensión

Desde su descubrimiento, el malware se actualizó de manera costosa, en una de las campañas monitoreadas por Fortinet, utilizó un cryptominer como una carga adicional para maximizar sus ganancias.

El ransomware Satan se dirige a las máquinas de Linux y Windows, intenta explotar una gran cantidad de vulnerabilidades para propagarse a través de redes públicas y externas.

El esparcidor inicial puede propagarse a través de redes privadas y públicas. El componente de Windows no tuvo cambios específicos y el ransomware aún aprovecha el exploit NSA EternalBlue.

Para poder apuntar a las IP públicas, el esparcidor recupera la lista de destinos del servidor C2 y los repite en todos ellos. Todos los ataques observados por Fortinet se originaron en direcciones IP ubicadas en China.

“Su propagador inicial, conn.exe en Windows y conn32 / 64 en Linux, es capaz de propagarse a través de redes privadas y públicas. En campañas anteriores, su componente Linux (conn32 / 64) solo se propaga a través de redes privadas que no son del tipo Clase A. Sin embargo, recientemente se ha actualizado y ahora admite la propagación de redes tanto públicas como privadas ”, lee el análisis publicado por Fortinet. "Para el componente de Windows (conn.exe), nada ha cambiado realmente, e incluso aún lleva el exploit de EternalBlue (de la NSA) y la aplicación de código abierto Mimikatz".

El intento de ransomware de Satanás explota una larga lista de vulnerabilidades conocidas, incluida la vulnerabilidad de configuración predeterminada de JBoss ( CVE-2010-0738 ), la vulnerabilidad de carga de archivos arbitraria de Tomcat ( CVE-2017-12615 ), la vulnerabilidad de carga de archivos arbitraria de WebLogic ( CVE-2018-2894) ), La vulnerabilidad del componente WebLogic WLS ( CVE-2017-10271 ), la vulnerabilidad de ejecución remota de código de Windows SMB ( MS17-010 ) y la vulnerabilidad de ejecución remota de código Spring Data Commons ( CVE-2018-1273 ).

Las variantes recientes de Windows y Linux observadas por los expertos incluyen varias explotaciones de ejecución remota de código de aplicaciones web. Debajo de la lista de nuevas vulnerabilidades apuntadas por el varante recientemente descubierto.

  • Solicitud de parche REST de datos de primavera ( CVE-2017-8046 )
  • ElasticSearch ( CVE-2015-1427 )
  • ThinkPHP 5.X Ejecución remota de código (no CVE)

El método de propagación implementado realiza. Recorrido de direcciones IP e intenta escanear y ejecutar su lista completa de exploits en cada dirección IP encontrado, junto con la correspondiente codificado lista de puertos

"Realiza el recorrido de la dirección IP e intenta escanear y ejecutar su lista completa de explotaciones en cada dirección IP encontrada, junto con su correspondiente lista de puertos codificados que se describe a continuación", continúa el análisis. “Para ser más eficiente, se implementamultihilo, en el que se generan subprocesos separados para cada intento de propagación de cada IP y puerto objetivo. "

Los expertos también observaron que el ransomware de Satanás intenta escanear algunas aplicaciones, como Drupal, XML-RPC, Adobe y notifica al servidor si existe una aplicación, probablemente con fines estadísticos.

"Satanás Ransomware se está volviendo cada vez más agresivo con su propagación. "Al ampliar la cantidad de servicios web y aplicaciones vulnerables a los que se dirige, aumenta la posibilidad de encontrar otra víctima y generar más ganancias", concluye Fortinet. "Además, Satan Ransomware también ha adoptado el esquema Ransomware-as-a-Service, lo que permite que más actores de amenazas lo utilicen, lo que significa más ataques y más ingresos".

Fecha actualización el 2021-05-23. Fecha publicación el 2019-05-23. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: securityaffairs Version movil