News

Escritor de virus se ofende con investigadores de seguridad informática y les lanza un ataque DDoS

En el último par de días el sitio ID Ransomware sufrió dos ataques DDoS consecutivos, cuya responsabilidad fue asumida por el creador del malware cifrador Enjey. Según el delincuente, el ataque era una venganza por que el investigador Michael Gillespie, creador de ID Ransomware, desarrolló un descodificador para Enjey.

Como resultado de la primera oleada de ataques, el sitio dejó de funcionar durante varias horas, porque a pesar de que el ataque DDoS se neutralizó con rapidez, el proveedor desactivó el sitio como medida de precaución, y lo volvió a activar unas horas después de concluido el ataque.

El atacante usó un método no estándar para hacer el DDoS. El sitio ID Ramsonware fue creado para que los usuarios puedan determinar el tipo de cifrador con el que tropezaron al descargar copias de la nota de rescate y del archivo cifrado. El creador de Enjey lanzó el ataque justo contra esta sección del sitio, solicitando en un ciclo interminable la descarga de dos archivos. En el pico del ataque la cantidad de solicitudes de descarga ascendió a 200 000 por hora; en la segunda etapa del ataque, a 20 000 cada media hora.

El vengativo creador de virus dijo que estaba molesto de que ID Ransomware hubiese identificado el malware desarrollado por él, aunque lo más probable es que le haya provocado un mayor grado de malestar que el creador del sitio haya sido capaz de crear un descifrador para el malware Enjey, creado hace muy poco tiempo.

En realidad, Enjey es un cifrador bastante simple, opinión que han expresado los numerosos investigadores que lo analizaron. El proceso de cifrado es bastante primitivo y de uso generalizado: se trata del algoritmo AES-256, que genera un identificador único para cada víctima y lo envía a un servidor remoto, junto con la clave de cifrado.

Al mismo tiempo, el malware elimina las copias ocultas (shadow copies) de los bloques para que sea imposible recuperar los archivos ni siquiera con la ayuda de Restaurar sistema o de software de recuperación de datos. El cifrador afecta a casi todos los archivos, excepto algunos en determinados directorios. A los archivos cifrados se les añade la extensión .encrypted.contact_here_me@india.com.enjey.

En este momento, el servidor de comando Enjey está desactivado por su propio creador, ya que al haber un descifrador, ya no tiene sentido seguir difundiendo el malware. El desarrollador del malware informó que actualmente está trabajando en Enjey 2.0.

Fuentes: Threatpost

Escritor de virus se ofende con investigadores de seguridad informática y les lanza un ataque DDoS

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada