Ransomware SNAKE, enfocado a todos los dispositivos conectados en redes empresariales


Un Ransomware es un programa malicioso desarrollado para encriptar datos sin consentimiento del usuario, secuestrando la información, con la finalidad de solicitar un rescate a cambio de algo valioso para el atacante (dinero, información, etc…).

La cantidad de ransomware diferentes enfocadas a las empresas ha ido creciendo poco a poco, en la cual ahora se suma SNAKE, el cual es usado por agentes no deseados que logran infiltrarse en una red empresarial, obtienen credenciales de administrador y posteriormente ejecuta la herramienta de encriptación para encriptar todos los archivos en las computadoras conectadas en la red.


Características y ejecución
El experto que analizo SNAKE, al realizar ingeniería inversa destaco que el malware fue escrito en Golang (Tambien conocido como Go - Lenguaje de programación compilado desarrollado por Google), en donde contiene un alto nivel de ofuscación, mucho mayor que el visto en este tipo de infecciones. Además de observar su proceso de ejecución, en donde remueve los respaldos de memoria (Shadow Copies o Backups) de tipo volumen del computador, para luego eliminar procesos relacionados a sistemas SCADA, máquinas virtuales, sistemas de control industriales, herramientas de administración remota, aplicaciones administradores de red, entre otros.

El ransomware para dejar funcional el equipo no encripta las carpetas localizadas en “system”. Los cuales son:

  • windir
  • SystemDrive
  • :\$Recycle.Bin
  • :\ProgramData
  • :\Users\All Users
  • :\Program Files
  • :\Local Settings
  • :\Boot
  • :\System Volume Information
  • :\Recovery
  • \AppData\


Los archivos encriptados se les añade 5 caracteres en el nombre de extensión de archivo. Por ejemplo, un archivo nombrado 4.doc, es renombrado como 4.docUmDrV.

Ejemplo de Carpeta con archivos encriptados

La razón del porqué el ransomware fue nombrado “SNAKE” por parte del experto es debido a la firma que deja en texto plano en cada archivo encriptado. Donde se puede leer EKANS, lo cual no es más que SNAKE en reversa.

Análisis en File Maker

Una última característica encontrada por el grupo de analistas es que SNAKE tarda un largo tiempo (horas) en encriptar, algo poco común en comparación a otros ransomware.

Una vez finalizada la encriptación en el computador, el ransomware crea una note en la carpeta C:\Users\Public\Desktop con nombre “Fix-Your-Files.txt”. La cual contiene las instrucciones de contacto hacia un email.

Contenido de “Fix-Your-Files.txt”

En la nota se puede observar que el ransomware está dirigido no solo al computador afectado sino a todos los computadores en la red, además que la herramienta de desencriptación está destinada para toda una red y no para una única máquina.

Observación: Este malware es muy reciente y aún está siendo analizado. Desde Arkavia Networks estamos atentos a cualquier novedad sobre este y otras incidencias.


Indicador de compromiso (IOC)

Hash (SHA-256)
e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Ransomware SNAKE, enfocado a todos los dispositivos conectados en redes empresariales
Ransomware SNAKE, enfocado a todos los dispositivos conectados en redes empresariales
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9xMRTbpEt7709nE6J-5JCcR-nv5E7Nge7XVMdh9DMu3vrY0l2Dg4MgwinWFSq9RcyJcVfIdNPz5hYLSzA9hfpatZ28nIRMrHe1ZE3URJA38rCpKwsFI8kH-cicWAtfRtjdy_78XFkiXs/s640/Ransomware+SNAKE.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9xMRTbpEt7709nE6J-5JCcR-nv5E7Nge7XVMdh9DMu3vrY0l2Dg4MgwinWFSq9RcyJcVfIdNPz5hYLSzA9hfpatZ28nIRMrHe1ZE3URJA38rCpKwsFI8kH-cicWAtfRtjdy_78XFkiXs/s72-c/Ransomware+SNAKE.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/01/ransomware-snake-enfocado-todos-los.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/01/ransomware-snake-enfocado-todos-los.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy