Análisis del servidor del ransomware CryptFile2

Descargue aquí el informe Inteligencia de amenazas de ASERT de junio de 2016

Este informe describe numerosos elementos de un sistema de almacenamiento provisional de ransomware que utiliza el malware Nemucod para suministrar el ransomware CryptFile2 (también conocido como Hydracrypt.A y Win32/Filecoder.HydraCrypt.C), una amenaza constante desde mediados de marzo de 2016.

El informe revela el conjunto de TTP (tácticas, técnicas y procedimientos) de los actores de amenazas e incluye información obtenida de interacciones restringidas por correo electrónico.

La información que se presenta en este informe proviene del análisis de un sitio de servidor/almacenamiento provisional C2 descubierto en agosto de 2016 que actualmente se encuentra inactivo.

La finalidad es informar las capacidades de detección y mejorar la postura de defensa respecto del almacenamiento provisional y la distribución de ransomware.

Si bien el presente informe se enfoca en los aspectos del lado del servidor de una operación del ransomware CryptFile2, es posible comprender el comportamiento del extremo a partir de los siguientes informes:

El ransomware continúa siendo un problema significativo para muchas víctimas. Cada semana, ASERT detecta un gran volumen de movimiento que involucra amenazas de ransomware a medida que el número de víctimas aumenta.

Los actores de amenazas, en este caso, parecen no estar lanzando un gran ataque desde la posición estratégica de las víctimas que aquí se evalúan; no obstante, debemos tener en cuenta que este es solo un aspecto de un ataque de ransomware.

Debido a que la mayoría de los análisis de la actividad de ransomware tiende a enfocarse en la actividad de malware del extremo, en el método de cifrado y, en algunos casos, en cómo descifrar sin pagar rescate, la visibilidad de la amenaza desde el lado del servidor puede ofrecer contexto adicional para esta familia de malware que se puede utilizar para aumentar la conciencia situacional en torno a este y otros tipos de actividades de ransomware.
El presente informe se entregó previamente con exclusividad a los clientes de Arbor.

Descargue aquí el informe Inteligencia de amenazas de ASERT de junio de 2016

  • Posted in ASERT Blog
  • Comentarios desactivados en Análisis del servidor del ransomware CryptFile2