MetaEncryptor Team ransomware

Publicado hace 10 meses 22-02-2024

MetaEncryptor Team presuntamente lanzado en agosto de 2022, registró en su sitio doce víctimas hasta agosto de 2023, de las cuales sus fechas son inconsistentes y tienen una antigüedad de al menos un año, lo que sugiere que el grupo pudo haber retrasado la publicación de las víctimas durante sus primeras operaciones.

Recientemente se descubrió un nuevo sitio Tor de un grupo llamado “LostTrust”, el cual usa la misma plantilla y biografía que el sitio de MetaEncryptor y además se encontró que los cifradores de LostTrust y MetaEncryptor son prácticamente iguales, con unas sutiles modificaciones. Debido a sus similitudes, se cree que LostTrust es una versión modificada de MetaEncryptor.

Imagen de consulta de la búsqueda visual

El ransomware LostTrust, una variante modificada de MetaEncryptor, se ejecuta con dos opciones adicionales:

--onlypath: Permite especificar una ruta específica para el cifrado.
--enable-shares: Permite cifrar recursos compartidos de red.
Al iniciar, LostTrust muestra una consola que indica el estado actual del proceso de cifrado. La cadena "METAENCRYPTING" presente en la consola confirma que se trata de una versión modificada del ransomware MetaEncryptor.

Imagen de consulta de la búsqueda visual

Para garantizar el cifrado de todos los archivos, LostTrust deshabilita y detiene una serie de servicios de Windows, incluyendo aquellos relacionados con bases de datos (Firebird, MSSQL, SQL), servidores (Exchange, wsbex), aplicaciones (SharePoint) y otros (postgresq, BACKP, tomcat, SBS).

El proceso de cifrado modifica los nombres de los archivos afectados, agregando la extensión ".losttrustencoded".

Indicadores de Compromiso
 

FileHash-SHA1 a67686b5ce1d970a7920b47097d20dee927f0a4d
FileHash-SHA1 28f73b38ace67b48e525d165e7a16f3b51cec0c0
FileHash-SHA1 ae974e5c37936ac8f25cfea0225850be61666874
FileHash-SHA1 f91d3c1c2b85727bd4d1b249cd93a30897c44caa
FileHash-SHA1 bdb0c0282b303843e971fbcd6d2888d834da204c
FileHash-SHA1 5ffac9dff916d69cd66e91ec6228d8d92c5e6b37
FileHash-SHA1 6960beedbf4c927b75747ba08fe4e2fa418d4d9b
FileHash-SHA1 e04760f670fab000c5ff01da39d4f4994011e581
FileHash-SHA1 665572b84702c4c77f59868c5fe4d0b621f2e62a
FileHash-SHA1 8c507d26c2fec90707320ffb721ae626139bbf11
FileHash-SHA1 46ca0c5ad4911d125a245adb059dc0103f93019d
FileHash-SHA1 e9b52a4934b4a7194bcbbe27ddc5b723113f11fe
FileHash-SHA1 09170b8fd03258b0deaa7b881c46180818b88381
FileHash-SHA1 9bc1972a75bb88501d92901efc9970824e6ee3f5
FileHash-SHA1 0f20e5ccdbbed4cc3668577286ca66039c410f95
FileHash-SHA1 14e4557ea8d69d289c2432066d860b60a6698548
FileHash-SHA256 feddee093d72838ac1f13ea9bbfc0473e2f3df1495432d6f95d6fe8ddf7ff09b
FileHash-SHA256 8396728b5267a9ff823db2ab600e3ef1d131fc36596d24747ac494e8cdfe877c
FileHash-SHA256 c306254b44d825e008babbafbe7b07e20de638045f1089f2405bf24e7ce9c0dc
FileHash-SHA256 81828762ebe7ea99b672c8ac07dc3c311487a5a246db494c7643915f6c673562
FileHash-SHA256 4576fd0e13e13c9d490bd84ff83d2f3b602272cdea5f6c54c74f75d067ac5505
FileHash-SHA256 26b7c7079cfea22cd9335b788db32453a727c81aec313a3637391a9763434f0a
FileHash-SHA256 97d679f364b1d0c6e3896574f1338801a0d707c137e4d220d2c974ae40fbe708
FileHash-SHA256 92c24d0c2075133e91f1be803c00478c733ee5be5610564efc48dd160cf2c632
FileHash-SHA256 d1a0a2dc26603b2e764ee9ab90f3f55a2f11a43e402dd72f4a32a19b0ac414b5
FileHash-SHA256 00309d22ab53011bd74f4b20e144aa00bf8bb243799a2b48f9f515971c3c5a92
FileHash-SHA256 32c818f61944d9f44605c17ca8ba3ff4bd3b2799ed31222975b3c812f9d1126c
FileHash-SHA256 e82606b7c179cd39d0e68d9f61723c4b2c909c44e2630c69d7038cd0f1bcb595
FileHash-SHA256 451c4ff0a4313c98b519179eb276914d18d01eb1d6b1a28d6af15fda1693ec34

 

Recomendaciones

  • Mantener actualizado el software.
  • Realiza copias de seguridad regulares.
  • Tener filtros de correo electrónico y spam.
  • Capacitar a los empleados sobre las amenazas del ransomware y cómo protegerse.
  • Restringir el acceso a los archivos: Limitar el acceso a los archivos importantes a los usuarios que lo necesiten.

Referencias

LostTrust ransomware (enigmasoftware.es)
LostTrust Ransomware | Latest Multi-Extortion Threat Shares Traits with SFile and Mindware - SentinelOne
Meet LostTrust ransomware — A likely rebrand of the MetaEncryptor gang (bleepingcomputer.com)
 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad en Windows LDAP
Publicado hace 1 semana 06-01-2025

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de......

Ransomware Funksec
Publicado hace 2 semanas 26-12-2024

Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.  El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año,......

Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.......

BOLETINES RECIENTES

...
Vulnerabilidad en Windows LDAP
Publicado hace 1 semana 06-01-2025
Leer más
...
Ransomware Funksec
Publicado hace 2 semanas 26-12-2024
Leer más
...
Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024
Leer más