MetaEncryptor Team ransomware

Publicado hace 6 meses 22-02-2024

MetaEncryptor Team presuntamente lanzado en agosto de 2022, registró en su sitio doce víctimas hasta agosto de 2023, de las cuales sus fechas son inconsistentes y tienen una antigüedad de al menos un año, lo que sugiere que el grupo pudo haber retrasado la publicación de las víctimas durante sus primeras operaciones.

Recientemente se descubrió un nuevo sitio Tor de un grupo llamado “LostTrust”, el cual usa la misma plantilla y biografía que el sitio de MetaEncryptor y además se encontró que los cifradores de LostTrust y MetaEncryptor son prácticamente iguales, con unas sutiles modificaciones. Debido a sus similitudes, se cree que LostTrust es una versión modificada de MetaEncryptor.

Imagen de consulta de la búsqueda visual

El ransomware LostTrust, una variante modificada de MetaEncryptor, se ejecuta con dos opciones adicionales:

--onlypath: Permite especificar una ruta específica para el cifrado.
--enable-shares: Permite cifrar recursos compartidos de red.
Al iniciar, LostTrust muestra una consola que indica el estado actual del proceso de cifrado. La cadena "METAENCRYPTING" presente en la consola confirma que se trata de una versión modificada del ransomware MetaEncryptor.

Imagen de consulta de la búsqueda visual

Para garantizar el cifrado de todos los archivos, LostTrust deshabilita y detiene una serie de servicios de Windows, incluyendo aquellos relacionados con bases de datos (Firebird, MSSQL, SQL), servidores (Exchange, wsbex), aplicaciones (SharePoint) y otros (postgresq, BACKP, tomcat, SBS).

El proceso de cifrado modifica los nombres de los archivos afectados, agregando la extensión ".losttrustencoded".

Indicadores de Compromiso
 

FileHash-SHA1 a67686b5ce1d970a7920b47097d20dee927f0a4d
FileHash-SHA1 28f73b38ace67b48e525d165e7a16f3b51cec0c0
FileHash-SHA1 ae974e5c37936ac8f25cfea0225850be61666874
FileHash-SHA1 f91d3c1c2b85727bd4d1b249cd93a30897c44caa
FileHash-SHA1 bdb0c0282b303843e971fbcd6d2888d834da204c
FileHash-SHA1 5ffac9dff916d69cd66e91ec6228d8d92c5e6b37
FileHash-SHA1 6960beedbf4c927b75747ba08fe4e2fa418d4d9b
FileHash-SHA1 e04760f670fab000c5ff01da39d4f4994011e581
FileHash-SHA1 665572b84702c4c77f59868c5fe4d0b621f2e62a
FileHash-SHA1 8c507d26c2fec90707320ffb721ae626139bbf11
FileHash-SHA1 46ca0c5ad4911d125a245adb059dc0103f93019d
FileHash-SHA1 e9b52a4934b4a7194bcbbe27ddc5b723113f11fe
FileHash-SHA1 09170b8fd03258b0deaa7b881c46180818b88381
FileHash-SHA1 9bc1972a75bb88501d92901efc9970824e6ee3f5
FileHash-SHA1 0f20e5ccdbbed4cc3668577286ca66039c410f95
FileHash-SHA1 14e4557ea8d69d289c2432066d860b60a6698548
FileHash-SHA256 feddee093d72838ac1f13ea9bbfc0473e2f3df1495432d6f95d6fe8ddf7ff09b
FileHash-SHA256 8396728b5267a9ff823db2ab600e3ef1d131fc36596d24747ac494e8cdfe877c
FileHash-SHA256 c306254b44d825e008babbafbe7b07e20de638045f1089f2405bf24e7ce9c0dc
FileHash-SHA256 81828762ebe7ea99b672c8ac07dc3c311487a5a246db494c7643915f6c673562
FileHash-SHA256 4576fd0e13e13c9d490bd84ff83d2f3b602272cdea5f6c54c74f75d067ac5505
FileHash-SHA256 26b7c7079cfea22cd9335b788db32453a727c81aec313a3637391a9763434f0a
FileHash-SHA256 97d679f364b1d0c6e3896574f1338801a0d707c137e4d220d2c974ae40fbe708
FileHash-SHA256 92c24d0c2075133e91f1be803c00478c733ee5be5610564efc48dd160cf2c632
FileHash-SHA256 d1a0a2dc26603b2e764ee9ab90f3f55a2f11a43e402dd72f4a32a19b0ac414b5
FileHash-SHA256 00309d22ab53011bd74f4b20e144aa00bf8bb243799a2b48f9f515971c3c5a92
FileHash-SHA256 32c818f61944d9f44605c17ca8ba3ff4bd3b2799ed31222975b3c812f9d1126c
FileHash-SHA256 e82606b7c179cd39d0e68d9f61723c4b2c909c44e2630c69d7038cd0f1bcb595
FileHash-SHA256 451c4ff0a4313c98b519179eb276914d18d01eb1d6b1a28d6af15fda1693ec34

 

Recomendaciones

  • Mantener actualizado el software.
  • Realiza copias de seguridad regulares.
  • Tener filtros de correo electrónico y spam.
  • Capacitar a los empleados sobre las amenazas del ransomware y cómo protegerse.
  • Restringir el acceso a los archivos: Limitar el acceso a los archivos importantes a los usuarios que lo necesiten.

Referencias

LostTrust ransomware (enigmasoftware.es)
LostTrust Ransomware | Latest Multi-Extortion Threat Shares Traits with SFile and Mindware - SentinelOne
Meet LostTrust ransomware — A likely rebrand of the MetaEncryptor gang (bleepingcomputer.com)
 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 6 horas 19-09-2024

Broadcom ha publicado el pasado 17 de septiembre un aviso de seguridad en el que se mencionan 2 vulnerabilidades que afectan a su software de virtualización VMware. Específicamente, las vulnerabilidades son:  CVE-2024-38812, con un puntaje CVSS de 9.8, se cl......

Incidente de Seguridad Fortinet
Publicado hace 1 semana 12-09-2024

Fortinet, uno de los principales actores en el sector de la ciberseguridad, ha confirmado una violación de datos tras la afirmación de un atacante de haber sustraído archivos del servidor Microsoft SharePoint de la compañía. Como una de las emp......

Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024

Microsoft, al igual que otros fabricantes, calendariza sus noticias sobre seguridad cada segundo martes de cada mes, lo cual llaman "Patch Tuesday". En este mes de septiembre de 2024, publicó en su página de Security Update Guide su aviso sobre ciberseguri......

BOLETINES RECIENTES

...
Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 6 horas 19-09-2024
Leer más
...
Incidente de Seguridad Fortinet
Publicado hace 1 semana 12-09-2024
Leer más
...
Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024
Leer más