KillSec Ransomware
Desde el año 2021 se tiene registro de un grupo “Hacktivista”, el cual gano notoriedad en la comunidad del hacktivismo rápidamente y se alineaba con la filosofía del movimiento Anonymous. Dicho movimiento es denominado KillSec y ha realizado diversas actividades criminales como ataques a sitios web de alto perfil, violaciones de datos y ataques de ransomware afectando inclusive a el tráfico de diversos departamentos de policía en Delhi y Kerala.[2]
Recientemente el 25 de junio del 2024, este grupo hacktivista anuncio una oferta en su canal de Telegram, la cual consistía en su nuevo Ransomware como Servicio (RaaS) KillSec.
Este RaaS ofrece varias capacidades y va más orientado a impulsar las capacidades de los nuevos ciberdelincuentes proporcionando herramientas avanzadas y funciones fáciles de usar. [1]
Imagen de la oferta de telegram. [1]
Entre las capacidades que se ofrecen en este RaaS son: [1]
-
Locker avanzado en C++: Este locker es igual a los demás que se encuentran en los diversos ransomwares en cuestión de funcionamiento, primero cifrando los archivos y no proporcionando la clave de descifrado si no es hasta que se pague un rescate por la información. El hecho de que este cifrado en este lenguaje es debido a su eficiencia y rendimiento, con esto se puede lograr que el locker tenga buena potencia y sea rápido.
-
Un panel amigable con el usuario que además es fácil de usar vía Tor, dicho panel cuenta con estadísticas, un chat para hablar con las victimas sobre el pago, así como también un constructor en el cual pueden personalizar el ransomware con diversas opciones y configuraciones.
También se anunciaron características a futuro mejorando sus capacidades, estas características son las siguientes: [1]
-
Estresador: Lanza ataques de denegación de servicio distribuido (DDos).
-
Llamadas: Permitiendo llamadas telefónicas automáticas a las víctimas aumentando la presión para que paguen el rescate de los datos.
-
Ladrón avanzado: Una herramienta avanzada para robar información confidencial y datos personales.
El precio de este RaaS está fijado en 250 dólares, garantizando el acceso al locker, el panel amigable con el usuario y todas las características que ofrece el KillSec ransomware, además esta cuota incluye las mejoras que se implementaran en el futuro.
Indicadores de Compromiso. [1]
|
ID |
Tipo |
|
BSZX3 |
Organización |
|
OYHcb4 |
Organización |
|
WudSbT |
Organización |
|
LVjFed |
Organización |
|
GTtos |
Organización |
|
CBYOF |
Organización |
|
tVCU0Y |
Organización |
|
RAw3ta |
Organización |
|
mitre:T1005 |
Identificador Mitre Attack |
|
mitre:T1486 |
Identificador Mitre Attack |
|
l-ZWx4 |
Malware |
|
nu89JI |
Malware |
|
ZBaV1_ |
Malware |
|
bqvw7C |
Malware |
|
tGy5dn |
Malware |
|
rGDjqV |
Malware |
|
rGIF_x |
Malware |
|
wkYtdD |
Malware |
|
cpH9Nl |
Malware |
|
qpBUHE |
Malware |
|
rGIF_D |
Malware |
|
X3NLCG |
Malware |
|
sq7OOm |
Malware |
|
oD7yvm |
Malware |
|
rVnb7k |
Malware |
|
idn:pharm-int.com |
Dominio de Internet |
|
idn:fortify.pro |
Dominio de Internet |
|
idn:stb.ro |
Dominio de Internet |
|
idn:supergardens.com.au |
Dominio de Internet |
|
idn:srmedicalcenter.org |
Dominio de Internet |
|
idn:efronlawfirm.com |
Dominio de Internet |
|
idn:valleyjoist.com |
Dominio de Internet |
|
idn:morrisgroupint.com |
Dominio de Internet |
|
idn:denkaiamerica.com |
Dominio de Internet |
|
idn:primarysys.com |
Dominio de Internet |
|
idn:nydj.com |
Dominio de Internet |
|
idn:verwarmingheyndrickx.be |
Dominio de Internet |
|
idn:eblpartners.com |
Dominio de Internet |
|
idn:riotechnology.com.co |
Dominio de Internet |
|
idn:chsd117.org |
Dominio de Internet |
|
idn:udch.in.th |
Dominio de Internet |
|
idn:qosina.com |
Dominio de Internet |
|
idn:panzericattaneonotai.it |
Dominio de Internet |
|
idn:fingersstore.com |
Dominio de Internet |
|
idn:techquip.com |
Dominio de Internet |
|
idn:maxcess-logistics.com |
Dominio de Internet |
|
idn:remitano.com |
Dominio de Internet |
|
idn:excellifecoaching.com |
Dominio de Internet |
|
idn:kill432ltnkqvaqntbalnsgojqqs2wz4lhnamrqjg66tq6fuvcztilyd.onion |
Dominio de Internet |
|
idn:agranibank.org |
Dominio de Internet |
|
idn:demos.fr |
Dominio de Internet |
|
idn:wgma.org |
Dominio de Internet |
|
idn:groupepro-b.com |
Dominio de Internet |
|
idn:hesperiausd.org |
Dominio de Internet |
|
idn:mrhme.org |
Dominio de Internet |
|
idn:keralapolice.gov.in |
Dominio de Internet |
|
idn:hampdenvets.co.uk |
Dominio de Internet |
|
idn:gerard-perrier.com |
Dominio de Internet |
|
idn:lodanelectronics.com |
Dominio de Internet |
|
idn:laxmicapital.com.np |
Dominio de Internet |
|
idn:pbgbank.com |
Dominio de Internet |
|
idn:rabitbd.com |
Dominio de Internet |
|
idn:welevelup.com |
Dominio de Internet |
Recomendaciones
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- RHC Dark Lab (2024, junio 26) KillSec Announces New Ransomware-as-a-Service (RaaS) Platform Recuperado el 5 de agosto del 2024 en: https://www.redhotcyber.com/en/post/killsec-announces-new-ransomware-as-a-service-raas-platform/
- Khaitan, A. (2024, junio 26) KillSec Unveils Feature-Rich RaaS Platform with Encryption, DDoS Tools, and Data Stealer Recuperado el 5 de Agosto del 2024 en: https://thecyberexpress.com/killsec-launches-raas-program/
.jpg)
