- El documento está disponible en la parte privada del portal del CCN-CERT.
- El informe ‘CCN-CERT ID-25/19’ recoge el análisis del documento de Word identificado por la firma MD5 bbea066160cdad85d59d474078ba235f, así como del fichero adicional que la macro tratará de descargar y ejecutar en los sistemas afectados.
- Detalles generales, proceso de infección, persistencia, desinfección, indicadores de compromiso y la regla de detección YARA Raccoon son los principales puntos que incluye el documento.
El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo informe de código dañino en la parte privada de su portal. Se trata del Informe CCN-CERT ID-25/19 “Raccoon stealer”, documento que recoge el análisis del documento de Word identificado por la firma MD5 bbea066160cdad85d59d474078ba235f, así como del fichero adicional que la macro tratará de descargar y ejecutar en los sistemas afectados.
El documento de Word procede de la pasada campaña de phishing del 8 de noviembre de 2019, en la que, suplantando a un Organismo público, se trataba de instar a los usuarios a descargar el archivo objeto de análisis y a habilitar sus macros a través de ingeniería social. La macro del documento descarga un ejecutable que trata de lanzarse en el equipo. En el análisis recogido en este informe se muestra que se trata del infostealer Raccoon.
Mientras que el objetivo de las macros es únicamente descargar y ejecutar un binario de forma transparente al usuario, el del ejecutable infostealer de la familia Raccoon es recolectar información sensible del equipo y usuario afectado, como detalles del sistema operativo, usuarios, contraseñas, cookies e incluso tarjetas de crédito.
En este informe se incluye información de interés acerca de este stealer, como el proceso de infección, métodos de persistencia, los pasos a seguir para la desinfección del equipo, indicadores de compromiso y la regla de detección YARA Raccoon.
CCN-CERT (19/11/2019)
Informe CCN-CERT ID-25/19 “Raccoon stealer”
- Este documento puede consultarse en la parte pública del portal del CCN-CERT.
- El informe ‘CCN-CERT ID-26/19’ recoge el análisis de la muestra de código dañino identificada por la firma MD5 12147c94f3211733f893d31d587d4ad6, perteneciente a la familia de ransomware Ryuk, vinculado a la última campaña del troyano Emotet.
- Entre los apartados más destacados incluidos en el documento se encuentra el origen de la familia de ransomware Hermes, del que deriva Ryuk, el proceso de infección, esquema de cifrado, persistencia y desinfección. Asimismo, se incluye la regla de detección YARA Ryuk.
El Informe de Código Dañino CCN-CERT ID-26/19 “Ryuk” ya está disponible para su consulta en la parte pública del portal del CERT del Centro Criptológico Nacional (CCN-CERT). Este documento recoge el análisis de la muestra de código dañino identificada por la firma MD5 12147c94f3211733f893d31d587d4ad6, perteneciente a la familia de ransomware Ryuk, que deriva de la familia de ransomware Hermes.
Esta familia de ransomware se está viendo involucrada en despliegues masivos en redes internas de empresas, suponiendo una amenaza severa a la continuidad de negocio estas. Asimismo, está vinculada a la campaña Emotet, pues si bien el desarrollo inicial de este troyano tenía como principal objetivo el robo de credenciales bancarias, actualmente también es utilizado como servicio de distribución de otros códigos dañinos, como es el caso de Ryuk o el troyano bancario TrickBot.
En este documento se incluyen diversos apartados de interés, como el origen de la familia de ransomware Hermes, del que deriva Ryuk, el proceso de infección, esquema de cifrado, persistencia y desinfección. Asimismo, se incluye la regla de detección YARA Ryuk.
Puesto que la variante analizada en este informe no adquiere persistencia, los equipos afectados con Ryuk no requieren de una rutina de desinfección más allá de reiniciar el sistema, con objeto de terminar los procesos relativos al ransomware.
CCN-CERT (18/11/2019)
Informe de Código Dañino CCN-CERT ID-26/19 “Ryuk"
- Los tres primeros clasificados recibirán una invitación para asistir a las XIII Jornadas CCN-CERT
- Julianjm, Fuska y Juan González serán premiados con un galardón durante el segundo día del evento, el próximo 12 de diciembre.
- ATENEA es la plataforma del CCN-CERT en la que los usuarios demuestran su conocimiento y destreza ante diferentes desafíos de seguridad, de distinta dificultad y muy diversas temáticas, como criptografía y esteganografía, exploiting, forense, análisis de tráfico o reversing.
El CCN-CERT, del Centro Criptológico Nacional (CCN), ha hecho público el nombre de los ganadores de su plataforma de retos, ATENEA 2019. Se trata de: Julianjm, en primera posición; Fuska, en segundo lugar; y Juan González Román, tercer clasificado.
Los tres ganadores recibirán como premio y reconocimiento a su esfuerzo una invitación para asistir a las XIII Jornadas del CCNCERT, que tendrán lugar los próximos 11 y 12 de diciembre, en Madrid, y que contarán con un módulo dedicado a esta plataforma, en colaboración con RootedCon. Asimismo, durante el segundo día del evento, se les hará entrega de un galardón a cada uno.
ATENEA es la plataforma del CCN-CERT en la que los usuarios tienen la oportunidad de demostrar su conocimiento y destreza en ciberseguridad mediante la realización de diferentes desafíos. Los retos son de distinta dificultad y muy diversas temáticas, como criptografía y esteganografía, exploiting, forense, análisis de tráfico o reversing.
Más información: Atenea
CCN-CERT (15-11-2019)
- ANA incrementa la capacidad de vigilancia y permite conocer la superficie de exposición, mediante una gestión eficiente de la detección de vulnerabilidades y notificación de alertas.
- El acceso al servicio se deberá solicitar al CCN-CERT.
Con el objetivo de facilitar a las Administraciones Públicas el uso de su solución de Automatización y Normalización de Auditorías, el CCN-CERT, del Centro Criptológico Nacional, ha desarrollado este servicio en formato de nube privada: ANA Central.
Esta solución tiene por objeto incrementar la capacidad de vigilancia y conocer la superficie de exposición, reduciendo los tiempos en la gestión de la seguridad, mediante una gestión eficiente de la detección de vulnerabilidades y la notificación de alertas. Asimismo, entre sus características principales destaca su posibilidad de integrarse con otras herramientas, como LUCÍA, PILAR, CLARA, EMMA y MARTA.
Cada organismo solicitante contará con un nuevo espacio de trabajo en ANA Central, el cual incluye las mismas funcionalidades que una instalación de ANA On Premise, independiente del resto de organismos; con certificados de acceso a la herramienta, válidos para la conexión a su propio espacio de trabajo; y con un usuario administrador del espacio de trabajo específico para dicho organismo.
De esta forma, esta solución permite a los organismos adscritos el despliegue automático de nuevas capacidades para la gestión de las vulnerabilidades, la actualización automática de la herramienta y del CPE y CVE, el mantenimiento de la infraestructura, copia de seguridad de la base de datos y custodia de los datos de las auditorías por parte del CCN-CERT, además de un canal de comunicación con el equipo de soporte, reduciendo los tiempos de respuesta y resolución de incidencias.
El acceso al servicio de ANA Central se deberá solicitar al CCN-CERT a través de la dirección de correo ana@ccn-cert.cni.es, proporcionando la siguiente información:
- Nombre de la entidad / Organismo
- Nombre del dominio
- Nombre y apellidos del responsable de la gestión de ANA en dicho Organismo
- Email del responsable
- Clave pública del responsable (para el cifrado de los datos de acceso a la herramienta, que serán enviados por el CCN-CERT)
- Imagen (logo) del organismo que aparecerá en ANA
- Dirección IP del organismo para acceder al servicio
CCN-CERT (7/11/2019)