Lunes, Junio 18, 2018

5 Detenidos en Rumanía por propagar ransomware en EEUU

cctvsurveillance

Dos de las cinco personas anónimas detenidas este mes en Rumanía bajo sospecha de propagar un ransomware enfrentan cargos por delitos informáticos de Estados Unidos por su presunto papel en la toma de 123 de las 187 computadoras en red que controlan las cámaras CCTV de Washington DC a principios de este año.

Según Europol, que encabezó los arrestos, esta semana, dos de los arrestados son sospechosos de atacar sistemas informáticos estadounidenses que usan el ransomware Cerber. El EuroPlod señaló que el Servicio Secreto de los Estados Unidos también está investigando esas infecciones de malware.

En una declaración jurada obtenida por CNN, revelada por error y luego resellada, el agente del Servicio Secreto James Graham sentó las bases para el caso de fraude informático del Departamento de Justicia de los EE. UU. contra dos ciudadanos rumanos, Mihai Alexandru Isvanca y Eveline Cismaru.

En un correo electrónico a The Register, un representante del departamento de justicia confirmó la vinculación de los arrestos y la presentación del tribunal de los Estados Unidos. “Estas son investigaciones separadas pero relacionadas y las personas que usted nombra están entre las personas detenidas por Europol“, dijo textualmente. “Todos los documentos judiciales no están disponibles al público“.

En otras palabras, Isvanca y Cismaru fueron atrapados en Rumania por la policía como sospechosos de extorsionarios de ransomware de Cerber son los acusados ​​por los Estados Unidos de atacar el sistema de cámaras de CCTV de la capital estadounidense.

Cámaras de tráfico

Graham describió cómo alrededor del 9 de enero de 2017 y el 12 de enero de 2017, la pareja, como parte de un supuesto esquema de ransomware, tomó el control de las computadoras Windows conectadas en red utilizadas por la Policía Metropolitana de Washington DC para controlar sus cámaras de tráfico.

El 12 de enero, después de haber reconocido que algunas de las cámaras estaban desconectadas, el personal de TI de la policía de DC y un agente del Servicio Secreto utilizaron el software del Protocolo de escritorio remoto (RDP) para conectarse a uno de los servidores que controlan las cámaras.

Observaron el dispositivo con varias ventanas de escritorio abiertas ejecutando software inesperado. Las ventanas que se muestran: un número de seguimiento para una compañía naviera europea, Hermes; una ventana del navegador con una cuenta Sendgrid con actividad para múltiples direcciones de correo electrónico; una ventana del navegador con resultados de búsqueda de Google para “verificador de correo electrónico en línea“; una ventana del navegador para http://emailx.discoveryvip.com/; una ventana de escritorio con un programa de bloc de notas que muestra código de programación y archivos de texto; y una ventana que muestra la pantalla de bienvenida para el ransomware.

Posteriormente, el administrador de TI bloqueó el acceso a la red para el dispositivo comprometido, que posteriormente se eliminó, junto con otras dos computadoras, para el análisis forense.

Los investigadores determinaron que dos variantes de ransomware, Cerber y Dharma, se habían instalado en las computadoras. También encontraron un archivo de texto, USA.txt, que contenía 179.616 direcciones de correo electrónico, utilizadas para enviar spam a las víctimas del ransomware. Posteriormente, se encontró un archivo de texto con la misma suma de comprobación en una cuenta de correo electrónico asociada con uno de los acusados.

Entre las diversas direcciones de correo electrónico utilizadas en el esquema, los analistas identificaron a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. como de particular interés. Según Graham, la frase rumana “vand sufle” se traduce como “vender almas” en inglés.

Control remoto

Graham explicó que los registros de esa dirección de Gmail obtenidos de Google incluyen un mensaje con un enlace a lo que se cree que es un panel de control de Cerber. Supuestamente, Isvanca y Cismaru alquilaban acceso a Cerber para infectar a las víctimas, mezclar sus archivos y extorsionarlos para restaurar los datos.

En mi capacitación y experiencia, dentro del modelo de negocio de Cerber, el propietario y creador del malware Cerber arrienda los recursos de Cerber a sus afiliados (esencialmente, clientes)“, explicó en la presentación ante el tribunal. “Un panel de control de Cerber es un sitio web que permite a un afiliado de Cerber controlar el marco de Cerber sin tener acceso al código fuente, lo que permite al propietario y al creador conservar la propiedad intelectual del malware y así generar ingresos adicionales de otros afiliados “.

La publicación de Europol llama a esto “crimen”.

Rastrear las conexiones entre las distintas cuentas de correo electrónico condujo a Isvanca y Cismaru.

Los investigadores contactaron a algunas de las personas y organizaciones mencionadas en la cuenta de correo electrónico Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. para determinar si sus sistemas se habían visto comprometidos. Una compañía no identificada, confirmando que había sido pirateada, respondió con capturas de pantalla de la página de bienvenida de Cerber en sus sistemas.

El número de seguimiento de envío de Hermes visto en una de las computadoras comprometidas de DC se remonta a una dirección en Londres, Reino Unido, pero una investigación de la Agencia Nacional del Crimen del Reino Unido no encontró evidencia de que los destinatarios estuvieran involucrados en el esquema ransomware.

La dirección IP utilizada para crear el pedido, que se encuentra en una computadora de DC, se remonta a una empresa de atención médica del Reino Unido. Esa dirección IP también se encontró en un correo electrónico en la cuenta Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..

La compañía, que confirmó a los investigadores que una cuenta de usuario en su sistema eXpressApp Framework (XAF) se había visto comprometida, no se menciona en la declaración jurada. Una búsqueda rápida de la dirección IP indica que está asociada a la oficina de la firma de asistencia sanitaria WellWork Ltd de Newcastle, un nombre que también se detalla en lo que parece ser una cadena de conexión RDP en la presentación ante el tribunal.

Las diversas cuentas de correo electrónico y direcciones IP, referencias cruzadas con bases de datos de fraude, proporcionaron suficientes detalles para solicitar a los funcionarios rumanos datos digitales adicionales vinculados a los acusados.

Las publicaciones de Facebook y YouTube también ayudaron. Graham dijo que, en su experiencia, las personas a menudo hacen ligeras alteraciones en sus cuentas de redes sociales para disfrazar sus identidades. Esas alteraciones demostraron ser insuficientes para esconderse de los investigadores.

 

Fuente: Original | maslinux

¿Quién está en línea?

Hay 166 invitados y ningún miembro en línea

Contador de Visitas

9245938
Hoy Hoy 761
Ayer Ayer 888
Esta semana Esta semana 761
Este mes Este mes 16316
Total de Visitas Total de Visitas 9245938

Día con más
visitantes

05-21-2018 : 1839

Gracias por su visita