{"id":24193,"date":"2022-11-08T14:26:40","date_gmt":"2022-11-08T13:26:40","guid":{"rendered":"https:\/\/www.metafrase.es\/?p=24193"},"modified":"2022-11-08T14:26:40","modified_gmt":"2022-11-08T13:26:40","slug":"otro-ransomware-nuevo-redalert-amenaza-tus-servidores","status":"publish","type":"post","link":"https:\/\/www.metafrase.com\/blog\/otro-ransomware-nuevo-redalert-amenaza-tus-servidores\/","title":{"rendered":"\u00a1Otro Ransomware nuevo!! \u00a1RedAlert amenaza tus servidores!!"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">RedAlert, tambi\u00e9n llamado N13V, encripta los servidores de Windows y Linux<\/h2>\n\n\n\n<p>Recientemente ha aparecido un nuevo ransomware, llamado RedAlert, o N13V, encripta servidores VMWare ESXi tanto de Windows como de Linux en ataques a redes corporativas.<\/p>\n\n\n\n<p>La nueva operaci\u00f3n fue descubierta por el equipo \u00abMalwareHunterTeam\u00bb, que tuite\u00f3 varias im\u00e1genes del sitio de fuga de datos de la banda.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter\"><img decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Imagen\" class=\"lazyload\" data-src=\"https:\/\/pbs.twimg.com\/media\/FIBP59VXoAAKtay?format=png&amp;name=medium\"><figcaption><a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/1477268800202543107?s=20&amp;t=XUCtdNmetWbFzw44GLMBVA\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/twitter.com\/malwrhunterteam\/status\/1477268800202543107?s=20&amp;t=XUCtdNmetWbFzw44GLMBVA<\/a><\/figcaption><\/figure>\n\n\n\n<p>El ransomware se ha denominado Alerta Roja, en ingl\u00e9s &#8216;RedAlert&#8217; bas\u00e1ndose en una cadena utilizada en la nota de rescate. Sin embargo, a partir de un encriptador de Linux obtenido por <a rel=\"noreferrer noopener\" href=\"https:\/\/www.bleepingcomputer.com\/\" target=\"_blank\">BleepingComputer<\/a>, los autores de la amenaza llaman a su operaci\u00f3n &#8216;N13V&#8217; de manera interna.<\/p>\n\n\n\n<p>El encriptador de Linux est\u00e1 creado para atacar servidores VMware ESXi, con opciones de l\u00ednea de comandos que permiten a los ciberatacantes apagar cualquier m\u00e1quina virtual en funcionamiento antes de cifrar los archivos.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter\"><img decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Compatibilidad VM Ubuntu y VMware vSphere \/ ESXi\" class=\"lazyload\" data-src=\"https:\/\/www.pchardwarepro.com\/wp-content\/uploads\/2019\/03\/c065874abff383777640bac793227167-17.jpg\"><\/figure>\n\n\n\n<p>La lista completa de opciones de l\u00ednea de comandos se puede ver a continuaci\u00f3n.<\/p>\n\n\n\n<p>Cuando se ejecuta el ransomware con el argumento \u00ab-w\u00bb, el encriptador de Linux cerrar\u00e1 todas las m\u00e1quinas virtuales VMware ESXi en ejecuci\u00f3n utilizando el siguiente comando esxcli:<\/p>\n\n\n\n<p><code>esxcli --formatter=csv --format-param=fields==\"WorldID,DisplayName\" vm process list | tail -n +2 | awk -F $',' '{system(\"esxcli vm process kill --type=force --world-id=\" $1)}'<\/code><\/p>\n\n\n\n<p><br \/>Al cifrar los archivos, el ransomware utiliza el algoritmo de cifrado de clave p\u00fablica NTRUEncrypt, que admite varios \u00abconjuntos de par\u00e1metros\u00bb ofreciendo diferentes niveles de seguridad.<\/p>\n\n\n\n<p>Una caracter\u00edstica interesante de RedAlert\/N13V es la opci\u00f3n de l\u00ednea de comandos \u00ab-x\u00bb que realiza \u00abpruebas de rendimiento de criptograf\u00eda asim\u00e9trica\u00bb utilizando estos diferentes conjuntos de par\u00e1metros NTRUEncrypt. Sin embargo, no est\u00e1 claro si hay una forma de forzar un conjunto de par\u00e1metros concreto al cifrar y\/o si el ransomware seleccionar\u00e1 uno m\u00e1s eficiente.<\/p>\n\n\n\n<p>El \u00fanico otro ransomware conocido hasta ahora que utiliza este algoritmo de cifrado es FiveHands.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter\"><img decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"NTRUEncrypt \u200b\u200b\u200b\u200b\u200b\u200b\u200bencryption speed test\" class=\"lazyload\" data-src=\"https:\/\/www.bleepstatic.com\/images\/news\/ransomware\/r\/redalert-n13v\/encryption-algo-test.jpg\"><figcaption><em>Fuente: <a rel=\"noreferrer noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers\/\" target=\"_blank\">BleepingComputer<\/a><\/em><\/figcaption><\/figure>\n\n\n\n<p><br \/>Al cifrar los archivos, el ransomware s\u00f3lo se dirige a los archivos asociados a las m\u00e1quinas virtuales VMware ESXi, incluidos los archivos de registro, los archivos de intercambio, los discos virtuales y los archivos de memoria, como se indica a continuaci\u00f3n.<\/p>\n\n\n\n<p><code>.log<br \/>.vmdk<br \/>.vmem<br \/>.vswp<br \/>.vmsn<\/code><\/p>\n\n\n\n<p><br \/>En la muestra analizada por BleepingComputer, el ransomware encriptaba estos tipos de archivos y a\u00f1ad\u00eda la extensi\u00f3n .crypt[number] a los nombres de los archivos encriptados.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter\"><img decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Encrypting files in Linux with RedAlert\" class=\"lazyload\" data-src=\"https:\/\/www.bleepstatic.com\/images\/news\/ransomware\/r\/redalert-n13v\/encrypted-files.jpg\"><figcaption><em>Fuente: <a rel=\"noreferrer noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers\/\" target=\"_blank\">BleepingComputer<\/a><\/em><\/figcaption><\/figure>\n\n\n\n<p>En cada carpeta, el ransomware tambi\u00e9n crear\u00e1 una nota de rescate personalizada llamada HOW_TO_RESTORE, que contiene una descripci\u00f3n de los datos robados y un enlace a un sitio \u00fanico de pago de rescate TOR para la v\u00edctima.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter\"><img decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Red Alert \/ N13V ransom note\" class=\"lazyload\" data-src=\"https:\/\/www.bleepstatic.com\/images\/news\/ransomware\/r\/redalert-n13v\/n13v-ransom-note.jpg\"><figcaption><em>Fuente: <a rel=\"noreferrer noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers\/\" target=\"_blank\">BleepingComputer<\/a><\/em><\/figcaption><\/figure>\n\n\n\n<p><br \/>El sitio de pago Tor es similar a otros sitios de operaci\u00f3n de ransomware, ya que muestra la demanda de rescate y proporciona una forma de negociar con los actores de la amenaza.<\/p>\n\n\n\n<p>Sin embargo, RedAlert\/N13V s\u00f3lo acepta la criptomoneda Monero para el pago, que no se vende com\u00fanmente en los intercambios de criptomonedas de Estados Unidos porque es una moneda de privacidad.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter\"><img decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"RedAlert \/ N13V Tor negotiation site\" class=\"lazyload\" data-src=\"https:\/\/www.bleepstatic.com\/images\/news\/ransomware\/r\/redalert-n13v\/tor-payment-site.jpg\"><figcaption><em>Fuente: <a rel=\"noreferrer noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers\/\" target=\"_blank\">BleepingComputer<\/a><\/em><\/figcaption><\/figure>\n\n\n\n<p><br \/>Aunque s\u00f3lo se ha encontrado un descifrador de Linux, el sitio de pago tiene elementos ocultos que muestran que tambi\u00e9n existen descifradores de Windows.<br \/>Como casi todas las nuevas operaciones de ransomware dirigidas a empresas, RedAlert lleva a cabo ataques de doble extorsi\u00f3n, es decir, cuando se roban los datos y luego se despliega el ransomware para cifrar los dispositivos.<\/p>\n\n\n\n<p>Esta t\u00e1ctica proporciona dos m\u00e9todos de extorsi\u00f3n, lo que permite a los actores de la amenaza no s\u00f3lo exigir un rescate para recibir un descifrador, sino tambi\u00e9n exigirlo para evitar la filtraci\u00f3n de los datos robados.<\/p>\n\n\n\n<p>Las cuant\u00edas de los rescates son de m\u00e1s de 1.300 millones de XMR (Criptomonedas Monero), lo que equivale a unos 200.000 d\u00f3lares norteamericanos.<\/p>\n\n\n\n<p>Cuando una v\u00edctima no paga el rescate, en un plazo de 72 horas la banda RedAlert publica los datos robados en su sitio de filtraci\u00f3n de datos que cualquiera puede descargar, y adem\u00e1s, empiezas a hacer ataques DDoS contra los sitios web de la empresa v\u00edctima.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter\"><img decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"RedAlert\/N13V Data Leak Site\" class=\"lazyload\" data-src=\"https:\/\/www.bleepstatic.com\/images\/news\/ransomware\/r\/redalert-n13v\/data-leak-site.jpg\"><figcaption><em>Fuente: <a rel=\"noreferrer noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers\/\" target=\"_blank\">BleepingComputer<\/a><\/em><\/figcaption><\/figure>\n\n\n\n<p><br \/>Actualmente, el sitio de fuga de datos de RedAlert s\u00f3lo contiene los datos de una organizaci\u00f3n, lo que indica que la operaci\u00f3n es muy nueva.<\/p>\n\n\n\n<p>Aunque no ha habido mucha actividad con la nueva operaci\u00f3n de ransomware N13V\/RedAlert, es algo que definitivamente hay que vigilar debido a su avanzada funcionalidad y su soporte inmediato tanto para Linux como para Windows.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter\"><img decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Archivos cifrados por el ransomware RedAlert (N13V) (extensi\u00f3n .crypt[number])\" class=\"lazyload\" data-src=\"https:\/\/www.pcrisk.es\/images\/stories\/screenshots202208\/redalert-n13v-ransomware-encrypted-files.jpg\"><figcaption>Archivos cifrados por RedAlert (N13V). <br \/><em>Fuente: <a href=\"https:\/\/www.pcrisk.es\/guias-de-desinfeccion\/11535-redalert-n13v-ransomware\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.pcrisk.es\/guias-de-desinfeccion\/11535-redalert-n13v-ransomware<\/a><\/em><\/figcaption><\/figure>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>RedAlert, tambi\u00e9n llamado N13V, encripta los servidores de Windows y Linux Recientemente ha aparecido un nuevo ransomware, llamado RedAlert, o N13V, encripta servidores VMWare ESXi tanto de Windows como de Linux en ataques a redes corporativas. La nueva operaci\u00f3n fue descubierta por el equipo \u00abMalwareHunterTeam\u00bb, que tuite\u00f3 varias im\u00e1genes del sitio de fuga de datos [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":24195,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[2],"tags":[],"class_list":["post-24193","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"_links":{"self":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/24193","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/comments?post=24193"}],"version-history":[{"count":0,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/24193\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media\/24195"}],"wp:attachment":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media?parent=24193"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/categories?post=24193"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/tags?post=24193"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}