NUEVAS VARIANTES DE LOS RANSOMWARE MAKOP, MASONS, CHAOS, HONKAI, VOIDCRYPT Y DODO

06/02/2023

BOLETÍN NRO 2023-077

Recientemente investigadores de seguridad han informado sobre nuevas campañas de ransomware que han afectado a varias compañías de diferentes rubros.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   CRÍTICA

Se ha encontrado una nueva variante de ransomware Makop que añade la extensión .ZFX y deja una nota de rescate llamada +README-WARNING+.txt.

También se ha observado un nuevo ransomware que añade la extensión ".masons" y deja caer una nota de rescate llamada six62ix.txt.

Además, se dio aviso sobre una nueva variante del ransomware Chaos que añade la extensión. Script y deja una nota de rescate llamada read_it.txt.

Otro ransomware que tuvo actividad fue Nevada, el cual dirigió sus ataques a los sistemas Windows y VMware ESXi. Esta operación de ransomware es relativamente nueva y parece aumentar sus capacidades rápidamente.

Por otra parte, la compañía Arnold Clark sufrió un ataque del ransomware Play, otra campaña detecta fue la del ransomware TZW se viene distribuyendo en Corea y cifra a los archivos con la extensión "TZW".

Especialistas de seguridad encontraron una variante del ransomware.honkai que deja una nota de rescate llamada #DECRYPT MY FILES#.html mientras los archivos son cifrados con la extensión. honkai, otro ransomware que tuvo actividad fue el VoidCrypt quien añade la extensión ".sunjn" cuando cifra archivos.

Finalmente, se identificó una nueva versión del ransomware DoDo que añade la extensión ".dodov2" y deja caer una nota de rescate llamada dodov2_readit.txt.

Indicadores de Compromiso

Hash

MD5: e07ee232400dafd802235b90e0e7e056

SHA-256: 6612cf82da05701ed9262f598724a9435b015890a79aa0e928c53e4e6702bf08

MD5: 54d046c5cacdff5cd157db42f5e1b86c

SHA-256: c83722c209dc08d28e82e0f8459e45fb1daa967abd294e257158674e11ef6f9f

MD5: b5de1cca5ec8047847717b01c268509a

SHA-256: 6555038a04997404d48cf866ebb81f134082ef1613408779cf2a589068312a42

MD5: e471def94fe9426c09ab28be21e78254

SHA-256: aee45cc2540d49a28e765c30f1c4d0b853c1a74ea2260bd7614ece8e54c3bcb3

MD5: 47e14a46326791625b67704d4329bed6

SHA-256: 6312ac91761037de7a7afc7323671a004db71b31a69499178437bdf939fa9dd8

MD5: 85f7df557b52cfb4850dbdd5040417f6

SHA-256: 42dcc46f9d6e6e8efe3f95bc09dbdfb6206a52a4347dbb652f315cec483a2046

MD5: 5cbbc1adfd22f852a37a791a2415c92c

SHA-256: 989cf96da60d9ebfb6f364717b4f0cae1667fdc7f9d89f77acc254ab47d439e6

MD5: 71c3a6f87a5c67593fd199a0fbc146bf

SHA-256: 98e6fe0dfa72dfd322bfbddc7bdd6813f339fc3d88bccb2dbc2ed6cb487b90e4

MD5: 1596ae02a4deb3a52d7b493ecb26f83c

SHA-256: 6aa943d08879bd0d6236d2c3ef4097c09454185cf9d2c270d92952d402ec1b36

MD5: ba8f9f4bb4bb0684e2a6c310e77732a7

SHA-256: 3145b76d4291bf3215d0e2e6af410b64b132a5108691dd5de3a74043b3fee286

MD5: 6263cf4ed224f1a7756f3d7c4c83cfda

SHA-256: e1f24dd093f2877eef0b66e6e242ecc2f42872881e29ae139cba35e9138bbf5e

MD5: 3fdd9b2402350844b482aa6076e18d22

SHA-256: 2e8af1ad4bb1e9f1bfdd3a04bf28363bbcdb3653e6aa4864f61b09c050378d51

MD5: d80c38192b6a2eb32833de68de263c66

SHA-256: 7826978642c568f975e2b65d1575fdf92e634f7c80db2c86c9d7c8066e8955b8

MD5: d70e82645b7f47adbcdddcb1f363afb1

SHA-256: 09c5ff735d3d7b8c47b4df7de35e1c72b530b2c2566628bc29aaa54feb4d89f4

MD5: 0107b2d10795493e055e3c4039cc3c05

SHA-256: 8a2e3a51561f6c7db16a90e4d1efe6927bebc16c3ce6eba4a7a9cac113d49b88

MD5: 99846c83c794b15254478efe0ab708f2

SHA-256: b8dafbc6a17064c4cdb5b91586f1d328869ce3c3d74f4a7d079e484035375f06

MD5: f6dbc78ddf0f87e29d0f7fcf6e9d7f75

SHA-256: 6eee114a36f811cd6cbcf06066ab380522b17dd4fdd4480dd79c44f3855fd078

MD5: 7791c18c9d4a94d80a7928644937c070

SHA-256: 1c2d5cccca58b469351980895c8a2080c8346de09c2f1ab7a123deb3d3e4a539

MD5: f8c7c54fc25c5bdcf08f778b362fab72

SHA-256: a340ef5adb00a2bf1a0735600491ca98ac8045b57db892dedc27575a53b25056

MD5: 891671a3dbedc9f31325acd29ec912bf

SHA-256: 7d9c97a133997396b0625a5d2b762fb8b333f5152d4dd893c7a463cc41372ab5

MD5: ad0babfdb2023853aff90bd5875451dd

SHA-256: 536ddfc87408cf2213a5184910608462d7e0d9710f46b49b2b246511baf32982

MD5: 4d08f638560230d3604c7b98c3172ee0

SHA-256: 89ef8f862ff39fae66ec113c2cab99bfbec737bd4c9613c87b80cf95401adb60

MD5: 0824a34e7cae4a6ba21a80476b621055

SHA-256: 83cf3a2ccadf0c6d2fb61d3735ccf941c1661e7f3d1e38580ad6bf4a036db951

MD5: 1b5face561d12c783bc62c715cde0795

SHA-256: 56b1b7b168c8903258910eca42bac063fb8bb00405d629caa14ba10cdc211d86

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: The Week in Ransomware - February 3rd 2023 - Ending with a mess
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​