MALWARE "REGIN"
Regin es sofisticado y sigiloso malware revelado por Kaspersky Lab y Symantec en noviembre 2014, que se dirige a usuarios específicos de los equipos basados en Microsoft Windows. Kaspersky Lab indico que se dieron por primera vez de Regin en la primavera de 2012, pero que algunos de los primeros muestras datan del 2003. (el nombre Regin se encontró por primera vez en el sitio web VirusTotal el 9 de marzo de 2011.)
Entre los equipos infectados en todo el mundo por Regin, 28 por ciento estaban en Rusia, el 24 por ciento en Arabia Saudita, el 9 por ciento cada uno en México e Irlanda, y 5 por ciento en cada uno de la India, Afganistán, Irán, Bélgica, Austria y Pakistán. Kaspersky Lab no pudo determinar la vía de ataque utilizado. Regin utiliza un enfoque modular que permite que se cargue características que se ajustan exactamente al objetivo, lo que permite el espionaje personalizado. El diseño hace que sea muy adecuado para las operaciones de vigilancia en masa persistente, a largo plazo contra objetivos.
Regin es sigiloso y no almacena sus archivos en el sistema infectado; sino que utiliza su propio sistema virtual encriptado de archivos (EFS) totalmente contenida dentro de lo que parece ser un único archivo con un nombre inocuo para el anfitrión, en el que los archivos sólo se identifican por un código numérico, no un nombre. El EVFS emplea una variante de cifrado del sistema de cifrado RC5 rara vez se utiliza. [11] Regin se comunica a través de Internet utilizando ICMP / ping, comandos incrustados en las cookies HTTP y TCP personalizado y protocolos UDP con un servidor de comando y control que puede controlar las operaciones, realizar uploads, etc
Entre los equipos infectados en todo el mundo por Regin, 28 por ciento estaban en Rusia, el 24 por ciento en Arabia Saudita, el 9 por ciento cada uno en México e Irlanda, y 5 por ciento en cada uno de la India, Afganistán, Irán, Bélgica, Austria y Pakistán. Kaspersky Lab no pudo determinar la vía de ataque utilizado. Regin utiliza un enfoque modular que permite que se cargue características que se ajustan exactamente al objetivo, lo que permite el espionaje personalizado. El diseño hace que sea muy adecuado para las operaciones de vigilancia en masa persistente, a largo plazo contra objetivos.
Regin es sigiloso y no almacena sus archivos en el sistema infectado; sino que utiliza su propio sistema virtual encriptado de archivos (EFS) totalmente contenida dentro de lo que parece ser un único archivo con un nombre inocuo para el anfitrión, en el que los archivos sólo se identifican por un código numérico, no un nombre. El EVFS emplea una variante de cifrado del sistema de cifrado RC5 rara vez se utiliza. [11] Regin se comunica a través de Internet utilizando ICMP / ping, comandos incrustados en las cookies HTTP y TCP personalizado y protocolos UDP con un servidor de comando y control que puede controlar las operaciones, realizar uploads, etc
Comentarios