Que es BaphoDashboard | generando ransomware's
¿Qué es Bapho-Dashboard?
Es una plataforma escrita en C# bajo net core 3.1 la cual nos permite generar ejecutables del ransomware Baphomet de manera muy simple. Esta plataforma cuenta con muchas características que nos ayudan a la hora de manejar un equipo infectado, mostrándonos su ubicación en un mapa gráfico, cantidad de equipos infectados, gráfica de las versiones mas afectadas, posibles vulnerabilidades dependiendo de la versión del equipo, etc.
¿Como funciona el ransomware Baphomet?
El ransomware Baphomet es un proyecto de código abierto disponible en github, el cual esta escrito en C# bajo Net Core application. Este Ransomware fue basado en Hidden tear otro ransomware publico que fue subido a github el 2015. Baphomet tiene muchas mas funcionalidades y es mas peligroso que Hidden tear, debido a que este utiliza el cifrado híbrido (Para más información sobre cifrado simétrico, asimétrico e híbrido visiten el link donde hablo de esto link: https://hackingpills.blogspot.com/2019/11/tipos-de-cifrados-cual-debo-usar.html)
Bien como dice en el post de HackingPills, el cifrado híbrido consiste en cifrar la clave simétrica con la cual se cifran los archivos de una víctima haciendo uso de RSA, con esto quiere decir que para recuperar los datos cifrados se necesitará la clave privada RSA para desencriptar la clave con la cual se cifro cada uno de los archivos, y la clave privada solo la tendrá el atacante debido a que esta se genera con la llave publica cuando generamos el ransomware. Baphomet cuanta con varias funcionalidades las cuales dejo a continuación.
- Cifrado híbrido
- Cifra los archivos haciendo uso de AES
- Podemos decirle que procesos buscar y matar para cifrar un mayor número de archivos
- Detecta equipos USB conectados para auto copiarse en ellos
- Hace una pequeña prueba de conexión a internet para saber si se pueden enviar los datos.
- Obtiene los siguientes datos de sus víctima:
§ Nombre del equipo
§ Versión
§ Hostname
§ Ciudad, región, código postal y sus coordenadas
§ IP publica
- Podemos añadir mas de un hosting para tener redundancia al momento de enviar la data de la víctima.
Cuando generamos el ransomware Bapho-Dashboard genera las llaves RSA, una publica y una privada, ambas se guardan en la base de datos junto con el nombre y la descripción del ransomware generado, pero la llave publica será escrita en el código del ransomware, debido a que esta será la encargada de cifrar la clave que se genera para cifrar los archivos, por lo tanto, la victima nunca podrá obtener la clave simétrica a menos que tenga la llave privada RSA. Cuando la victima ejecuta el ransomware a esta se le creara un archivo llamado secretkey.key, ese archivo se le debe de enviar al atacante para que el atacante lo suba a Bapho-Dashboard y este se encargue de desencriptarla buscando en su base de datos la llave privada que pertenezca a la llave publica con la cual se cifro dicho archivo (secretkey.key). Una vez el atacante obtiene la llave simétrica en texto plano esta pasa a generar un ejecutable el cual llevara la llave en el código para que la victima pueda recuperar sus datos.
Otra función de esta plataforma es que podemos jalar la data de las víctimas que se encuentra en los servidores hosting, Baphodashboard se encarga de leer la data de estos hostings para luego descargarla y guardarla en su base de datos, de esta manera la muestra de manera gráfica.
Enlace para ver una demostración de cómo generar el ransomware.
Enlace para ver una demostración de cómo se recuperan los datos.
Enlace para saber más sobre el uso de Bapho-Dashboard.
https://www.patreon.com/HackingPills
GitHub del proyecto: https://github.com/Sh4rk0-666/BaphoDashBoard
Redes:
Twitter: https://twitter.com/Chungo_0
YouTube: https://www.youtube.com/channel/UCjcoke6c9_oXlc4d3dN9RUg
GitHub : https://github.com/Sh4rk0-666
Muy buen información. Siguiendo al mejor blog de hacking ético en español llamado EsGeeks ✋
ResponderBorrarthe advice provided below. Read more about my website: dark web links
ResponderBorrar