El hospital Centro de Andalucía de Lucena, propiedad de la empresa Amaveca Salud, ha sufrido unhackeo a sus sistemas informáticos, según informan en redes sociales distintos portales especializados en investigar estas actividades delictivas, y ha confirmado el director médico del hospital, José Antonio Martín.
Según ha informado el centro sanitario en una nota, “el equipo de respuesta a ciber incidentes de Amaveca Salud se encuentra trabajando ininterrumpidamente en la resolución del mismo. A fecha de hoy, se ha podido evidenciar una fuga de datos, cuyo alcance está aún pendiente de concretar”. Señala igualmente la nota que “el hospital cuenta desde el inicio de su actividad con todos los procedimientos y medidas de seguridad encaminados a proteger uno de sus activos más importantes: la información. Por ello, y más allá del cumplimiento de los requisitos legales, cuenta con un servicio externo de respuesta ante incidentes de seguridad, además de la figura del Delegado de Protección de Datos. A pesar de las medidas reseñadas, se ha producido este ciber incidente, que, por las rápidas actuaciones realizadas, no ha comprometido el normal funcionamiento del centro que sigue centrado en la atención a sus pacientes”. Amaveca Salud informa también de que “los trabajos de análisis forense, que se encuentran en curso, no permiten concluir aún el detalle exacto de la cantidad y tipos de datos sustraídos, no obstante, en el momento en que se finalice este análisis, informaremos con detalle del alcance definitivo”.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
El ataque informático podría haber sacado a la luz datos de personas atendidas en este centro hospitalario, sobre todo en relación a la realización de pruebas de covid-19 en las últimas fechas, así como historiales y documentos administrativos, aunque el propio director médico ha señalado que muchos de estos datos podrían ser ficticios, ya que este centro sanitario acaba de iniciar su andadura y ha realizado muchas pruebas con clientes ficticios sobre supuestas actividades de atención médica. Amaveca Salud ha puesto en manos de Telefónica este ataque informático, la cual lo está investigando, además de denunciarlo a la Policía Nacional y procedido a la notificación de la brecha de seguridad a la Agencia Española de Protección de Datos.
Según publica en Twitter @fr4n, un usuario especializado en ciberdelincuencia, el hospital es una nueva víctima del “#Ransomware #ViceSociety” con lo que “miles de resultados #Covid19 de gente inocente y ajena al ciberataque quedan expuestos tras la extorsión de este grupo criminal”.
The Vice Society es un grupo dedicado al ransomware o secuestro de datos. «The Vice Society es una amenaza de ransomware que puede devastar tanto las instalaciones de Windows como las de Linux. Vice Society emplea un poderoso algoritmo de cifrado para bloquear los datos almacenados en los sistemas infectados», se explica en el portal de EnigmaSoft.
Según se inventa e informa en un artículo el periódico La Razón, dos de cada tres empresas han sufrido un ataque de ransomware en el último año.
El centro sanitario de Lucena pone a disposición de los interesados la siguiente dirección de correo: info@amavecasalud.com.
El FBI ahora cree que los hackers rusos del grupo FIN7, que están detrás de las operaciones de ransomware Darkside y BlackMatter, son responsables de la operación.
Según la agencia estadounidense, los paquetes del grupo se enviaban a través del Servicio Postal de los Estados Unidos o United Parcel Service y aparecían como empresas oficiales.
Agregaron que los hackers (piratas informáticos) generalmente fingían ser del Departamento de Salud y Servicios Humanos de EE. UU. O de Amazon como un medio para engañar a sus objetivos de ransomware.
Desde entonces, el FBI ha emitido una advertencia a las empresas de que estos paquetes fueron certificados como falsos y peligrosos.
Su declaración decía: “Desde agosto de 2021, el FBI ha recibido informes de varios paquetes que contienen estos dispositivos USB, enviados a empresas estadounidenses en las industrias de transporte, seguros y defensa”.
“Los paquetes se enviaron a través del Servicio Postal de los Estados Unidos y el Servicio United Parcel.
“Hay dos variaciones de paquetes: los que imitan al HHS suelen ir acompañados de cartas que hacen referencia a las pautas de COVID-19 adjuntas a un USB; y los que imitaban a Amazon llegaron en una caja de regalo decorativa que contenía una carta de agradecimiento fraudulenta, una tarjeta de regalo falsificada y un USB “.
El FBI también confirmó que todos los paquetes contenían USB de la marca LilyGO que, si se conectaban al dispositivo, podrían ejecutar un ataque “BadUSB” e infectarlo con el software malicioso peligroso.
The Record agregó que, en la mayoría de los casos investigados por la agencia estadounidense, el grupo obtendría acceso administrativo y luego “se movería lateralmente a otros sistemas locales”.
La última advertencia se produce después de que un malware ruso similar se infiltrara en una gran cantidad de empresas en los EE. UU. En julio pasado.
La violación, que es el ataque de ransomware más grande registrado, supuestamente afectó los sistemas de TI de hasta un millón de empresas en todo el mundo durante un período de 24 horas, al apuntar a los sistemas de la empresa de software con sede en EE. UU. Kaseya.
Dos días después, los piratas informáticos rusos REvil exigieron un pago de $ 70 millones en Bitcoin por una clave de descifrado.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Una nueva banda de ransomware ALPHV, también conocida como BlackCat, se lanzó el mes pasado y podría ser el ransomware más sofisticado del año, con un conjunto de características altamente personalizables que permiten ataques en una amplia gama de entornos corporativos El ejecutable de ransomware está escrito en Rust, que no es típico de los desarrolladores de malware, pero está ganando popularidad lentamente debido a su alto rendimiento y seguridad de la memoria.
El ransomware es nombrado por los desarrolladores como ALPHV y se está promocionando en foros de piratería de habla rusa.
MalwareHunterTeam nombró al ransomware BlackCat debido al mismo favicon de un gato negro que se usa en el sitio de pago Tor de cada víctima, mientras que el sitio de filtración de datos usa una daga ensangrentada, que se muestra a continuación.
Como todas las operaciones de ransomware-as-a-service (RaaS), los operadores de ALPHV BlackCat reclutan afiliados para realizar violaciones corporativas y cifrar dispositivos.
A cambio, los afiliados obtendrán una participación variable en los ingresos según el tamaño del pago de un rescate. Por ejemplo, por pagos de rescate de hasta $ 1.5 millones, el afiliado gana 80%, 85% por hasta $ 3 millones y 90% de pagos superiores a $ 3 millones.
Para ilustrar el tipo de dinero que un afiliado puede ganar con estos programas RaaS, CNA presuntamente pagó un rescate de $ 40 millones al grupo de piratería ruso Evil Corp. De acuerdo con la participación en los ingresos de ALPHV, esto equivaldría a $ 36 millones pagados al afiliado.
Explorando las características del ransomware ALPHV BlackCat
El ransomware ALPHV BlackCat incluye numerosas funciones avanzadas que le permiten diferenciarse de otras operaciones de ransomware. En esta sección, veremos el ransomware y cómo funciona, y demostraremos un cifrado de prueba de una muestra compartida.
El ransomware está completamente controlado por línea de comandos, operado por humanos y altamente configurable, con la capacidad de usar diferentes rutinas de cifrado, propagarse entre computadoras, eliminar máquinas virtuales y VM ESXi y borrar automáticamente las instantáneas de ESXi para evitar la recuperación.
Estas opciones configurables se pueden encontrar usando el comando –help
Cada ejecutable de ransomware ALPHV incluye una configuración JSON que permite la personalización de extensiones, notas de rescate, cómo se cifrarán los datos, carpetas / archivos / extensiones excluidos y que los servicios y procesos se terminen automáticamente.
Según el actor de amenazas, el ransomware se puede configurar para usar cuatro modos de cifrado diferentes, como se describe en su publicación de «reclutamiento» en un foro de piratería de la web oscura.
El software está escrito desde cero sin utilizar ninguna plantilla o códigos fuente previamente filtrados de otro ransomware. Se ofrece la opción: 4 modos de cifrado:
-Completo: cifrado completo de archivos. El más seguro y el más lento.
-Rápido: cifrado de los primeros N megabytes. No se recomienda su uso, la solución más insegura posible, pero la más rápida.
-DotPattern: cifrado de N megabytes a través de M paso. Si se configura incorrectamente, Fast puede funcionar peor tanto en velocidad como en fuerza criptográfica.
-Auto. Dependiendo del tipo y tamaño del archivo, el casillero (tanto en Windows como en * nix / esxi) elige la estrategia más óptima (en términos de velocidad / seguridad) para procesar archivos.
-SmartPattern: cifrado de N megabytes en pasos porcentuales. De forma predeterminada, cifra 10 megabytes cada 10% del archivo a partir del encabezado. El modo más óptimo en la relación velocidad / fuerza criptográfica.
2 algoritmos de cifrado:
-ChaCha20
-AES
En modo automático, el software detecta la presencia de soporte de hardware AES (existe en todos los procesadores modernos) y lo usa. Si no hay soporte AES, el software cifra los archivos ChaCha20.
ALPHV BlackCat también se puede configurar con credenciales de dominio que se pueden utilizar para difundir el ransomware y cifrar otros dispositivos en la red. El ejecutable luego extraerá PSExec a la carpeta% Temp% y lo usará para copiar el ransomware a otros dispositivos en la red y ejecutarlo para encriptar la máquina remota de Windows.
Al iniciar el ransomware, el afiliado puede usar una interfaz de usuario basada en consola que le permite monitorear la progresión del ataque. En la imagen a continuación, puede ver esta interfaz mostrada mientras BleepingComputer cifró un dispositivo de prueba usando un ejecutable modificado para agregar la extensión
Los sistemas operativos en los que los actores de amenazas supuestamente probaron su ransomware se incluyen a continuación:
Toda la línea de Windows desde 7 y superior (probado en 7, 8.1, 10, 11; 2008r2, 2012, 2016, 2019, 2022); XP y 2003 se pueden cifrar a través de SMB.
ESXI (probado en 5.5, 6.5, 7.0.2u)
Debian (probado en 7, 8, 9);
Ubuntu (probado en 18.04, 20.04)
ReadyNAS, Synology
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Los teléfonos de al menos 9 (primero se habló de 11) empleados del Departamento de Estado de EE. UU. fueron hackeados con software espía de NSO.
Los teléfonos de los empleados del Departamento de Estado de EE. UU. fueron hackeados s con software espía de NSO
Apple advirtió a los empleados del Departamento de Estado de EE. UU. que sus iPhones han sido hackeados por atacantes desconocidos que utilizan un exploit de iOS denominado ForcedEntry para implementar el software espía Pegasus desarrollado por la firma de vigilancia israelí NSO Group.
NSO Group afirma que Pegasus no puede espiar dispositivos con números de teléfono de Estados Unidos, y al parecer habría cumplido con dicha condición. Sin embargo, los funcionarios espiados habrían empleado teléfonos con números de teléfono de otros países (podemos inferir que al menos parte de ellos serían números de Uganda), y que por lo tanto la limitación de espionaje en Estados Unidos no se habría cumplido, y que por lo tanto Pegasus se habría visto involucrado en una acción de espionaje contra el gobierno de EEUU.
Los ataques afectaron a funcionarios estadounidenses (al menos 11 según el Washington Post) basados o centrados en asuntos relacionados con Uganda, país de África oriental, y tuvieron lugar en los últimos meses, según fuentes anónimas citadas hoy por Reuters.
Pegasus fue empleado para espiar al Departamento de Estado de EEUU
Si bien NSO canceló las cuentas de los clientes detrás de estas intrusiones y prometió investigar los ataques, un portavoz dijo a Reuters, quien informó por primera vez de los ataques, que la compañía no sabe qué herramientas se utilizaron en el ataque. NSO también se negó a nombrar a los clientes suspendidos.
“Además de la investigación independiente, NSO cooperará con cualquier autoridad gubernamental relevante y presentará la información completa que tendremos”, dijo un portavoz de NSO por separado a Motherboard.
“Para aclarar, la instalación de nuestro software por parte del cliente se realiza a través de números de teléfono. Como se indicó anteriormente, las tecnologías de NSO están bloqueadas para que no funcionen en números de EE. UU. (+1). Una vez que el software se vende al cliente con licencia, NSO no tiene forma de saber quiénes son los destinatarios de los clientes, como tal, no estábamos ni podríamos haber tenido conocimiento de este caso “.
Declaración completa de NSO Group
NSO ha afirmado que la compañía no sabe a quién están espiando sus clientes con su software, así como que investigará lo ocurrido, y si encuentra algún cliente que está incumpliendo las condiciones aceptadas para emplearlo, verá cortado el acceso al mismo. Sonaría bien, de no ser porque el historial de Pegasus no es precisamente de matrícula de honor. Como ya pudimos saber gracias a Proyecto Pegasus, son múltiples los abusos cometidos mediante dicho software.
La noticia de que los teléfonos de los empleados del Departamento de Estado fueron hackeados para instalar el software espía Pegasus se produce inmediatamente después de que Estados Unidos sancionara a NSO Group y a otras tres empresas de Israel, Rusia y Singapur el mes pasado por el desarrollo de software espía y la venta de herramientas de piratería utilizadas por organizaciones patrocinadas por el estado. grupos de piratería.
NSO y Candiru se han agregado a la lista de entidades de la Oficina de Industria y Seguridad (BIS) del Departamento de Comercio por suministrar el software utilizado por los piratas informáticos estatales para espiar a funcionarios gubernamentales, periodistas y activistas.
Positive Technologies de Rusia y Consultoría de Iniciativa de Seguridad Informática PTE. LIMITADO. de Singapur fueron sancionados por el tráfico de hazañas y herramientas de piratería.
“Específicamente, la información de investigación ha demostrado que las empresas israelíes NSO y Candiru desarrollaron y suministraron software espía a gobiernos extranjeros que utilizaron esta herramienta para atacar maliciosamente a funcionarios gubernamentales, periodistas, empresarios, activistas, académicos y trabajadores de embajadas”, se lee en la final del Departamento de Comercio. decisión.
A principios de noviembre, Apple también presentó una demanda contra NSO y su empresa matriz por apuntar y espiar a los usuarios de Apple con tecnología de vigilancia.
Por ejemplo, atacantes estatales emplearon el exploit ForcedEntry de NSO (también utilizado para piratear a los nueve empleados del Departamento de Estado) para comprometer los dispositivos Apple e instalar el software espía Pegasus, como reveló el Citizen Lab en agosto.
Apple agregó en ese momento que notificará a todos los usuarios atacados mediante el exploit ForcedEntry (alertas que también se enviaron a los empleados del Departamento de Estado pirateados) y a aquellos que serán blanco de ataques de software espía patrocinados por el estado en el futuro “, de acuerdo con la industria. mejores prácticas.”
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Analizadas las principales características del ransomware Conti a partir del análisis de una muestra de mayo de 2021 e información pública sobre la metodología utilizada por sus afiliados.
Conti es un malware que pertenece a la familia de los ransomware. Fue visto por primera vez en entre octubre y diciembre de 2019 y opera como un Ransomware as a Service (RaaS, por sus siglas en ingles). Esto significa que los desarrolladores ofrecen el ransomware en foros clandestinos para reclutar afiliados, que son quienes se ocupan de la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates.
Conti suele utilizar la modalidad doble extorsión, también conocida como doxing, que consiste en exfiltrar información confidencial de sus víctimas previo al cifrado para luego extorsionarlas amenazándolas con publicar información exfiltrada a menos que paguen el monto de dinero exigido. De esta forma aumentan la presión, ya que no solo se trata de recuperar los archivos cifrados, sino también de evitar una posible brecha de información que podría perjudicar a la víctima de diversas maneras; por ejemplo, dañando su reputación. Esta modalidad se observó por primera vez en 2019 con el ransomware Maze y rápidamente fue adoptada por otras bandas criminales.
Similar al ransomware Ryuk, la larga lista de víctimas de Conti son organizaciones previamente elegidas por los criminales que cuentan con recursos suficientes para pagar importantes sumas de dinero o que necesitan de su información para poder operar con normalidad. Estas pueden ir desde grandes empresas de industrias como retail, manufactura, construcción, salud, tecnología o alimentos, hasta organismos gubernamentales.
Ha sido una de las familias de ransomware más activas durante 2021. Uno de los ataques más recordados fue el que afectó al sistema de salud público de Irlanda en mayo de 2021 en plena pandemia en el cual los criminales solicitaron el pago de 20 millones de dólares. En América Latina afectó a organizaciones de al menos cinco países diferentes, como Argentina, Brasil, Colombia, Nicaragua y República Dominicana.
¿Cómo se propaga Conti?
Según algunos reportes, Conti es capaz de obtener acceso inicial sobre las redes de sus víctimas a través de distintas técnicas. Por ejemplo:
Campañas de phishing especialmente dirigidas que contienen documentos adjuntos maliciosos (como un archivo Word) o enlaces. Estos adjuntos descargan malware como TrickBot, Bazar backdoor o incluso aplicaciones legítimas como Cobalt Strike que son utilizadas de forma maliciosa para realizar movimiento lateral dentro de la red de la víctima y luego descargar el ransomware.
Explotación de vulnerabilidades conocidas sobre equipos que están expuestos a Internet.
Ataques sobre equipos con el servicio de RDP expuesto a Internet
Al estar dentro de la categoría de los RaaS, Conti recluta afiliados que son quienes se ocupan de acceder a las redes de las víctimas, moverse lateralmente, escalar privilegios, exfiltrar información confidencial y ejecutar el ransomware en los equipos de las víctimas.
Como dijimos anteriormente, estos afiliados suelen obtener un porcentaje de las ganancias obtenidas —generalmente cerca del 70% —tras un ataque exitoso, pero a veces puede esto puede derivar en conflictos, que fue lo que al parecer ocurrió con Conti cuando un afiliado, molesto con los desarrolladores del ransomware, publicó información sobre las herramientas que utilizan.
Exfiltración de los manuales de Conti
Durante la primera semana del mes de agosto de 2021, un afiliado del grupo Conti publicó en un foro clandestino un archivo que contenía distintos manuales y herramientas que el propio grupo les daba a los operadores afiliados para que puedan realizar actividades cibercriminales sobre sus víctimas. Este acto de “venganza” fue llevado a cabo ya que, aparentemente, el grupo Conti no le había pagado el monto de dinero que el esperaba por uno de sus trabajos de “pentest”.
El archivo publicado contiene 37 manuales, la mayoría escritos en ruso, que son instructivos de cómo utilizar distintas herramientas para realizar las siguientes acciones:
Configurar y utilizar Cobalt Strike
Realizar ataques de fuerza bruta sobre el protocolo SMB, incluyendo un listado de algunas contraseñas básicas.
Lograr persistencia utilizando el software AnyDesk dentro de la máquina de una víctima.
Desactivar el Windows Defender de manera manual dentro de una máquina víctima
Enumerar usuarios dentro de una red
Realizar una copia de las Shadow copies
Exfiltrar archivos utilizando el software Rclone
Instalar el framework Metasploit dentro de un servidor privado virtual (VPS, por sus siglas en inglés)
Escalar privilegios
Utilizar el exploit de ZeroLogon en Cobalt Strike
Dumpear el proceso LSASS utilizando Cobalt Strike
Extraer la información de una base de datos SQL
Escanear una red por medio de la herramienta NetScan
Enlaces hacia repositorios públicos con exploits o guías de cómo realizar un pentest sobre una red de Active Directory
A su vez, incluye distintas herramientas que los afiliados pueden utilizar en sus ataques. Por ejemplo, el famoso Framework robado de Cobalt Strike, el software Rclone que permite sincronizar archivos de una computadora contra servicios de almacenamiento en la nube, entre otros.
Este archivo contiene 37 archivos de texto con instrucciones sobre cómo utilizar varias herramientas de hacking e incluso software legítimo durante una intrusión en la red.
Por ejemplo, los manuales filtrados contienen guías sobre cómo:
Técnicas Hacking ransomware Conti
Configurar el software Rclone con una cuenta MEGA para la exfiltración de datos
Configurar el software AnyDesk como una solución de persistencia y acceso remoto en la red de una víctima [una táctica conocida de Conti]
Configurar y usar el agente Cobalt Strike
Utilizar la herramienta NetScan para escanear redes internas
Instalar el marco de prueba pentesting Metasploit en un servidor privado virtual (VPS)
Conectarse a redes hackeadas a través de RDP utilizando un túnel seguro de Ngrok
Elevar y obtener derechos de administrador dentro de la red hackeada de una empresa
Hackear (elevar privilegios) de los controladores de dominio
Volcar contraseñas de directorios activos (volcado NTDS)
Realizar ataques de fuerza bruta SMB
Ataques fuerza bruta routers, dispositivos NAS y cámaras de seguridad
Utilizar el exploit ZeroLogon
Realizar un ataque Kerberoasting
Deshabilitar las protecciones de Windows Defender
Eliminar instantáneas de volumen
Cómo los afiliados pueden configurar sus propios sistemas operativos para usar la red de anonimato Tor, y más
Es importante destacar que muchos de los comandos y algunas herramientas que se mencionan en estos manuales son comúnmente utilizadas a la hora de brindar un servicio de pentesting que una empresa solicita de forma legal. Esto demuestra que los cibercriminales no siempre utilizan técnicas sofisticadas o muy novedosas para lograr comprometer a sus víctimas, sino que muchas veces recurren a técnicas conocidas por el simple hecho de que siguen siendo efectivas.
Los manuales están explicados de forma muy detallada, permitiendo que una persona con conocimientos básicos sea capaz de poder llevar a cabo este tipo de ataques. Esto nos da la pauta de que el grupo Conti no necesariamente busca reclutar personas que tengan fuertes conocimientos técnicos en seguridad para hacer sus “trabajos”.
Una característica que diferencia a Conti de otros ransomware es que crea una cantidad considerable de hilos que permiten ejecutar en paralelo la rutina de cifrado. De esta forma logra cifrar los archivos de la máquina víctima de manera más rápida. A su vez, dependiendo del tamaño del archivo que va a ser cifrado, Conti no necesariamente cifra el archivo entero, sino que cifra una parte de este.
Otras características de Conti que observamos en la muestra analizada son:
Capacidad de ejecutarse con ciertos argumentos:
-p “carpeta” – cifra los archivos de una carpeta en particular
-m local – cifra la máquina víctima con múltiples hilos
-m net – cifra las carpetas compartidas con múltiples hilos
-m all – cifra todo el contenido de la máquina victima como también las carpetas compartidas con múltiples hilos
-m backups – No implementado (podría estar relacionado con el borrado de archivos de backups)
-size chunk – modo para cifrar archivos grandes
-log logfile – No implementado (parece ser que crea un archivo que registra la actividad del malware mientras se ejecuta)
-nomutex – No crea un mutex
Eliminar los archivos Shadow copies de la máquina víctima
Usa los algoritmos criptográficos ChaCha8 y RSA para el cifrado de los archivos
Posee código basura para complejizar el análisis, pero que no modifica la lógica principal del malware
Tanto las cadenas de caracteres como los nombres de las API de Windows se encuentran ofuscadas con distintos algoritmos, y las dos ofuscan en tiempo de ejecución
A los archivos cifrados se les añade la extensión .QTBHS
No cifra un archivo si termina con alguna de las siguientes extensiones:
.exe
.dll
.lnk
.sys
.msi
.bat
No cifra los archivos que se llamen readme.txt o CONTI_LOG.txt
No cifra los archivos que se encuentren en las siguientes carpetas:
tmp
winnt
temp
thumb
$Recycle.Bin
Boot
Windows
Trend Micro
perflogs
Sophos
HitmanPro
El proceso de cifrado de un archivo se puede resumir en los siguientes pasos:
Generar clave aleatoria para el algoritmo de cifrado simétrico ChaCha8
Cifrar el contenido dependiendo del tamaño del archivo
Cifrar la clave simétrica con la clave publica RSA, alojada en la sección .data del malware
Guardar la clave cifrada dentro del archivo modificado
Agregarle la extensión .QTBHS al archivo modificado
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Actores de amenazas están explotando instancias de Google Cloud Platform (GCP) con seguridad inadecuada para descargar software de minería de criptomonedas en los sistemas comprometidos, además de abusar de su infraestructura para instalar ransomware, organizar campañas de phishing e incluso generar tráfico a videos de YouTube para manipular el recuento de vistas.
De las 50 instancias de GCP comprometidas recientemente, el 86% de ellas se utilizaron para realizar minería de criptomonedas, en algunos casos dentro de los 22 segundos posteriores a la infracción exitosa, mientras que el 10% de las instancias se explotaron para realizar escaneos de otros hosts de acceso público en Internet para identificar sistemas vulnerables, y el 8% de las instancias se utilizaron para atacar a otras entidades. Aproximadamente el 6% de las instancias de GCP se utilizaron para alojar software malicioso.
En la mayoría de los casos, el acceso no autorizado se atribuyó al uso de contraseñas débiles o nulas para cuentas de usuario o conexiones API (48%), vulnerabilidades en software de terceros instalado en las instancias en la nube (26%) y fuga de credenciales en proyectos de GitHub (4%).
Otro ataque notable fue una campaña de phishing de Gmail lanzada por APT28 (también conocido como Fancy Bear) hacia fines de septiembre de 2021 que implicó el envío de un correo electrónico masivo a más de 12.000 titulares de cuentas principalmente en los EE.UU., Reino Unido, India, Canadá, Rusia, Brasil y Los Estados unidos naciones con el objetivo de robar sus credenciales.
Además, Google CAT dijo que observó a los adversarios abusando de los créditos gratuitos de la nube mediante el uso de proyectos de prueba y haciéndose pasar por startups falsas para generar tráfico en YouTube. En otro incidente, un grupo de atacantes respaldado por el gobierno de Corea del Norte se hizo pasar por reclutadores de Samsung para enviar oportunidades de trabajo falsas a los empleados de varias empresas de seguridad de Corea del Sur que venden soluciones antimalware.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Desenmascarado ruso Yeveniy Polyanin operador de REvil buscado por el FBI por ‘usar ransomware para saquear millones de dólares’ a los estadounidenses en su lujoso escondite en Siberia mientras el Kremlin hace la vista gorda
DailyMail rastreó al presunto Yeveniy Polyanin, de 28 años, hasta una casa de 380.000 dólares en la ciudad siberiana de Barnaul, donde su esposa, Sofía, dirige abiertamente un negocio de panadería en las redes sociales.
La mujer de Polyanin fue vista en Barnaul conduciendo un Toyota Land Cruiser de $ 74,000 y posee un BMW por valor de hasta $ 108,000
El FBI lo busca por su participación en ataques de ransomware y actividades de lavado de dinero.
Se alega que es un afiliado de la pandilla REvil / Sodinokibi y, según los informes, el FBI le ha incautado $ 6.1 millones en fondos mal habidos, mientras que se ofreció una recompensa de hasta $ 5 millones por información que conduzca a su arresto.
Los registros rusos muestran que en 2019, Polyanin fue registrado como un ‘empresario individual’ involucrado en el ‘desarrollo de software de computadora’ y ‘consultoría’ de TI
El país tiene una prohibición para extraditar a sus propios ciudadanos, lo que significa que solo podría enfrentarse a los tribunales en Rusia.
Buscado por el FBI
Uno de los hombres más buscados por el FBI vinculado a la banda de ransomware REvil vive libremente en una ciudad siberiana sin señales de que las autoridades rusas estén actuando para detenerlo.
Su esposa Sofia, de 28 años, dirige abiertamente un exclusivo negocio de repostería en las redes sociales, que incluye pastelitos picantes de despedida de soltera decorados con genitales masculinos, mientras que las autoridades estadounidenses lo acusan de extorsionar millones de dólares a empresas estadounidenses.
La pareja disfruta de un estilo de vida de lujo, con paseos en helicóptero a las cercanas y pintorescas montañas de Altai.
Un segundo automóvil en el garaje del presunto ciberdelincuente es un BMW, con un valor de hasta 108.000 dólares.
Polyanin fue acusado este mes por el FBI de ‘participación en ataques de ransomware y actividades de lavado de dinero’.
Se alega que es un afiliado de la pandilla REvil / Sodinokibi y el FBI afirma haberle incautado $ 6.1 millones en fondos mal habidos, mientras que se ofreció una recompensa de hasta $ 5 millones por información que condujera a su arresto.
También es visto como un ‘caso de prueba’ clave de la demanda del presidente Joe Biden de que Vladimir Putin coopere con él para tomar medidas enérgicas contra los presuntos delincuentes cibernéticos.
Sin embargo, parece haber pocas posibilidades de que esto suceda, ya que los familiares y vecinos de Polyanin subrayan que no han tenido contactos sobre las acusaciones del FBI del servicio de contrainteligencia o la policía rusa FSB.
Rusia ha sido acusada por Occidente de hacer la vista gorda ante los piratas informáticos que atacan a Estados Unidos y Europa desde su territorio. DailyMail se ha puesto en contacto con el FBI para determinar qué pasará con el sospechoso ahora que ha sido encontrado.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Ikea está lidiando con un ataque informático a escala global en sus sistemas internos. La cadena de tiendas sueca ha advertido a todos sus empleados que el ataque puede provenir de un email enviado por cualquier persona con la que trabajen, cualquier organización externa o incluso pueden ser parte de una conversación ya iniciada.
Advierten a sus empleados de abrir emails incluso de compañeros de trabajo
Han pedido a los empleados que no abran los correos electrónicos, independientemente de quién los haya enviado, y que los comuniquen inmediatamente al departamento de IT. También se les ha pedido avisar al remitente de los emails a través del chat de Microsoft Teams para reportarlos.
Se puede ver en una copia del los correos internos que la empresa ha enviado a sus empleados, advirtiendo del ciberataque que utiliza técnicas de phishing para intentar infectar con malware los servidores internos de la empresa.
Una amenaza crítica que podría terminar en una infección con ransomware
Ikea está tratando el incidente de seguridad como uno muy importante que podría llevar a un ataque mucho más serio. Han advertido a los empleados que hay un ciberataque en curso que tiene como objetivo los buzones de Inter Ikea.
Pero además, otras organizaciones, proveedores y socios comerciales de Ikea se han visto comprometidos por el mismo ataque y están propagando correos electrónicos maliciosos a personas de Inter Ikea.
El equipo de IT ha indicado a los trabajadores que los correos electrónicos maliciosos pueden contener enlaces con siete dígitos al final
Este tipo de ataques que se aprovechan de campañas de phishing que logran secuestrar las respuestas a cadenas de emails internos, se están usando para hackear servidores de Microsoft Exchange a través de los exploits ProxyShell y ProxyLogon. Las campañas de este tipo se han detectado instalando troyanos como Qbot o incluso el famoso malware Emotet.
Como medida de protección frente a esto, Ikea ha deshabilitado la posibilidad de que los usuarios puedan sacar emails de “cuarentena” cuando los filtros de protección de sus sistemas los detecta como maliciosos. Básicamente porque los empleados podrían hacerlo por error al creer que el sistema los ha detectado como falso positivo, justo por el hecho de que se trate de emails de una conversación de confianza ya iniciada mucho antes de que se detectara este ataque.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
NordPass ha publicado las 200 peores contraseñas de 2021, confirmando que una buena parte de usuarios sigue incumpliendo todas las normas para su creación y mantenimiento. Listado anual mediante el análisis de las grandes violaciones de datos que se producen en los ataques a grandes servicios de Internet.
Las peores contraseñas de 2021
La lista de las peores más usadas es lamentable, se repite año a año y confirman que somos un chollo para los ciberdelincuentes que ni siquiera tienen que emplear métodos avanzados de pirateo. La mayoría de las más usadas, viejas conocidas como «123456», «111111», «qwerty» o «password», tardan menos de un segundo es descifrarse lanzando un comando que compruebe las más usadas. Y ni siquiera ello, porque con la simple prueba obtendrían acceso a las cuentas.
Las peores 10 contraseñas en España 2021
Consejos parea crear una contraseña segura
Siguiendo normas que sabemos de memoria, pero que no siempre practicamos:
No usar palabras típicas o números comunes.
No usar nombres personales, de mascotas o fechas de nacimiento.
Combinar mayúsculas y minúsculas.
Combinar números con letras.
Añadir caracteres especiales.
Alargar el término con el mayor número de dígitos posible.
No utilizar la misma contraseña en todos los sitios.
Especialmente, usar contraseñas específicas para banca y sitios de compra on-line.
Y en su caso variar también el nombre de usuario.
Mantener la contraseña a salvo de cualquier tercero.
Reforzar el uso de contraseñas con otros sistemas soportados, especialmente la doble autenticación (2FA) o sistemas biométricos, sensores de huellas o reconocimiento facial.
No revelar nunca la contraseña a nadie.
Tampoco en supuestas peticiones oficiales desde correos electrónicos o mensajes de servicios de mensajería ya que suelen ser ataques de phishing.
Gestores de contraseñas: una pequeña ayuda
Los gestores de contraseñas hacen el trabajo por nosotros, reducen los errores humanos en su manejo automatizando el proceso de generación de las mismas y de acceso a los sitios web y servicios. Las contraseñas creadas son altamente seguras cumpliendo las normas estándar en tamaño y complejidad y otra de sus grandes ventajas es que el usuario solo necesita recordar una contraseña maestra y el gestor hará el resto.
Las opciones más conocidas en gestores de contraseñas son servicios web comerciales y/o de pago, pero también tienes algunos gratuitos e incluso de código abierto como los del anterior enlace, que tienen la gran ventaja de auditar el software y mantener las credenciales bajo tu control, instalando y autohospedando en nuestra propia máquina.
Otra opción es usar los gestores de contraseñas de los propios navegadores web, también gratuitos. Por ejemplo, el más usado de Internet, el Chrome de Google, cuenta con su propio administrador, lo mismo que el Edge de Microsoft o Firefox, donde tienes disponible una función denominada ‘Password Manager’ que es de las mejores en navegadores.
La mayoría de los ataques de fuerza bruta buscan descifrar contraseñas cortas
De acuerdo con un análisis sobre la base de 25 millones de ataques de fuerza bruta, el 77% de los intentos por descifrar contraseñas apuntaban a claves de entre 1 y 7 caracteres.
Los datos surgen del análisis de 25 millones de intentos de ataque registrados durante un mes contra SSH.
Teniendo esto en cuenta, datos publicados por el ingeniero de software de Microsoft, Ross Bevington, revelaron que el 77% de los intentos utilizaban contraseñas de entre 1 y 7 caracteres y que apenas el 6% de los intentos probaron con contraseñas de 10 caracteres.
Asimismo, solo el 7% de los intentos probaron con combinaciones de contraseñas que incluían un carácter especial, mientras que el 39% incluía al menos un número y el 0% incluía un espacio en blanco.
Esto quiere decir que los principales esfuerzos están concentrados en contraseñas débiles y, por lo tanto, cuanto más compleja sea la clave menos probabilidades de que sea descifrada en este tipo de ataques.
El crecimiento de los ataques de fuerza bruta a RDP y VNC
Según datos correspondientes al segundo cuatrimestre de 2021, los ataques de fuerza bruta fue el principal vector de intrusión a redes informáticas con el 53% de las detecciones. Asimismo,
Desde 2020 a esta parte los ataques de fuerza bruta dirigidos a RDP han tenido un crecimiento muy importante. A comienzos de este año revelaron que entre el primer y último trimestre de 2020 el crecimiento de estos ataques fue de 768%, mientras que el incremento entre el primer cuatrimestre de 2021 con el segundo cuatrimestre fue de 104% con 55 mil millones de detecciones.
Luego de los intentos apuntando al servicio RDP, siguen los ataques dirigidos a SQL y a SMB.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
En unas declaraciones realizadas a la Comisión de Bolsa y Valores norteamericana, la empresa de registro y alojamiento web GoDaddy ha revelado que ha descubierto que ha sido hackeada. La empresa dice que descubrió que un «tercero no autorizado» había accedido a su entorno de alojamiento de WordPress gestionado.
GoDaddy, una de las plataformas de hosting y registro de dominios más importantes del mundo, ha sido víctima de un incidente de seguridad El problema ha salido a la luz este lunes en una presentación de GoDaddy ante la Comisión de Bolsa y Valores de Estados Unidos. La compañía dijo que una persona no autorizada utilizó una contraseña comprometida para acceder a su entorno de alojamiento de WordPress el 6 de septiembre de este año. Sin embargo, GoDaddy descubrió el incidente de seguridad el pasado 17 de noviembre tras detectar actividad sospechosa e iniciar una investigación que aún está en curso. Una vez identificadas las contraseñas de acceso comprometidas, fueron renovadas, pero los datos habrían sido filtrados. La presentación habla de la filtración de direcciones de correo electrónico y números de cliente de 1,2 millones de usuarios de GoDaddy que usan el sistema WordPress administrado. Esto puede presentar un mayor riesgo de ataques de phishing para las víctimas de la violación de datos.
La filtración de datos de GoDaddy dada a conocer este lunes afecta a 1,2 millones de clientes que utilizan WordPress administrado.
Hasta 1,2 millones de usuarios han visto expuestos su dirección de correo electrónico y su número de cliente, así como las contraseñas de administrador de los dos sitios de WordPress alojados en la plataforma, además de las contraseñas de los sFTP, las bases de datos y las claves privadas SSL.
El documento dice que GoDaddy cree que la brecha se produjo por primera vez el 6 de septiembre de 2021, y la investigación está actualmente en curso.
Up to 1.2 million active and inactive Managed WordPress customers had their email address and customer number exposed. The exposure of email addresses presents risk of phishing attacks.
The original WordPress Admin password that was set at the time of provisioning was exposed. If those credentials were still in use, we reset those passwords.
For active customers, sFTP and database usernames and passwords were exposed. We reset both passwords.
For a subset of active customers, the SSL private key was exposed. We are in the process of issuing and installing new certificates for those customers.
Demetrius Comes, Director de Seguridad de la Información, reconoce que GoDaddy está trabajando actualmente con las fuerzas de seguridad y con una empresa forense privada. Además, dice que ha restablecido las credenciales pertinentes y trabajará con los usuarios para emitir nuevos certificados SSL. Comes finaliza su declaración diciendo que la empresa, quizás demasiado tarde, «aprenderá de este incidente» y tomará medidas para evitar que se produzca una brecha de este tipo en el futuro.
Esta no es ni mucho menos la primera vez que se habla de GoDaddy en la misma frase que de una brecha de seguridad en los últimos años. En 2018, un error de AWS expuso los datos de los servidores de GoDaddy, y en 2020, 28.000 cuentas de usuarios fueron vulneradas por un individuo no autorizado. Más tarde, el año pasado, GoDaddy también fue mencionado como parte de un hack que derribó una serie de sitios en el espacio de la criptomoneda.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Donate To Address
Donate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
MetaMask
Trust Wallet
Binance Wallet
WalletConnect
