Lo + Nuevo
Noticias de Ciberseguridad –
Tag

cybersecurity

Browsing
Lockbit

Capturan en Madrid al responsable de alojar el ransomware ruso Lockbit

Ley obtiene acceso a nueve servidores cruciales que podrían llevar directamente a los cabecillas del grupo de ransomware lockbit.

Escucha la noticia aquí :

En una jugada digna de una película de espías, la Guardia Civil española ha puesto fin a la escapada de un maestro del cibercrimen en el aeropuerto de Madrid-Barajas. Este personaje no es otro que uno de los cerebros detrás de Lockbit, un notorio programa malicioso de origen, se dice, ruso, que ha puesto de cabeza a más de 2.500 entidades en unos 120 países. Imagínate, ¡todo un recordatorio de que no solo las celebridades son perseguidas internacionalmente!

Cripto Casino - Stake
Conoce Stake Cripto Casino

El protagonista de nuestro thriller cibernético es un ciudadano bielorruso. Su captura en España es solo una pieza del dominó, con otros cómplices recogidos por las fuerzas del orden en Francia y Reino Unido, todo bajo la atenta mirada de Europol y una coreografía que incluye registros en 12 países.

¿Qué tan importante es este tipo? Bueno, resulta que él era el jefe del internet clandestino para Lockbit, administrando un servicio de internet que prometía anonimato y privacidad, conocido en los círculos de sombrero negro como “Bullet Proof Hosting”. Al caer él, los agentes lograron hacerse con nueve servidores cruciales que podrían llevar directamente a los cabecillas del grupo de ransomware.

Lockbit no es cualquier virus de computadora; es un innovador en el rentable mundo del ransomware, permitiendo incluso a los novatos en tecnología lanzar ciberataques desde finales de 2019. Hasta el propio Tío Sam ha puesto precio a la cabeza de su supuesto creador, Dimitry Yuryevich Khoroshev, ofreciendo la nada despreciable suma de 10 millones de dólares por información que lleve a su captura y/o condena. ¿Quién necesita la lotería con esos números?

Por si fuera poco, Lockbit, que emergió en 2019 como una especie de “franquicia” de ransomware, había llegado a lanzar cientos de ataques mensuales y a difundir los datos de aquellos que se negaban a pagar el rescate. Entre sus víctimas se cuentan gigantes como Boeing, Royal Mail, un hospital infantil en Canadá y el Banco Industrial y Comercial de China.

Después de una épica infiltración de la policía británica que desembocó en detenciones y el corte de sus servidores, parece que este episodio de “Ciberdelincuentes Sin Fronteras” podría estar llegando a su fin. Pero, como en todo buen thriller, nunca se sabe cuándo puede surgir un giro inesperado. Manténganse atentos.

Fuente (s) :

Donaciones y Apoyo

Seguir Leyendo
By
ciberseguridad

Microsoft Impedirá Keyloggers en Windows, Incluso sin Antivirus Activo

La magia de la inteligencia artificial entra en juego, permitiendo a Microsoft Defender bloquear el malware en milisegundos.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Microsoft ha anunciado que su confiable antivirus, Defender, protegerá a los usuarios de Windows 10 y Windows 11 contra esos molestos keyloggers. ¿Te suena? Esos programas sigilosos que intentan robar todo lo que escribes. Pues bien, el gigante tecnológico asegura que su software de seguridad ya está preparado para detectar y bloquear estos malwares, además de otro software malicioso que quiera echarle un vistazo a tus datos personales. Y lo mejor: la nueva versión de Microsoft Defender ahora cuenta con inteligencia artificial para detener el malware antes de que pueda hacer su trabajo sucio.

En un reciente comunicado en su blog, Microsoft explicó que la protección comienza desde el momento en que enciendes tu ordenador. Windows se vale de funciones de arranque seguro para verificar que el kernel y otros componentes del sistema no hayan sido alterados por algún hacker travieso. Así, el sistema evita que algún malware modifique la secuencia de arranque y haga de las suyas desde el principio.

Inteligencia Artificial al Rescate

La magia de la inteligencia artificial entra en juego, permitiendo a Microsoft Defender bloquear el malware en milisegundos, según la propia empresa. ¡Sí, así de rápido! El software utiliza motores de detección que, o bien impiden la ejecución del malware a simple vista, o lo aíslan si logra colarse. ¿El resultado? La nueva versión de Defender es capaz de detener no solo keyloggers, sino también esos raspadores de pantalla que, además de registrar tus pulsaciones, se toman la libertad de grabar lo que ves en tu monitor. ¿Qué siguen? ¿Espiar tu cafetera inteligente?

¿Y si Deshabilitas el Antivirus? No te Preocupes

Incluso si eres uno de esos rebeldes que decide desactivar la protección en tiempo real (quizá para darle emoción a tu vida), Microsoft afirma que Defender aún bloqueará los keyloggers. Así que, aunque desactives el antivirus, tu teclado estará a salvo de miradas indiscretas.

La compañía puso algunos ejemplos de keyloggers que han sido bloqueados en Windows por defecto. El primero trató de hacer un reconocimiento antes de ejecutarse, como un ninja mal entrenado, pero fue detenido de inmediato. El segundo fue un poco más creativo y generó archivos adicionales con comportamientos sospechosos, pero también fue bloqueado antes de que lograra algo significativo. Finalmente, en el tercer caso, un usuario permitió la ejecución del keylogger con permisos de administrador (¡claro, porque todos necesitamos aventuras!), pero incluso con eso, el malware no pudo registrar las pulsaciones ni capturar la pantalla. Microsoft: 3, Keyloggers: 0.

Keyloggers: Esos Viejos Conocidos

Por si no lo sabías, los keyloggers son programas maliciosos diseñados para registrar las teclas que presionas en tu dispositivo. Se disfrazan de archivos inofensivos y capturan todo lo que escribes: desde tu nombre de usuario y contraseña, hasta esa búsqueda embarazosa en Google que preferirías olvidar.

Lo curioso es que los keyloggers no son algo nuevo; de hecho, tienen un pasado tan oscuro como la Guerra Fría. La primera evidencia de uno de estos bichos se remonta a los años 70, cuando la Unión Soviética desarrolló un dispositivo que podía registrar las pulsaciones en una máquina de escribir eléctrica. Este primer keylogger, conocido como Selectric, afectó a las máquinas IBM que se usaban en las embajadas de EE.UU. ¡Espionaje a la vieja usanza!

Con el tiempo, los keyloggers evolucionaron en variantes de software, como Ghost y Zeus, que hicieron de las suyas en la década de 2000. Estas versiones se centraron en atacar organizaciones financieras, aunque luego decidieron expandir su mercado y empezaron a robar contraseñas y datos de usuarios comunes. Muy inclusivo de su parte.

La magia de la inteligencia artificial entra en juego, permitiendo a Microsoft Defender bloquear el malware en milisegundos.
La magia de la inteligencia artificial entra en juego, permitiendo a Microsoft Defender bloquear el malware en milisegundos.

Un Ejemplo Memorables de Keyloggers

Uno de los incidentes más sonados ocurrió en 2015, cuando hackers escondieron un keylogger en un mod de GTA V llamado Angry Planes. Este mod hacía que los pilotos fueran más agresivos, pero en realidad lo agresivo era el software escondido, que registraba toda la actividad del usuario y enviaba los datos a sus creadores. Afortunadamente, un usuario con ojo de halcón en los foros de GTA descubrió el truco y desató el caos entre los jugadores.

Según Microsoft, este tipo de amenazas ya no tendrán cabida en Windows 10 y Windows 11, incluso si decides apagar el antivirus para instalar algún software pirata (sí, te estamos mirando a ti, que todavía usas cracks para la Adobe Creative Suite). Así que, si planeabas hacer algo travieso, mejor piénsalo dos veces.

Donaciones y Apoyo

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

Desmantelan red de phishing en América Latina: más de 480.000 víctimas afectadas

Escucha lo más importante de esta noticia aquí :

En un golpe certero contra el cibercrimen, Europol y el Centro Especializado en Ciberdelincuencia de Ameripol lograron desarticular una organización criminal internacional que se dedicaba a desbloquear teléfonos móviles robados o extraviados, utilizando técnicas de phishing a través de una ingeniosa plataforma.

La banda operaba en seis países y, según los informes, dejó a su paso un rastro de cerca de medio millón de víctimas. Al menos 17 personas fueron detenidas, incluyendo cinco en Argentina, entre las que destaca el presunto líder (con las iniciales I.D.C.), quien resulta ser un viejo conocido de la justicia. Este santafesino ya había sido condenado previamente por ciberdelitos, y esta vez fue acusado de montar una plataforma para vender un servicio que ayudaba a otros delincuentes a enviar mensajes de phishing para obtener las credenciales de acceso a los dispositivos robados. Curiosamente, este “emprendedor” del cibercrimen ya había pasado tres años tras las rejas por intentar extorsionar a una diputada argentina con fotos privadas.

La organización ofrecía, por la módica suma de 120 dólares al mes, no solo un servicio para robar credenciales, sino también cursos en Telegram sobre las últimas técnicas de phishing. Todo un combo cibercriminal que incluía una falsa plataforma para iPhones llamada iServer, que hacía creer a las víctimas que estaban a punto de recuperar sus teléfonos robados. Pero, como es de esperar, todo era un engaño: los desafortunados ingresaban sus credenciales en el sitio falso, pensado para imitar el entorno de Apple, y adiós a sus datos.

El truco era más simple de lo que parece: la organización enviaba mensajes SMS haciéndose pasar por el fabricante del celular, notificando a la víctima que su teléfono robado había sido localizado. Llenos de esperanza, los damnificados accedían a la falsa plataforma iServer, introducían sus datos de acceso… y ¡zas!, caían en la trampa.

Según las autoridades, unas 483.000 personas de todo el mundo intentaron desesperadamente recuperar sus móviles y, en el proceso, fueron víctimas de esta estafa. Las principales víctimas eran hispanohablantes de países europeos, norteamericanos y sudamericanos, con Chile y Colombia encabezando la lista de afectados.

La operación, que implicó a fuerzas policiales y judiciales de España, Argentina, Chile, Colombia, Ecuador y Perú, fue el resultado de una investigación que se extendió por más de un año. Durante este tiempo, las autoridades realizaron 28 allanamientos en varios países, incautando más de 600 celulares, 8 computadoras, 34 discos duros, 53 memorias portátiles, 11 tablets, 3 vehículos, 2 armas de fuego, un dron, criptomonedas, dinero en efectivo de distintas divisas e incluso pastillas de éxtasis (porque ¿por qué no?).

En cuanto a las detenciones, 17 personas de diversas nacionalidades cayeron en manos de la justicia, con cinco arrestos en Argentina, realizados en Buenos Aires, Santa Fe, Córdoba y Jujuy. Aunque, como siempre sucede en estas historias, un sexto sospechoso argentino sigue prófugo, con orden de captura.

El cerebro detrás de esta operación de phishing llevaba activo desde 2018, y durante los últimos cinco años se dedicó a ofrecer servicios para desbloquear teléfonos móviles robados. Su plataforma se volvió un negocio muy lucrativo, atrayendo a más de 2.000 “desbloqueadores” registrados. Estos desbloqueadores vendían sus servicios a otros delincuentes que habían conseguido hacerse con teléfonos robados y necesitaban acceso a los dispositivos.

Las autoridades estiman que la red criminal desbloqueó más de 1,2 millones de teléfonos móviles. La investigación también reveló que la organización generaba ingresos de unos 250.000 dólares al año. No está nada mal para un negocio ilegal, aunque el precio fue alto para sus 483.000 víctimas.

Esta operación fue la primera en la que el Centro Europeo de Ciberdelincuencia (EC3) de Europol coordinó esfuerzos con Ameripol, lo que demostró la importancia de la colaboración internacional en la lucha contra el cibercrimen. La semana de acción, que comenzó en septiembre de 2022, fue el resultado de meses de trabajo en los que Europol proporcionó apoyo analítico a los países implicados, enviando incluso expertos sobre el terreno para facilitar las acciones policiales.

La operación Kaerb ha marcado un hito en la lucha contra las redes criminales especializadas en phishing y desbloqueo de teléfonos robados. Aunque el cibercrimen parece estar siempre un paso adelante, operaciones como esta demuestran que la colaboración internacional y el uso de tecnología avanzada pueden inclinar la balanza a favor de la justicia.

Donaciones y Apoyo

Fuente(s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
ciberseguridad

Filtran datos de 162,000 abogados tras hackeo al Poder Judicial de CDMX, en presunta represalia de la Mafia Mexicana

Filtran datos de 162,000 abogados tras hackeo al Poder Judicial de CDMX, en presunta represalia de la Mafia Mexicana
Cripto Casino - Stake
Conoce Stake Cripto Casino

La organización conocida como la “Mexican Mafia” ha llevado a cabo su amenaza al filtrar datos sensibles del Poder Judicial de la Ciudad de México (PJCDMX). Este ataque cibernético, encabezado por un hacker que se hace llamar “Pancho Villa”, ha expuesto la información personal de más de 162,000 abogados, además de datos de varios funcionarios públicos y otros usuarios del sistema judicial.

El atacante, conocido como Pancho Villa, liberó la información confidencial del PJCDMX tras un plazo de 72 horas que había dado previamente.

Entre los datos filtrados se encuentran el código fuente del sistema de citas, credenciales de acceso, correos electrónicos, contraseñas de usuarios, y detalles relacionados con reclamaciones legales, citas, asignaciones de actuarios, pensiones y recibos. Esta filtración pone en serio peligro la seguridad y privacidad de las personas afectadas.

La información ha sido divulgada en foros de hackers y está accesible para quienes compartan otras filtraciones. Entre las instituciones más afectadas destacan el Tribunal Superior de Justicia de la Ciudad de México (TSJCDMX), el Instituto Mexicano del Seguro Social (IMSS) y la Suprema Corte de Justicia de la Nación. Este ataque ha revelado importantes fallos en la ciberseguridad del PJCDMX, lo que permitió a los hackers explotar vulnerabilidades en cuestión de minutos.

El ataque se ejecutó a inicios de agosto de 2024, utilizando técnicas avanzadas de escalada de privilegios que permitieron a los hackers desplazarse lateralmente dentro del sistema y extraer información valiosa sin ser detectados. También se sospecha que emplearon malware para asegurar su permanencia dentro de la red.

Este incidente ha provocado duras críticas hacia la gestión de la ciberseguridad por parte del gobierno. Expertos en seguridad informática, como Víctor Ruiz de SILIKN, han subrayado la necesidad urgente de mejorar las medidas de protección y concienciación sobre ciberseguridad en las instituciones gubernamentales.

Además de la filtración, la Mexican Mafia ha anunciado la venta de estas bases de datos en la web oscura, lo que podría derivar en usos maliciosos de la información, como fraudes, extorsiones y manipulaciones de juicios. La creciente desconfianza en la seguridad de los sistemas gubernamentales podría complicar la relación entre los ciudadanos y el gobierno, especialmente en lo que respecta a la compartición de información personal para acceder a servicios públicos.

El gobierno de la Ciudad de México y las instituciones afectadas están trabajando para contener el daño y reforzar sus sistemas de ciberseguridad. Sin embargo, la posibilidad de más filtraciones de datos sigue siendo una preocupación, y las autoridades han aconsejado a los usuarios afectados que tomen precauciones, como cambiar sus contraseñas y estar atentos a posibles intentos de fraude a través de correos electrónicos.

Donaciones y Apoyo

Fuente (s) :

Seguir Leyendo
By
Ransomware

El grupo Amper sufre ciberataque de Black Basta: 650GB de datos privados comprometidos

Amper, víctima de ciberataque: 650 GB de datos robados por Black Basta

La empresa española de ingeniería y tecnología Amper, conocida por su labor en los sectores de defensa, seguridad, energía y telecomunicaciones, ha sufrido un significativo ciberataque. Los ciberdelincuentes se han apoderado de 650 gigabytes de datos, que incluyen información de proyectos, usuarios y empleados, como nóminas y datos financieros.

Empresa de Ingeniería y Tecnología en Riesgo

Aunque Amper aún no ha confirmado oficialmente la magnitud del ataque, se cree que el grupo de ciberdelincuentes conocido como Black Basta está detrás del incidente. Este grupo es conocido por su ‘ransomware’, una herramienta que ha causado estragos en organizaciones de todo el mundo desde su aparición en la primavera de 2022.

Black Basta: Un Actor Global en el Ransomware como Servicio (RaaS)

Black Basta ha emergido rápidamente como uno de los actores más destacados en el ámbito del ransomware como servicio (RaaS). Según el Instituto Nacional de Ciberseguridad de España (Incibe), más de 500 organizaciones a nivel global han sido afectadas, desde pequeñas empresas hasta grandes corporaciones, evidenciando la seriedad de esta amenaza.

Métodos y Herramientas Utilizadas por Black Basta

El éxito de Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos. Utilizan una combinación de herramientas y técnicas sofisticadas para infiltrarse en las redes y moverse lateralmente dentro de ellas. Entre las herramientas empleadas se encuentran:

  • SoftPerfect Network Scanner
  • BITSAdmin
  • Cobalt Strike
  • ConnectWise ScreenConnect
  • PsExec

Además, utilizan Mimikatz para la escalada de privilegios y RClone para la exfiltración de datos antes del cifrado. Para obtener privilegios elevados, aprovechan vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 y CVE-2021-42287) y PrintNightmare (CVE-2021-34527).

Técnicas de Infección y Propagación

Black Basta emplea técnicas de phishing para infiltrarse en las redes de sus objetivos. Un método común es el envío de correos electrónicos que incitan a las víctimas a descargar un archivo ZIP que contiene una imagen ISO, diseñada para evadir los mecanismos de seguridad. La imagen ISO suele incluir una DLL maliciosa infectada con Qakbot, un troyano conocido que permite a los atacantes ejecutar código malicioso en el sistema de la víctima, reduciendo las posibilidades de detección.

Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos
Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos

Una vez dentro, el malware realiza diversas acciones maliciosas, como monitorizar y registrar pulsaciones de teclas, recolectar credenciales de acceso y propagarse a otros sistemas de la red mediante técnicas de movimiento lateral. Utiliza nombres engañosos dentro de la unidad raíz, como “C:\Dell” o “C:\Intel”, para desplegar parte de su arsenal malicioso.

Relación con el Grupo FIN7

Investigaciones recientes sugieren una conexión entre Black Basta y los ciberdelincuentes rusos FIN7, también conocidos como Carbanak. SentinelLabs ha analizado varias herramientas personalizadas utilizadas por Black Basta, indicando que podrían compartir integrantes o trabajar juntos. Entre las herramientas se encuentra WindefCheck.exe, diseñada para clonar la interfaz de seguridad de Windows y mostrar falsamente que los sistemas están protegidos.

Cifrado y Desencriptado

Black Basta cifra los datos de sus víctimas utilizando una combinación de ChaCha20 y RSA-4096. Genera claves de cifrado con la función de C++ rand_s, resultando en una salida hexadecimal aleatoria. El ransomware cifra los primeros 64 bytes de cada fragmento de datos, dejando 128 bytes sin cifrar, y cambia la extensión de los archivos a ‘.basta’. Aunque existe una herramienta de descifrado llamada ‘Black Basta Buster’, basada en scripts de Python, la recuperación de archivos no siempre es posible debido a la complejidad del cifrado.

El ciberataque a Amper es un recordatorio de la creciente sofisticación de los ciberdelincuentes y la necesidad de robustecer las defensas digitales. Black Basta sigue siendo una amenaza significativa, y la relación con FIN7 solo añade más complejidad a un panorama ya de por sí desafiante. La seguridad cibernética debe ser una prioridad constante para proteger la información crítica y mantener la integridad de nuestras infraestructuras digitales.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
ciberseguridad

Increíble aumento del 700% en el robo de cuentas de WhatsApp en México

En México, especialmente la Ciudad de México, ha experimentado un aumento en el robo de cuentas de WhatsApp, con un incremento del 672%.

Aumento Alarma de 700% en el Robo de Cuentas de WhatsApp en México

En los últimos meses, México, y especialmente la Ciudad de México, ha experimentado un alarmante aumento en el robo de cuentas de WhatsApp, con un incremento del 672% en los primeros meses de 2024 en comparación con el mismo periodo del año anterior. Este fenómeno ha sido documentado por el Consejo Ciudadano para la Seguridad y Justicia (CCPSJ), que reportó un aumento de tan solo 18 casos en los primeros meses de 2023 a 139 en el mismo periodo de 2024.

Métodos de los Estafadores

Los delincuentes utilizan técnicas de ingeniería social para engañar a los usuarios y robar sus cuentas de WhatsApp. La falta de denuncias ha permitido que este tipo de delitos prospere. Uno de los métodos más comunes es el timo de los seis dígitos: los estafadores envían mensajes solicitando con engaños un código que la víctima ha recibido en su teléfono y que es necesario para iniciar sesión en WhatsApp desde otro dispositivo. Luego, contactan a las víctimas alegando que han enviado el código por error o haciéndose pasar por un familiar o amigo en apuros. Si la víctima comparte este código, pierde acceso inmediato a su cuenta. Una vez que los estafadores obtienen control de la cuenta, suelen pedir un rescate para devolverla.

Los delincuentes utilizan técnicas de ingeniería social para engañar a los usuarios y robar sus cuentas de WhatsApp.
Los delincuentes utilizan técnicas de ingeniería social para engañar a los usuarios y robar sus cuentas de WhatsApp.

Impacto y Respuesta de las Autoridades

Salvador Guerrero Chiprés, presidente del CCPSJ, ha destacado que este modelo criminal está diseñado para desalentar las denuncias. Los estafadores buscan obtener pequeñas sumas de dinero de muchas víctimas, lo que les permite generar ingresos significativos sin atraer demasiada atención.

“El 42% de las veces los montos solicitados son menores a 3,000 pesos, el 39% de las veces piden entre 3,000 y 5,000 pesos; el 7% solicita entre 15,000 y 30,000 pesos y otro 7% más de 30,000 pesos”.

Según Guerrero Chiprés, cada célula delincuencial, compuesta por tres personas, puede llegar a obtener hasta 60,000 pesos diarios si logran engañar a 20 personas con demandas de 3,000 pesos cada una.

Medidas de Protección y Prevención

Para protegerse de este tipo de estafas, es crucial tomar varias medidas de seguridad. Una de las más efectivas es habilitar la verificación en dos pasos en WhatsApp. Este sistema requiere que, además del código de seis dígitos enviado por SMS, se introduzca un código PIN previamente configurado por el usuario. De esta manera, aunque el estafador obtenga el código de seis dígitos, no podrá acceder a la cuenta sin el PIN adicional.

Además de activar la autenticación en dos pasos, se recomienda:

  • No compartir códigos de verificación: Nunca proporcionar el código de registro de WhatsApp a nadie, ni siquiera a amigos o familiares.
  • Desconfiar de mensajes sospechosos: Ser cauteloso con cualquier mensaje que solicite información personal o códigos de verificación, especialmente si proviene de un número desconocido o incluso si parece ser de un contacto conocido pero con un comportamiento inusual.
  • Evitar enlaces sospechosos: No abrir enlaces ni descargar archivos de fuentes desconocidas.
  • Reportar inmediatamente: En caso de recibir un mensaje sospechoso o ser víctima de una estafa, reportar inmediatamente a WhatsApp y a las autoridades correspondientes.

La Importancia de Denunciar

A pesar de la tendencia de no denunciar estos incidentes debido a las sumas relativamente bajas involucradas, es fundamental que las víctimas reporten los hackeos. El CCPSJ ofrece recursos para ayudar a las víctimas, como la aplicación ‘No + Extorsiones’, que cuenta con una base de datos de teléfonos dedicados a extorsionar, y un número de atención para reportar incidentes (55 5533 5533). (México)

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
Ransomware

El FBI recupera miles de claves de cifrado de LockBit y pide a las víctimas que soliciten la recuperación de sus archivos

A pesar de los esfuerzos de las autoridades para desmantelar sus operaciones, LockBit continúa activo y ha migrado a nuevos servidores.

El FBI hace un llamado a las víctimas anteriores de los ataques del ransomware LockBit para que se presenten después de anunciar que ha recuperado más de 7.000 claves de descifrado, las cuales pueden ser utilizadas para recuperar los datos cifrados sin costo alguno.

Bryan Vorndran, Director Adjunto de la División Cibernética del FBI, hizo este anuncio el miércoles durante la Conferencia de Ciberseguridad de Boston 2024.

“Como resultado de nuestras acciones continuas contra LockBit, ahora tenemos en nuestro poder más de 7.000 claves de descifrado y estamos en posición de ayudar a las víctimas a recuperar sus datos y restablecer sus sistemas”, declaró Vorndran en su discurso.

“Estamos contactando a las víctimas conocidas de LockBit y alentando a cualquier persona que sospeche haber sido afectada a que visite nuestro Centro de Denuncias de Delitos en Internet en ic3.gov”.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Este llamamiento se produce tras el desmantelamiento de la infraestructura de LockBit en febrero de 2024 en una operación internacional denominada “Operación Cronos”.

Durante esa operación, las fuerzas del orden incautaron 34 servidores que contenían más de 2.500 claves de descifrado, lo cual permitió la creación de un descifrador gratuito para el ransomware LockBit 3.0 Black.

Después de analizar los datos obtenidos, la Agencia Nacional contra el Crimen del Reino Unido y el Departamento de Justicia de Estados Unidos estiman que la organización y sus afiliados han recaudado hasta mil millones de dólares en rescates a través de 7.000 ataques dirigidos a organizaciones de todo el mundo entre junio de 2022 y febrero de 2024.

A pesar de los esfuerzos de las autoridades para desmantelar sus operaciones, LockBit continúa activo y ha migrado a nuevos servidores y dominios en la Dark Web.

Siguen atacando a víctimas globalmente y, en represalia por el reciente desmantelamiento de su infraestructura, han estado publicando grandes cantidades de datos robados, tanto antiguos como nuevos, en la dark web.

Recientemente, LockBit se atribuyó el ciberataque de abril de 2024 contra la cadena de farmacias canadiense London Drugs, después de otra operación policial que involucró al líder de la banda, un ciudadano ruso de 31 años llamado Dmitry Yuryevich Khoroshev, conocido en línea como “LockBitSupp”.

En los últimos años, varios responsables del ransomware LockBit han sido detenidos e imputados, incluyendo a Mikhail Vasiliev (noviembre de 2022), Ruslan Magomedovich Astamirov (junio de 2023), Mikhail Pavlovich Matveev alias Wazawaka (mayo de 2023), Artur Sungatov e Ivan Gennadievich Kondratiev alias Bassterlord (febrero de 2024).

El Departamento de Estado de EE.UU. ofrece ahora una recompensa de 10 millones de dólares por información que conduzca a la detención o condena de los líderes de LockBit y una recompensa adicional de 5 millones de dólares por pistas que lleven a la detención de los afiliados de LockBit.

Fuente (s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By
Ransomware

El Grupo BlackBasta Afirma Haber Hackeado a Atlas, Uno de los Mayores Distribuidores de Petróleo en EE.UU.

El grupo de extorsión BlackBasta añadió a la compañía a su lista de víctimas en su sitio de filtraciones en Tor, según un reporte.

Atlas, una de las mayores distribuidoras de combustible en EE.UU., hackeada por BlackBasta

Atlas es una de las mayores distribuidoras nacionales de combustible en 49 estados continentales de EE.UU., con más de mil millones de galones por año.

El grupo de extorsión BlackBasta añadió a la compañía a su lista de víctimas en su sitio de filtraciones en Tor, según reportó el investigador Dominic Alvieri.

El grupo afirma haber robado 730GB de datos de Atlas, incluyendo información corporativa: cuentas, recursos humanos, finanzas, datos de ejecutivos y departamentos, así como datos de usuarios y empleados.

Cripto Casino - Stake
Conoce Stake Cripto Casino

El grupo publicó una serie de documentos como prueba del hackeo, incluyendo tarjetas de identificación, hojas de datos, solicitudes de pago de nómina y una imagen de la carpeta extraída de los sistemas de la víctima.

La empresa petrolera aún no ha revelado el supuesto incidente.

Black Basta ha estado activo desde abril de 2022 y, al igual que otras operaciones de ransomware, implementa un modelo de ataque de doble extorsión.

En noviembre de 2022, investigadores de Sentinel Labs informaron haber encontrado pruebas que vinculan al grupo de ransomware Black Basta con el grupo de hackers FIN7, motivado por fines financieros.

En noviembre de 2022, expertos del equipo de Cybereason Global SOC (GSOC) observaron un aumento en las infecciones de Qakbot como parte de una campaña agresiva de malware que lleva a infecciones de ransomware Black Basta en EE.UU.

La cadena de ataque comienza con una infección de QBot. Los operadores usan la herramienta de post-explotación Cobalt Strike para tomar el control de la máquina y finalmente desplegar el ransomware Black Basta. Los ataques comienzan con un correo electrónico de spam/phishing que contiene enlaces URL maliciosos.

Los investigadores notaron que una vez obtenida la accesibilidad a la red, el actor de la amenaza se mueve extremadamente rápido. En algunos casos observados por Cybereason, el actor de la amenaza obtuvo privilegios de administrador de dominio en menos de dos horas y desplegó el ransomware en menos de 12 horas.

Fuente (s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By
ciberseguridad

El FBI Desmantela BreachForums: El Foro de Leaks de Hackers Más Popular

Según la declaración publicada por las fuerzas del orden en el sitio breachforums.ic3.gov, el FBI está investigando los foros de hackers conocidos como BreachForums y Raidforums.

Una operación internacional de las fuerzas del orden, coordinada por el FBI, resultó en la incautación del infame foro de hackers BreachForums.

Este foro de ciberdelincuencia era utilizado por actores malintencionados para comprar, vender e intercambiar datos robados, incluyendo credenciales e información personal y financiera. Las autoridades también incautaron la página de Telegram asociada al foro de hackers.

Actualmente, el sitio web muestra un mensaje informando a los visitantes de su incautación por parte de las autoridades.
Actualmente, el sitio web muestra un mensaje informando a los visitantes de su incautación por parte de las autoridades.

Actualmente, el sitio web muestra un mensaje informando a los visitantes de su incautación por parte de las autoridades. El sitio también exhibe los logotipos de las agencias de seguridad involucradas en la operación, incluidas la NCA del Reino Unido, la Policía Federal Australiana, la Policía de Nueva Zelanda y la policía suiza.

“Este sitio web ha sido desmantelado por el FBI y el Departamento de Justicia con la asistencia de socios internacionales”, se lee en el mensaje publicado en el sitio incautado. “Estamos revisando los datos del backend del sitio. Si tiene información sobre actividades cibercriminales en BreachForums, por favor contáctenos”.

Según la declaración publicada por las fuerzas del orden en el sitio breachforums.ic3.gov, el FBI está investigando los foros de hackers conocidos como BreachForums y Raidforums.
Según la declaración publicada por las fuerzas del orden en el sitio breachforums.ic3.gov, el FBI está investigando los foros de hackers conocidos como BreachForums y Raidforums.

Según la declaración publicada por las fuerzas del orden en el sitio breachforums.ic3.gov, el FBI está investigando los foros de hackers conocidos como BreachForums y Raidforums.

Desde junio de 2023 hasta mayo de 2024, BreachForums (hospedado en breachforums.st/.cx/.is/.vc) fue administrado por el notorio actor ShinyHunters.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Desde marzo de 2022 hasta marzo de 2023, una versión separada de BreachForums (hospedada en breached.vc/.to/.co) fue gestionada por el actor de amenazas Pompompurin. En julio de 2023, el propietario de BreachForums, Conor Brian Fitzpatrick, alias Pompompurin, se declaró culpable de cargos de hacking.

En marzo de 2023, las fuerzas del orden estadounidenses arrestaron a Pompompurin; los agentes pasaron horas dentro y fuera de la casa del sospechoso y fueron vistos retirando varias bolsas de evidencia de la vivienda.

El hombre ha sido acusado de solicitar individuos con el propósito de vender dispositivos de acceso no autorizados. Fitzpatrick fue liberado bajo una fianza de $300,000 firmada por sus padres.

El foro de hackers BreachForums se lanzó en 2022 después de que las autoridades incautaran RaidForums como resultado de la Operación TORNIQUETE. Pompompurin siempre declaró que él “no estaba afiliado con RaidForums de ninguna manera.”

BingX exchange confiable de Criptomonedas

RaidForums (hospedado en raidforums.com y gestionado por Omnipotent) fue el foro de hacking predecesor de ambas versiones de BreachForums y funcionó desde principios de 2015 hasta febrero de 2022.

Las personas que tengan información que pueda ayudar en las investigaciones contra BreachForums v2, BreachForums v1, o Raidforums pueden llenar el cuestionario en el sitio web.

Fuente (s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By
ciberseguridad

Plugin LiteSpeed Cache para WordPress está siendo explotado activamente por hackers en entornos reales

Un usuario no autenticado puede explotar esta vulnerabilidad para elevar privilegios mediante solicitudes HTTP especialmente diseñadas. WPScan reportó que los actores de amenazas podrían inyectar un script malicioso en versiones vulnerables del complemento LiteSpeed.

“Black Hat Hackers” (Actores de amenazas) están explotando una vulnerabilidad crítica en el complemento LiteSpeed Cache para WordPress, permitiendo tomar control de sitios web. Investigadores de WPScan informaron que esta vulnerabilidad de alta gravedad está siendo aprovechada activamente.

BingX exchange confiable de Criptomonedas

LiteSpeed Cache para WordPress (LSCWP) es un complemento integral de aceleración de sitios que incluye una caché a nivel de servidor y un conjunto de características de optimización. Este complemento cuenta con más de 5 millones de instalaciones activas. La vulnerabilidad, identificada como CVE-2023-40000 con un puntaje CVSS de 8.3, se refiere a la Neutralización Inadecuada de la Entrada Durante la Generación de Páginas Web (‘Cross-site Scripting’ o XSS), permitiendo un XSS almacenado.

Los atacantes han explotado esta vulnerabilidad para crear cuentas de administrador falsas en sitios vulnerables, bajo los nombres de usuario wpsupp‑user y wp‑configuser. Al crear cuentas de administrador, los actores de amenazas pueden obtener control total sobre el sitio web. Patchstack descubrió la vulnerabilidad de XSS almacenado en febrero de 2024.

Las URLs maliciosas a menudo incluyen https[:]//dns[.]startservicefounds.com/service/f[.]php, https[:]//api[.]startservicefounds[.]com, https[:]//cache[.]cloudswiftcdn[.]com. Ten cuidado con las IPs asociadas con el malware, como la 45.150.67.235. El malware JavaScript remoto decodificado frecuentemente crea usuarios administradores como wpsupp‑user:
Las URLs maliciosas a menudo incluyen https[:]//dns[.]startservicefounds.com/service/f[.]php, https[:]//api[.]startservicefounds[.]com, https[:]//cache[.]cloudswiftcdn[.]com. Ten cuidado con las IPs asociadas con el malware, como la 45.150.67.235. El malware JavaScript remoto decodificado frecuentemente crea usuarios administradores como wpsupp‑user:

Un usuario no autenticado puede explotar esta vulnerabilidad para elevar privilegios mediante solicitudes HTTP especialmente diseñadas. WPScan reportó que los actores de amenazas podrían inyectar un script malicioso en versiones vulnerables del complemento LiteSpeed. Los investigadores observaron un aumento en el acceso a una URL maliciosa el 2 y el 27 de abril.

Las direcciones IP más comunes que probablemente estaban escaneando sitios vulnerables fueron 94.102.51.144, con 1,232,810 solicitudes, y 31.43.191.220, con 70,472 solicitudes.

La vulnerabilidad se corrigió en octubre de 2023 con la liberación de la versión 5.7.0.1.

Los investigadores proporcionaron indicadores de compromiso para estos ataques, incluyendo URLs maliciosas involucradas en la campaña: https[:]//dns[.]startservicefounds.com/service/f[.]php, https[:]//api[.]startservicefounds[.]com, y https[:]//cache[.]cloudswiftcdn[.]com. También recomiendan estar alerta a IPs asociadas con el malware, como 45.150.67.235.

Fuente(s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By