Lo + Nuevo
Tag

Noticias hackers

Browsing

Escucha la principal información de esta noticia aqui :

Los actores maliciosos vinculados al grupo de ransomware RansomHub han encriptado y exfiltrado datos de al menos 210 víctimas desde su aparición en febrero de 2024, según informó el gobierno de EE.UU.

Las víctimas abarcan varios sectores, incluidos los servicios de agua y aguas residuales, tecnología de la información, servicios y facilidades gubernamentales, salud pública, servicios de emergencia, alimentos y agricultura, servicios financieros, instalaciones comerciales, manufactura crítica, transporte, y comunicaciones en infraestructuras críticas.

“RansomHub es una variante de ransomware como servicio (RaaS), anteriormente conocida como Cyclops y Knight, que se ha establecido como un modelo de servicio eficiente y exitoso, atrayendo recientemente a afiliados de alto perfil de otras variantes prominentes como LockBit y ALPHV,” señalaron las agencias gubernamentales.

RansomHub ha ganado popularidad en el mundo del cibercrimen, especialmente después de una serie de acciones legales que han afectado a otros grupos de ransomware. Según un análisis de ZeroFox, la actividad de RansomHub representó aproximadamente el 2% de todos los ataques de ransomware observados en el primer trimestre de 2024, aumentando a un 5.1% en el segundo trimestre y alcanzando un 14.2% en lo que va del tercer trimestre.

“Alrededor del 34% de los ataques de RansomHub han tenido como objetivo organizaciones en Europa, en comparación con un 25% en el panorama general de amenazas,” observó la empresa.

Este grupo es conocido por utilizar el modelo de doble extorsión, que implica la exfiltración de datos y la encriptación de sistemas para presionar a las víctimas a pagar el rescate. Las empresas objetivo que se niegan a pagar ven su información publicada en un sitio de fugas de datos por un período de entre tres y 90 días.

El acceso inicial a los entornos de las víctimas se logra explotando vulnerabilidades conocidas en dispositivos como Apache ActiveMQ, Atlassian Confluence Data Center y Server, Citrix ADC, F5 BIG-IP, Fortinet FortiOS, y Fortinet FortiClientEMS, entre otros.

Después de obtener acceso, los afiliados de RansomHub realizan un reconocimiento y escaneo de la red utilizando herramientas como AngryIPScanner y Nmap, además de otros métodos conocidos como “living-off-the-land” (LotL). Los ataques de RansomHub también incluyen desactivar software antivirus utilizando herramientas personalizadas para evitar ser detectados.

“Tras el acceso inicial, los afiliados de RansomHub crearon cuentas de usuario para mantener el acceso, reactivaron cuentas deshabilitadas y utilizaron Mimikatz en sistemas Windows para obtener credenciales y escalar privilegios al nivel de SISTEMA,” según el informe del gobierno de EE.UU.

Los ataques de RansomHub también se caracterizan por el uso de cifrado intermitente para acelerar el proceso, y la exfiltración de datos se realiza mediante herramientas como PuTTY, Amazon AWS S3 buckets, solicitudes HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit, entre otros métodos.

Este desarrollo se produce mientras Palo Alto Networks Unit 42 ha desentrañado las tácticas asociadas con el ransomware ShinyHunters, conocido como Bling Libra, destacando su cambio hacia la extorsión directa de las víctimas en lugar de vender o publicar los datos robados.

El grupo Bling Libra, que apareció en 2020, adquiere credenciales legítimas, obtenidas de repositorios públicos, para acceder inicialmente al entorno de Amazon Web Services (AWS) de una organización. A pesar de que los permisos asociados con las credenciales comprometidas limitaron el impacto de la brecha, Bling Libra logró infiltrarse en el entorno de AWS y realizó operaciones de reconocimiento.

Además, se observa una evolución significativa en los ataques de ransomware, que han avanzado más allá de la simple encriptación de archivos para emplear estrategias de extorsión multifacéticas, incluso utilizando esquemas de triple y cuádruple extorsión.

“La extorsión triple aumenta la presión, amenazando con medios adicionales de disrupción más allá de la encriptación y exfiltración,” señaló SOCRadar.

“Esto podría implicar la realización de un ataque DDoS contra los sistemas de la víctima o extender amenazas directas a los clientes, proveedores u otros asociados de la víctima para causar daños operativos y reputacionales adicionales a los objetivos finales en el esquema de extorsión.”

La extorsión cuádruple aumenta aún más la presión contactando a terceros con relaciones comerciales con las víctimas y extorsionándolos, o amenazando con exponer datos de terceros para aumentar la presión sobre la víctima para que pague.

La naturaleza lucrativa de los modelos RaaS ha impulsado un aumento en nuevas variantes de ransomware como Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye e Insom. Además, ha llevado a que actores del estado iraní colaboren con grupos conocidos como NoEscape, RansomHouse y BlackCat a cambio de una parte de los ingresos ilícitos.

Donaciones y Apoyo

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino

El grupo ALPHV,  aseguran haber hackeado Ring, la división de timbres, cámaras de seguridad y alarmas de Amazon, mediante un ataque de ransomware. Afirman haber obtenido datos privados y amenaza con publicarlos si la compañía no paga un rescate.

BingX exchange confiable de Criptomonedas

Como amenaza, ALPHV ha compartido en su sitio web una publicación en la que aparece una imagen del logotipo de Ring junto al asunto “Ring: sistemas de seguridad” y la frase “siempre hay una opción para permitirnos filtrar sus datos”. Según informa Vice, los empleados de Amazon han pedido a través de mensajes internos que no compartan información relacionada con este asunto. “No discutas nada sobre esto. Los equipos de seguridad adecuados están comprometidos”, ha escrito uno de los trabajadores.

Se desconoce, eso sí, qué datos han podido obtener ALPHV a través del ataque de ransomware a Ring. Es probable que entre la información se encuentren grabaciones de cámaras de seguridad, timbres y alarmas, así como información interna de la compañía. 

Ring no admite si fué hackeado,a pesar de que la crypto pandilla de Ransomware Alphv publica el ataque

El lunes, el grupo de hackers ransomware ALPHV incluyó al fabricante de videoporteros Ring como víctima en su oscuro sitio web. “Siempre hay una opción para permitirnos filtrar sus datos”, escribió el grupo vinculado a Rusia junto con la lista, vista por TechCrunch.

No se sabe a qué datos específicos tiene acceso ALPHV, y la crypto pandilla no ha compartido ninguna evidencia de robo de datos.

En una declaración dada a TechCrunch, la portavoz de Ring, Emma Daniels, dijo que la compañía actualmente “no tiene indicios de que Ring haya experimentado un evento de ransomware”, pero no dijo si la compañía tiene la capacidad técnica, como registros, para detectar si se usó algún dato. accedido o exfiltrado.

Según un comunicado compartido con Vice, Ring dijo que estaba al tanto de que un proveedor externo había sido objeto de un ataque de ransomware y que está trabajando con la empresa, que supuestamente no tiene acceso a los registros de los clientes, para obtener más información. Cuando TechCrunch lo contactó nuevamente, Daniels se negó a confirmar la violación de terceros o nombrar al proveedor involucrado, pero tampoco lo disputó.

Vice informa que el enlace a su informe se compartió en uno de los canales internos de Slack de Amazon junto con una advertencia: “No discuta nada sobre esto. Los equipos de seguridad adecuados están comprometidos”.

Al igual que otros grupos de ransomware, ALPHV no solo encripta los datos de la víctima, sino que primero los roba, con el objetivo de extorsionar a la víctima amenazándola con liberar los datos robados.

ALPHV, a menudo denominado BlackCat, ganó prominencia por primera vez en 2021 como uno de los primeros grupos de ransomware en utilizar el lenguaje de programación Rust y el primero en crear una búsqueda de datos específicos robados a sus víctimas. Otras víctimas de ALPHV incluyen Bandai Namco, Swissport y la Universidad Tecnológica de Munster (MTU) en Irlanda.

No es la primera vez que Ring sufre un hackeo

No es la primera vez, además, que Ring sufre un hackeo de estas características. En 2019, de hecho, la compañía fue demandada por una serie de ciberataques que afectaron a más de 3.000 clientes. Incluso fueron capaces de conectarse a la cámara de vigilancia del dormitorio de unos niños y hablar a través de ella. El hackeo, organizado a través de un servidor de Discord fue posible gracias al acceso a los sistemas a través de credenciales obsoletas. Amazon alegó que el problema fue el uso de contraseñas débiles por parte de los usuarios.Ring, reiteramos, era una startup especializada en dispositivos de seguridad inteligentes, tales como cámaras, timbres y alarmas. Fue comprada por Amazon en 2018 por 1.000 millones de dólares. Ahora, los productos de la marca pertenecen a la compañía fundada por Jeff Bezzos, y están disponibles en el portal con algunas funciones desarrolladas por la propia Amazon, como la compatibilidad con Alexa

 Por su parte, ALPHV es un grupo de ciberdelincuentes aparentemente vinculado a Rusia, y conocido por realizar hackeos a través de ransomwarede una magnitud considerable. Entre ellos, al de una red de atención médica de Estados Unidos. Los atacantes llegaron a publicar en su web fotografías de pacientes con cáncer e información médica como amenaza para exigir un rescate. ALPHV también ha hackeado los sistemas de la Universidad Tecnológica de Munster (MTU), en Irlanda, con 6 GB de datos en los que se incluye información de empleados y sus nóminas. 

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino

Europol informa que tomó el control de la infraestructura del grupo de Ransomware Hive en una operación internacional en la que participaron autoridades de 13 países. La acción fue coordinada por Europol junto a fuerzas de seguridad de Estados Unidos (Departamento de Justicia, FBI y el Servicio Secreto), Alemania (Policía Federal y la Policía de Reutlingen) y Países Bajos (Unidad nacional del crimen tecnológico).

hive ransomware grupo cibercriminal
HiveLeaks – Hiveransomware

  • La operación tomó el control de varios servidores y el sitio web utilizado por el grupo de ransomware para la comunicación entre sus miembros y para publicar el nombre y los datos robados de la s víctimas, lo que impide al grupo llevar adelante sus ataques extorsivos.
  • Todo comenzó en julio de 2022, cuando el FBI se infiltró en la red informática de Hive, robó las claves de descifrado y las utilizó para ayudar a víctimas en distintas partes del mundo para que puedan recuperar sus archivos, evitando el pago de 130 millones de dólares en rescates, informó el Departamento de Justicia de Estados Unidos.
BingX exchange confiable de Criptomonedas
  • Durante los seis meses posteriores al acceso a los servidores de Hive las fuerzas de seguridad comenzaron a monitorear sus operaciones para conocer cómo operaban. Así el FBI proporcionó las claves de descifrado a unas 300 víctimas de Hive y a más de 1000 compañías que habían sido víctimas de este ransomware previamente.

Operación policial internacional

El anuncio conjunto por parte de Europol y el Departamento de Justicia de los Estados Unidos donde se anunciaba que el sitio de Tor del ransomware Hive relacionado con los pagos de los rescates y la publicación de la información robada de sus víctimas. Esto concluía una operación de varios meses en los cuales el FBI consiguió infiltrarse en la infraestructura usada por este grupo criminal y que terminó colocando un aviso en la web de los delincuentes dentro de la red Tor.

Noticia FBI Hive Ransomware
Noticia FBI Hive Ransomware

Esta infiltración dentro da la infraestructura permitió a las fuerzas policiales, entre las que se incluye la Policía Nacional española, aprender como se preparaban los ataques y avisar a las posibles víctimas. Así mismo, también ha permitido obtener las claves de cifrado de los sistemas atacados y proporcionárselas a las víctimas sin necesidad de que estas realicen un pago a los delincuentes, lo que ha permitido ahorrar hasta 130 millones de dólares en rescates.

Impacto Mundial del Hive Ransomware
Impacto Mundial del Hive Ransomware

La coordinación de las agencias policiales ha permitido avisar a posibles víctimas de este grupo criminal en varios países, con Europol facilitando el intercambio de información, coordinando las operaciones y proporcionando soporte analítico que relacionaba los datos encontrados con varios casos criminales en todo el mundo. Además, ha apoyado a los diferentes grupos policiales con las investigaciones relacionadas con el rastreo de las criptomonedas usadas en el pago de los rescates, el descifrado de los archivos afectados y en los análisis forenses.

Por su parte, el Departamento de Estado de los Estados Unidos ha ofrecido una recompensa de hasta 10 millones de dólares para cualquiera que aporte información que pueda ayudar a relacionar las acciones del grupo de ransomware Hive (o cualquier otro grupo similar) con gobiernos extranjeros.

Recompensa Hive Ransomware
Recompensa Hive Ransomware

Este golpe representa un importante avance en la lucha contra los grupos de ransomware que ofrecen sus amenazas como un servicio. Recordemos que Hive fue lanzado en Junio de 2021 y, desde entonces ha protagonizado algunos ataques importantes a empresas de todos los tamaños e incluso a algún estado.

Como queda la situación del ransomware tras el desmantelamiento de Hive

Entre los ataques reconocidos de Hive encontramos algunos destacados como los que afectaron a Mediamarkt, la empresa energética Tata o la ONG Memorial Health System, sin olvidar que también estuvo involucrado en los ataques a Costa Rica. Según un informe del FBI publicado el pasado mes de noviembre, se calcula que los delincuentes habrían obtenido hasta esa fecha alrededor de 100 millones de dólares.

También debemos recordar la operación realizada a principios de verano del 2022 que permitió a la policía de Corea del Sur publicar un descifrador gratuito para las versiones 1 a 4 de este ransomware. Desde entonces, la actividad del grupo descendió considerablemente, tal y como podemos observar en el siguiente gráfico elaborado por Darkfeed, donde otras familias como BlackCat, Royal y, sobre todo, Lockbit, han cobrado mucho más protagonismo durante los últimos meses.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino

La guerra parece haber evolucionado con los tiempos y ahora es una ciberguerra. Después del grave ciberataque a múltiples webs del gobierno de Ucrania, en un aparente intento de detener la escalada de tropas rusas cerca de la frontera con Ucrania, un grupo hacktivista “prodemocrático” afirma haber hackeado el sistema ferroviario bielorruso, supuestamente uno de los conductos para llevar tanques y armamento a la región. El incidente se produce cuando las fuerzas rusas y aliadas de la OTAN continúan discutiendo sobre el futuro político de Ucrania, lo que aumenta el riesgo de guerra.

Hackean con ransomware la red ferroviaria de Bielorrusia para bloquear a las tropas rusas

  •     Es la primera vez que se utiliza un ataque de ransomware en un conflicto de estas características.   

Un grupo de hacktivistas asegura en su canal de Telegram haber implantado un ransomware en la red privada del ferrocarril de Bielorrusia en un intento de detener la exportación de personal y material militar de Rusia hacia Ucrania. Un ataque nada común en conflictos de estas características que, pese a que todavía no ha sido confirmado oficialmente, ha ocasionado una caída en varios servicios de la web del ferrocarril, según reportes. 

Bielorrusia, que se encuentra al norte de Ucrania, se considera un aliado clave del Kremlin en el conflicto en curso y ha visto una escalada de soldados y armamento rusos mientras las dos naciones se preparan para los próximos ejercicios militares conjuntos. Los expertos estadounidenses han acusado a Rusia de utilizar Bielorrusia y esos ejercicios como excusa para “rodear” militarmente a Ucrania.

En una publicación en su canal de Telegram el lunes, el grupo hacktivista conocido como Cyber ​​​​Partisans afirmó haber infectado el sistema ferroviario de la nación con ransomware en un intento de disuadir nuevas transferencias de armamento.También publicaron supuestas imágenes de los archivos comprometidos en el ataque y exigieron la liberación de numerosos “prisioneros políticos”, que dijeron habían sido encarcelados ilegítimamente por el gobierno.

“El gobierno continúa reprimiendo el libre albedrío de los bielorrusos, encarcelando a personas inocentes, continúa reteniendo ilegalmente a miles de presos políticos”, dijeron  a Ars Technica. También condenaron al gobierno por permitir que “tropas de ocupación” entraran en su tierra, aparentemente una referencia a Rusia.

Cyber ​​​​Partisans

No es el primer ataque sonado del grupo, los Activistas “Belarusian Cyber partisans” hackearon en agosto de 2021, los servidores de la Policía y Ministerio del Interior de Bielorrusia

  • – BD datos personales de ciudadanos bielorrusos, y agentes del KGB
  • – Historial llamadas emergencia de los últimos 10 años
  • – BD completa Policía

Se dice que Partisans, que se autodenomina “prodemocracia”, está compuesto por personal de seguridad bielorruso descontento. Anteriormente ha sido vinculado a supuestas operaciones de hacking y filtraciones dirigidas al gobierno del presidente Alexander Lukashenko, el líder actual del país.

Uno de los primeros en detectar el aparente hackeo ferroviario fue Franak Viačorka, periodista y asesor político de la líder de la oposición bielorrusa y “activista pro democracia” Sviatlana Tsikhanouskaya.

Viacorka, quien también trabajó con el Atlantic Council y es analista de medios de la Agencia de Medios Globales de EE. UU., dijo a Gizmodo que se enteró del ataque cibernético directamente de los “trabajadores ferroviarios”. Viacorka calificó la “escala” del ataque como “enorme” y dijo que espera que pronto haya una “declaración oficial” sobre el incidente, ya que “algunos servicios ferroviarios no funcionan”.

Por el momento, el ataque de ransomware ha afectado seriamente a la web del ferrocarril de Bielorrusia, impidiendo la compra o validación de los billetes, así como el acceso a diferentes servicios. También parecen haber interrumpido la circulación de algunos trenes de mercancías. Sin embargo, no hay confirmación oficial de que este hackeo haya afectado a la circulación del personal militar de Rusia. El grupo de hacktivistas ha compartido varias capturas de pantalla que demuestran que poseen control del servicio. 

Si bien no parece haber ningún reconocimiento oficial del ataque por parte del gobierno bielorruso, una notificación de la empresa de ferrocarriles a los viajeros el lunes anunció que ciertas dificultades “técnicas” estaban causando problemas en la prestación de servicios electrónicos:

“Por razones técnicas, los recursos web de referencia de los Ferrocarriles de Bielorrusia y los servicios para emitir documentos de viaje electrónicos no están disponibles temporalmente”, anunció la empresa ferroviaria. “Para organizar viajes y devolver los documentos de viaje electrónicos, comuníquese con la oficina de billetes”.

Si bien esto por sí solo no confirma las afirmaciones de los hacktivistas, ciertamente suena a uno de los efectos secundarios clásicos de un ataque de ransomware.

El enfrentamiento en curso en Ucrania entre las fuerzas rusas y pro-OTAN ha llegado al punto en que, según algunos, las disputas políticas corren el riesgo de convertirse en una confrontación armada. La acumulación de 100.000 soldados rusos en la frontera de Ucrania ha aumentado las tensiones y ha llevado a los funcionarios estadounidenses a acusar a Putin de querer invadir el país vecino.

Más relevante aún son los múltiples ataques cibernéticos dirigidos a Ucrania durante las últimas dos semanas, un hecho que se ha sumado al creciente conflicto. Esto incluye un ataque de defacing el 14 de enero en casi 80 sitios web del gobierno ucraniano que fue atribuido a grupos conectados con la inteligencia bielorrusa. Esto hace que el momento del incidente ferroviario, poco más de una semana después, resulte interesante.

Cyber ​​Partisans escribió en Telegram el lunes que había hackeado el sistema ferroviario para desafiar al presidente bielorruso Lukashenko, a quien llamó “terrorista”:

BelZhD al mando del terrorista Lukashenko estos días permite que las tropas de ocupación entren en nuestra tierra. Como parte de la campaña cibernética “Peklo”, ciframos la mayor parte de los servidores, bases de datos y estaciones de trabajo de BelZhD para ralentizar e interrumpir el funcionamiento de los ferrocarriles. Las copias de seguridad han sido destruidas.

Afirmaron que “los sistemas de automatización y seguridad NO se vieron afectados deliberadamente para evitar situaciones de emergencia”

Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!


Escucha la noticia dando click en el audio 🙂

Estados Unidos había ofrecido una recompensa de hasta $ 10 millones (£ 7,3 millones) por información que conduzca a los pandilleros, luego de ataques de ransomware.

La oficina de inteligencia de Rusia FSB dijo que el grupo había “dejado de existir”.

Sin embargo, no parece que ningún miembro ruso de la pandilla sea extraditado a Estados Unidos.

La agencia dijo que había actuado después de que Estados Unidos le proporcionara información sobre la pandilla REvil.

Las autoridades en Rusia dicen que han desmantelado el grupo criminal de ransomware REvil y acusado a varios de sus miembros.

Según el servicio de noticias estatal ruso Tass, REvil “desarrolló software malicioso” y “organizó el robo de dinero de las cuentas bancarias de ciudadanos extranjeros”.

El FSB dijo que había incautado más de 426 millones de rublos (4 millones de libras esterlinas), incluidas alrededor de 440 000 libras esterlinas en criptomonedas.

También incautó más de 20 “automóviles premium” que habían sido comprados con el producto del delito.

“La asociación criminal organizada ha dejado de existir y la infraestructura de información utilizada con fines delictivos fue neutralizada”, dijo el FSB en un comunicado.

El anuncio de Rusia se produce durante un enfrentamiento entre Estados Unidos y Rusia.

Moscú exige garantías occidentales, incluida la de que la OTAN no se expandirá más. También ha acumulado sus tropas cerca de la frontera con Ucrania.

Estos arrestos son un momento monumental en el cibercrimen y las ciberrelaciones entre EE. UU. y Rusia.

Durante años, Rusia ha ignorado y negado las acusaciones de que a los piratas informáticos de ransomware rusos se les permite un puerto seguro en el país para atacar objetivos occidentales.

En su Cumbre de Ginebra del verano pasado, el presidente de Rusia, Putin, y el presidente de los Estados Unidos, Biden, acordaron abrir debates sobre cómo combatir el flagelo del ransomware, pero incluso los expertos más optimistas se dieron por vencidos al ver que las conversaciones fructificaban.

Que las autoridades rusas arresten a la pandilla REvil en suelo ruso es un gran resultado que pocos hubieran previsto.

Aunque en gran parte se disolvió desde septiembre del año pasado, REvil fue una de las pandillas de ransomware más prolíficas, y este arresto envía un gran mensaje a los equipos rusos de ciberdelincuencia: la fiesta ha terminado.

La operación también es la primera vez en años que EE. UU. y Rusia colaboran en una operación de ciberdelincuencia.

Puede apuntar a un deshielo de las relaciones, que ya se celebra ampliamente en el mundo de la seguridad cibernética.

Fuente (s) :

Como funciona Ransomware ?

Créditos Música :

Beach by KV | https://www.youtube.com/c/KVmusicprod
Music promoted by https://www.free-stock-music.com
Attribution 4.0 International (CC BY 4.0)
https://creativecommons.org/licenses/by/4.0/