Lo + Nuevo
Noticias de Ciberseguridad –
Tag

Ransomware

Browsing
Ransomware

RansomHub: El grupo de hackers detrás de la filtración masiva de datos del gobierno de México

Sheinbaum enfrenta su primer hackeo: información confidencial de la Consejería de la Presidencia en manos de ciberdelincuentes

El grupo de ransomware RansomHub liberó 313 gigabytes de información confidencial en la Dark Web. Este ataque, dirigido a la Consejería Jurídica del Ejecutivo Federal (CJEF), representa un desafío sin precedentes para la administración de Claudia Sheinbaum.

El grupo de ransomware RansomHub liberó 313 gigabytes de información confidencial en la Dark Web.
El grupo de ransomware RansomHub liberó 313 gigabytes de información confidencial en la Dark Web.

¿Qué información fue secuestrada?

Según Víctor Ruiz, CEO de la empresa de ciberseguridad SILIKN, los datos robados incluyen contratos, información administrativa, datos financieros, correos electrónicos y hasta detalles personales de funcionarios federales. Vamos, todo lo que cualquier villano de película pediría como “combo completo” en un atraco cibernético.

Ruiz calificó el hackeo como un golpe crítico debido al papel estratégico de la CJEF, encargada del área legal de la Presidencia de la República. “Esto es gravísimo no solo por la naturaleza de la información, sino porque abre las puertas a otros ataques en dependencias gubernamentales”, advirtió. O sea, como si hubieran dejado la puerta trasera abierta y una luz de neón que dice “Bienvenidos, hackers”.

El modus operandi de RansomHub

RansomHub, un grupo de ciberdelincuentes con conexiones rusas y miembros globales, parece haberse graduado con honores en el arte del ransomware. Se originó en 2024, una “startup” del crimen, si se quiere, compuesta por desertores de BlackCat, un grupo desmantelado por el FBI. Su modelo de negocio, porque sí, tienen “business model”, se basa en el Ransomware como Servicio (RaaS), donde bloquean sistemas y exigen rescates jugosos en criptomonedas. Nada como el olor del dinero digital fresco por la mañana.

atos robados incluyen contratos, información administrativa, datos financieros, correos electrónicos y hasta detalles personales de funcionarios federales.
atos robados incluyen contratos, información administrativa, datos financieros, correos electrónicos y hasta detalles personales de funcionarios federales.

El CEO de SILIKN detalló que la cuenta regresiva para la filtración está visible en el sitio web del grupo, añadiendo un dramatismo digno de un episodio de “24”. ¿El rescate? Un misterio aún sin resolver, aunque es seguro que no están pidiendo frijoles.

“¡Sorpresa, es un PDF malicioso!”

El grupo de hackers ransomhub utiliza correos de phishing con archivos maliciosos de PDF o documentos de Word
El grupo de hackers ransomhub utiliza correos de phishing con archivos maliciosos de PDF o documentos de Word

El grupo utiliza estrategias clásicas pero efectivas para sus ataques, como correos de phishing con archivos disfrazados de PDF o documentos de Word. La ironía, claro, es que estos archivos suelen llevar títulos mundanos como “Agenda de reuniones” o “Informe presupuestal”, cuando en realidad son más tóxicos que un ex en Año Nuevo.

La estrategia empresarial del crimen

Si creías que estos hackers operan en sótanos desordenados, piénsalo de nuevo. RansomHub tiene un sistema de reclutamiento tan meticuloso que podría hacer envidiar a cualquier corporativo. Los aspirantes deben presentar pruebas de sus “habilidades”, incluyendo capturas de pantalla de pagos recibidos o balances de criptomonedas. Además, el reparto de ganancias es generoso: los afiliados se quedan con el 90%, mientras que los cerebros del grupo retienen solo el 10%. Vamos, casi un trato de Silicon Valley.

¿Qué puede hacer el gobierno?

Este ataque no solo pone en jaque la seguridad del gobierno de Sheinbaum, sino que también sirve como un recordatorio incómodo de lo vulnerables que son las instituciones públicas frente a los cibercriminales.
Este ataque no solo pone en jaque la seguridad del gobierno de Sheinbaum, sino que también sirve como un recordatorio incómodo de lo vulnerables que son las instituciones públicas frente a los cibercriminales.

El ataque plantea preguntas incómodas sobre la preparación en ciberseguridad del gobierno mexicano, que ya sufrió un hackeo en 2023 por el grupo Guacamaya. Más allá del pago del rescate, expertos como Ruiz instan a una serie de medidas preventivas, desde realizar copias de seguridad periódicas hasta capacitar a empleados para detectar intentos de phishing. Claro, siempre está la opción de rezar a todos los santos digitales, pero no parece una estrategia muy efectiva.

Otros jugadores en el juego del ransomware

Aunque RansomHub está ganando notoriedad, no está solo en esta “liga de villanos”. Otros grupos como 8Base, NoEscape, y LockBit también están en el radar de las autoridades. La competencia entre estos grupos es feroz, pero irónicamente no tienen premios ni galardones, salvo el ocasional titular en las noticias.

Este ataque no solo pone en jaque la seguridad del gobierno de Sheinbaum, sino que también sirve como un recordatorio incómodo de lo vulnerables que son las instituciones públicas frente a los cibercriminales. Mientras tanto, el tiempo corre, el contador sigue bajando y los hackers se preparan para el “gran estreno” de datos confidenciales en la Dark Web. Un final que, esperemos, no sea tan explosivo como parece.

Donaciones y Apoyo

Fuente(s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
Ransomware

Hackers de Ransomhub exponen 206 GBs de datos sensibles de Gobierno de México

los datos incluyen información sobre contratos gubernamentales, registros financieros, datos personales y hasta fotografías de empleados.

Hace pocos días, el grupo de ransomware RansomHub volvió a las portadas tras realizar un ataque cibernético masivo contra la Consejería Jurídica del Ejecutivo Federal (CJEF) de México. En este hackeo, el grupo robó 313 GB de información confidencial que incluía contratos administrativos, datos financieros, información personal de funcionarios, correos electrónicos y documentos internos. Lo que inició como una amenaza terminó con la liberación de 206 GB de información al no recibir el pago del rescate.

¿Un rescate ignorado?

RansomHub estableció el 25 de noviembre como fecha límite para que la CJEF pagara una suma desconocida a cambio de mantener la información fuera del alcance público en la dark web. Sin embargo, al no recibir respuesta, cumplieron su amenaza y liberaron una parte significativa de los datos robados. Entre los documentos expuestos hay desde contratos de alquiler hasta información personal de empleados, lo que eleva los riesgos de que otros actores malintencionados usen estos datos.

¿El resultado? Según informes, más de 5,000 personas ya han accedido a la información filtrada, convirtiendo un ciberataque en un posible caos de proporciones mayúsculas.

los datos incluyen información sobre contratos gubernamentales, registros financieros, datos personales y hasta fotografías de empleados.
los datos incluyen información sobre contratos gubernamentales, registros financieros, datos personales y hasta fotografías de empleados.

¿Quiénes son RansomHub y cómo operan?

RansomHub, activo desde 2018, es más que un grupo de hackers: es una empresa delictiva organizada. Utilizan un modelo conocido como Ransomware-as-a-Service (RaaS), que básicamente alquila sus herramientas de ataque a otros ciberdelincuentes a cambio de una comisión por los rescates. Es como si fueran el “Uber” del cibercrimen, pero en lugar de llevarte a casa, te dejan en medio de un lío de seguridad.

Especialistas de Cyberpeace explican que este grupo se enfoca en atacar entidades estratégicas, vendiendo la información robada si no logran obtener el rescate. RansomHub ha perpetrado ataques similares en varios países, principalmente en Estados Unidos, con tácticas cada vez más sofisticadas.

Una táctica clásica con toques de modernidad

El esquema es el mismo de siempre: infiltrarse en sistemas gubernamentales o corporativos, bloquear el acceso a archivos sensibles o amenazar con hacerlos públicos. Esta vez, el ataque incluyó un “demo” en forma de un contrato gubernamental filtrado para probar que iban en serio.

Según Cybernews, los datos incluyen información sobre contratos gubernamentales, registros financieros, datos personales y hasta fotografías de empleados. Es un combo aterrador que no solo pone en jaque la privacidad de individuos, sino que también plantea serias preguntas sobre la seguridad de los sistemas informáticos gubernamentales.

¿Qué dice el gobierno?

En su habitual conferencia matutina, la jefa de Gobierno, Claudia Sheinbaum, fue cuestionada sobre el ataque. Su respuesta, un tanto vaga, dejó mucho que desear: “Sobre el tema del hackeo, apenas hoy me van a entregar un informe”. Mientras tanto, los ciberdelincuentes ya habían cumplido su amenaza y compartido la información robada.

Lecciones del ciberespionaje moderno

El ataque de RansomHub no es solo un recordatorio de las vulnerabilidades en los sistemas de seguridad gubernamentales, sino también de lo peligrosa que puede ser la falta de acción rápida. Este caso destaca el impacto que un solo grupo organizado puede tener en la seguridad de datos nacionales y la urgencia de adoptar medidas preventivas más robustas.

Mientras tanto, los afectados tendrán que lidiar con la realidad de que su información personal ahora está flotando en la dark web, y el gobierno mexicano con las críticas de haber sido “hackeado como si nada”. Quizás lo más alarmante es que esto es solo una pieza en el vasto rompecabezas del cibercrimen moderno, donde cada ataque parece más audaz que el anterior.

Reflexión final: ¿Negociar con ciberdelincuentes o reforzar la seguridad?

Aunque pagar el rescate no garantiza la seguridad de los datos, este tipo de ataques plantea una incómoda pregunta: ¿es mejor negociar con los hackers o enfrentar las consecuencias de una filtración masiva? En cualquier caso, lo que está claro es que México necesita fortalecer urgentemente sus defensas cibernéticas para evitar futuros incidentes similares.

Donaciones y Apoyo

Fuente(s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
Ransomware

LockBit Hackea la Reserva Federal y Exfiltra 33TB de Información Sensible

Ciberataque de LockBit a la Reserva Federal: 33TB de Datos Comprometidos

El reciente ataque cibernético dirigido contra la Junta de la Reserva Federal (FED) de Estados Unidos, llevado a cabo por el grupo de ransomware LockBit, ha suscitado preocupación en todo el mundo. Este grupo de ciberdelincuentes, conocido por sus avanzadas técnicas de ransomware, afirmó haber extraído 33 terabytes (TB) de datos sensibles. Aunque aún no han proporcionado una muestra de estos datos, la amenaza es clara y han fijado el plazo para el pago del rescate el 25 de junio de 2024.

LockBit, que ha ganado notoriedad por sus ataques sofisticados, ha puesto en una situación crítica a una de las instituciones financieras más importantes del planeta. Este grupo se especializa en infiltrarse en redes, cifrar datos y luego exigir un rescate a cambio de la clave de descifrado. En este caso, la Reserva Federal se enfrenta a la posibilidad de que una enorme cantidad de datos confidenciales pueda ser divulgada si no se cumplen las demandas del grupo.

El modus operandi de LockBit no solo incluye el cifrado de datos, sino también la extracción de información crítica. Esta estrategia aumenta la presión sobre las víctimas, quienes temen tanto la pérdida de acceso a sus datos como la posible exposición pública de información sensible. El ataque a la Reserva Federal no es solo una cuestión de seguridad nacional, sino también una potencial amenaza para la estabilidad económica global.

Las implicaciones de este ataque podrían ser vastas, ya que comprometer datos de una entidad tan crucial podría tener efectos en los mercados financieros y en la confianza en la seguridad de la información de las principales instituciones financieras. Este incidente subraya la importancia de fortalecer las medidas de ciberseguridad en todas las organizaciones, especialmente aquellas que juegan roles vitales en la infraestructura económica global.

Medidas y Respuesta

Actualmente, se están llevando a cabo investigaciones para determinar la magnitud del ataque y las posibles vías de mitigación. La Reserva Federal, junto con agencias de ciberseguridad y fuerzas del orden, están trabajando para evaluar el impacto y prevenir cualquier divulgación no autorizada de los datos comprometidos.

Este evento pone de relieve la constante amenaza de los ataques de ransomware y la necesidad de estrategias de defensa más robustas y proactivas. Además, resalta la urgencia de desarrollar planes de respuesta efectivos para incidentes de ciberseguridad, con el fin de proteger la integridad de los datos y la estabilidad de las instituciones clave.

En resumen, el ataque de LockBit a la Reserva Federal representa un desafío significativo para la seguridad cibernética global y subraya la necesidad de una vigilancia continua y mejoras en las defensas contra ciberataques.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Fuente (s) :

Fuentes adicionales:

Seguir Leyendo
By
Ransomware

El grupo Amper sufre ciberataque de Black Basta: 650GB de datos privados comprometidos

Amper, víctima de ciberataque: 650 GB de datos robados por Black Basta

La empresa española de ingeniería y tecnología Amper, conocida por su labor en los sectores de defensa, seguridad, energía y telecomunicaciones, ha sufrido un significativo ciberataque. Los ciberdelincuentes se han apoderado de 650 gigabytes de datos, que incluyen información de proyectos, usuarios y empleados, como nóminas y datos financieros.

Empresa de Ingeniería y Tecnología en Riesgo

Aunque Amper aún no ha confirmado oficialmente la magnitud del ataque, se cree que el grupo de ciberdelincuentes conocido como Black Basta está detrás del incidente. Este grupo es conocido por su ‘ransomware’, una herramienta que ha causado estragos en organizaciones de todo el mundo desde su aparición en la primavera de 2022.

Black Basta: Un Actor Global en el Ransomware como Servicio (RaaS)

Black Basta ha emergido rápidamente como uno de los actores más destacados en el ámbito del ransomware como servicio (RaaS). Según el Instituto Nacional de Ciberseguridad de España (Incibe), más de 500 organizaciones a nivel global han sido afectadas, desde pequeñas empresas hasta grandes corporaciones, evidenciando la seriedad de esta amenaza.

Métodos y Herramientas Utilizadas por Black Basta

El éxito de Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos. Utilizan una combinación de herramientas y técnicas sofisticadas para infiltrarse en las redes y moverse lateralmente dentro de ellas. Entre las herramientas empleadas se encuentran:

  • SoftPerfect Network Scanner
  • BITSAdmin
  • Cobalt Strike
  • ConnectWise ScreenConnect
  • PsExec

Además, utilizan Mimikatz para la escalada de privilegios y RClone para la exfiltración de datos antes del cifrado. Para obtener privilegios elevados, aprovechan vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 y CVE-2021-42287) y PrintNightmare (CVE-2021-34527).

Técnicas de Infección y Propagación

Black Basta emplea técnicas de phishing para infiltrarse en las redes de sus objetivos. Un método común es el envío de correos electrónicos que incitan a las víctimas a descargar un archivo ZIP que contiene una imagen ISO, diseñada para evadir los mecanismos de seguridad. La imagen ISO suele incluir una DLL maliciosa infectada con Qakbot, un troyano conocido que permite a los atacantes ejecutar código malicioso en el sistema de la víctima, reduciendo las posibilidades de detección.

Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos
Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos

Una vez dentro, el malware realiza diversas acciones maliciosas, como monitorizar y registrar pulsaciones de teclas, recolectar credenciales de acceso y propagarse a otros sistemas de la red mediante técnicas de movimiento lateral. Utiliza nombres engañosos dentro de la unidad raíz, como “C:\Dell” o “C:\Intel”, para desplegar parte de su arsenal malicioso.

Relación con el Grupo FIN7

Investigaciones recientes sugieren una conexión entre Black Basta y los ciberdelincuentes rusos FIN7, también conocidos como Carbanak. SentinelLabs ha analizado varias herramientas personalizadas utilizadas por Black Basta, indicando que podrían compartir integrantes o trabajar juntos. Entre las herramientas se encuentra WindefCheck.exe, diseñada para clonar la interfaz de seguridad de Windows y mostrar falsamente que los sistemas están protegidos.

Cifrado y Desencriptado

Black Basta cifra los datos de sus víctimas utilizando una combinación de ChaCha20 y RSA-4096. Genera claves de cifrado con la función de C++ rand_s, resultando en una salida hexadecimal aleatoria. El ransomware cifra los primeros 64 bytes de cada fragmento de datos, dejando 128 bytes sin cifrar, y cambia la extensión de los archivos a ‘.basta’. Aunque existe una herramienta de descifrado llamada ‘Black Basta Buster’, basada en scripts de Python, la recuperación de archivos no siempre es posible debido a la complejidad del cifrado.

El ciberataque a Amper es un recordatorio de la creciente sofisticación de los ciberdelincuentes y la necesidad de robustecer las defensas digitales. Black Basta sigue siendo una amenaza significativa, y la relación con FIN7 solo añade más complejidad a un panorama ya de por sí desafiante. La seguridad cibernética debe ser una prioridad constante para proteger la información crítica y mantener la integridad de nuestras infraestructuras digitales.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
Ransomware

El FBI recupera miles de claves de cifrado de LockBit y pide a las víctimas que soliciten la recuperación de sus archivos

A pesar de los esfuerzos de las autoridades para desmantelar sus operaciones, LockBit continúa activo y ha migrado a nuevos servidores.

El FBI hace un llamado a las víctimas anteriores de los ataques del ransomware LockBit para que se presenten después de anunciar que ha recuperado más de 7.000 claves de descifrado, las cuales pueden ser utilizadas para recuperar los datos cifrados sin costo alguno.

Bryan Vorndran, Director Adjunto de la División Cibernética del FBI, hizo este anuncio el miércoles durante la Conferencia de Ciberseguridad de Boston 2024.

“Como resultado de nuestras acciones continuas contra LockBit, ahora tenemos en nuestro poder más de 7.000 claves de descifrado y estamos en posición de ayudar a las víctimas a recuperar sus datos y restablecer sus sistemas”, declaró Vorndran en su discurso.

“Estamos contactando a las víctimas conocidas de LockBit y alentando a cualquier persona que sospeche haber sido afectada a que visite nuestro Centro de Denuncias de Delitos en Internet en ic3.gov”.

Cripto Casino - Stake
Conoce Stake Cripto Casino

Este llamamiento se produce tras el desmantelamiento de la infraestructura de LockBit en febrero de 2024 en una operación internacional denominada “Operación Cronos”.

Durante esa operación, las fuerzas del orden incautaron 34 servidores que contenían más de 2.500 claves de descifrado, lo cual permitió la creación de un descifrador gratuito para el ransomware LockBit 3.0 Black.

Después de analizar los datos obtenidos, la Agencia Nacional contra el Crimen del Reino Unido y el Departamento de Justicia de Estados Unidos estiman que la organización y sus afiliados han recaudado hasta mil millones de dólares en rescates a través de 7.000 ataques dirigidos a organizaciones de todo el mundo entre junio de 2022 y febrero de 2024.

A pesar de los esfuerzos de las autoridades para desmantelar sus operaciones, LockBit continúa activo y ha migrado a nuevos servidores y dominios en la Dark Web.

Siguen atacando a víctimas globalmente y, en represalia por el reciente desmantelamiento de su infraestructura, han estado publicando grandes cantidades de datos robados, tanto antiguos como nuevos, en la dark web.

Recientemente, LockBit se atribuyó el ciberataque de abril de 2024 contra la cadena de farmacias canadiense London Drugs, después de otra operación policial que involucró al líder de la banda, un ciudadano ruso de 31 años llamado Dmitry Yuryevich Khoroshev, conocido en línea como “LockBitSupp”.

En los últimos años, varios responsables del ransomware LockBit han sido detenidos e imputados, incluyendo a Mikhail Vasiliev (noviembre de 2022), Ruslan Magomedovich Astamirov (junio de 2023), Mikhail Pavlovich Matveev alias Wazawaka (mayo de 2023), Artur Sungatov e Ivan Gennadievich Kondratiev alias Bassterlord (febrero de 2024).

El Departamento de Estado de EE.UU. ofrece ahora una recompensa de 10 millones de dólares por información que conduzca a la detención o condena de los líderes de LockBit y una recompensa adicional de 5 millones de dólares por pistas que lleven a la detención de los afiliados de LockBit.

Fuente (s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By
Ransomware

El Grupo BlackBasta Afirma Haber Hackeado a Atlas, Uno de los Mayores Distribuidores de Petróleo en EE.UU.

El grupo de extorsión BlackBasta añadió a la compañía a su lista de víctimas en su sitio de filtraciones en Tor, según un reporte.

Atlas, una de las mayores distribuidoras de combustible en EE.UU., hackeada por BlackBasta

Atlas es una de las mayores distribuidoras nacionales de combustible en 49 estados continentales de EE.UU., con más de mil millones de galones por año.

El grupo de extorsión BlackBasta añadió a la compañía a su lista de víctimas en su sitio de filtraciones en Tor, según reportó el investigador Dominic Alvieri.

El grupo afirma haber robado 730GB de datos de Atlas, incluyendo información corporativa: cuentas, recursos humanos, finanzas, datos de ejecutivos y departamentos, así como datos de usuarios y empleados.

Cripto Casino - Stake
Conoce Stake Cripto Casino

El grupo publicó una serie de documentos como prueba del hackeo, incluyendo tarjetas de identificación, hojas de datos, solicitudes de pago de nómina y una imagen de la carpeta extraída de los sistemas de la víctima.

La empresa petrolera aún no ha revelado el supuesto incidente.

Black Basta ha estado activo desde abril de 2022 y, al igual que otras operaciones de ransomware, implementa un modelo de ataque de doble extorsión.

En noviembre de 2022, investigadores de Sentinel Labs informaron haber encontrado pruebas que vinculan al grupo de ransomware Black Basta con el grupo de hackers FIN7, motivado por fines financieros.

En noviembre de 2022, expertos del equipo de Cybereason Global SOC (GSOC) observaron un aumento en las infecciones de Qakbot como parte de una campaña agresiva de malware que lleva a infecciones de ransomware Black Basta en EE.UU.

La cadena de ataque comienza con una infección de QBot. Los operadores usan la herramienta de post-explotación Cobalt Strike para tomar el control de la máquina y finalmente desplegar el ransomware Black Basta. Los ataques comienzan con un correo electrónico de spam/phishing que contiene enlaces URL maliciosos.

Los investigadores notaron que una vez obtenida la accesibilidad a la red, el actor de la amenaza se mueve extremadamente rápido. En algunos casos observados por Cybereason, el actor de la amenaza obtuvo privilegios de administrador de dominio en menos de dos horas y desplegó el ransomware en menos de 12 horas.

Fuente (s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By
Lockbit

Agencias de seguridad identifican y sancionan al administrador del ransomware LockBit

El FBI, la Agencia Nacional de Crimen del Reino Unido (UK National Crime Agency) y Europol han revelado la identidad de Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años originario de Voronezh, como el administrador y desarrollador principal de la operación de ransomware LockBit

El FBI, la Agencia Nacional de Crimen del Reino Unido (UK National Crime Agency) y Europol han revelado la identidad de Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años originario de Voronezh, como el administrador y desarrollador principal de la operación de ransomware LockBit, conocido también como ‘LockBitSupp’ y ‘putinkrab’. Por primera vez, se ha identificado públicamente al líder de este notorio grupo criminal.

Las autoridades han impuesto sanciones a Khoroshev, incluyendo congelación de activos y prohibiciones de viaje, anunciadas conjuntamente por el Departamento de Tesorería de los Estados Unidos y el Departamento de Asuntos Exteriores de Australia, entre otros. Khoroshev, quien valoraba el anonimato y llegó a ofrecer una recompensa de 10 millones de dólares por información sobre su identidad, ahora enfrenta restricciones significativas.

La información obtenida de los sistemas del grupo revela que desde junio de 2022 hasta febrero de 2024, se orquestaron más de 7,000 ataques, afectando principalmente a países como EE. UU., Reino Unido, Francia, Alemania y China. Los ataques se centraron especialmente en más de 100 hospitales y empresas de salud, sumando al menos 2,110 víctimas.

BingX exchange confiable de Criptomonedas

A pesar de intentos por reconstruir su red en febrero, una operación de cumplimiento de la ley internacional afectó significativamente a LockBit. Desde la intervención, los ataques en el Reino Unido han disminuido un 73%, con reducciones similares en otros países. La investigación también proporcionó detalles sobre la estructura y la red del grupo, identificando a 194 afiliados que usaron los servicios de LockBit hasta febrero de 2024, de los cuales 148 planificaron ataques y 119 negociaron con las víctimas, aunque 39 de estos últimos nunca recibieron un pago de rescate.

El director general de la NCA, Graeme Biggar, destacó la importancia de las sanciones y afirmó que no hay escondite para cibercriminales como Khoroshev. La investigación sobre LockBit continúa, y ahora se enfoca también en los afiliados que han utilizado los servicios del grupo para lanzar ataques devastadores de ransomware contra escuelas, hospitales y grandes empresas en todo el mundo.

Europol ha facilitado más de 2,500 claves de descifrado y está en contacto con las víctimas de LockBit para ofrecer asistencia. Con el apoyo de Europol, agencias como la Policía Japonesa, la NCA y el FBI han desarrollado herramientas de descifrado para recuperar archivos cifrados por el ransomware LockBit, ahora disponibles gratuitamente en el portal No More Ransom en 37 idiomas.


Fuente (s) :

BingX exchange confiable de Criptomonedas
Seguir Leyendo
By
Ransomware

Akira Ransomware Recibió $42 Millones en pagos de Rescate de más de 250 Víctimas

Agencias gubernamentales y de inteligencia de varios paises, reunieron información y reportes donde revelaron que el ransomware Akira ha perjudicado a más de 250 entidades en todo el mundo y ha recibido más de 42 millones de dólares en pagos de rescate.

Agencias gubernamentales y de inteligencia de varios paises, reunieron información y reportes donde revelaron que el ransomware Akira ha perjudicado a más de 250 entidades en todo el mundo y ha recibido más de 42 millones de dólares en pagos de rescate.

Agencias de Inteligencia de varios paises revelaron que el ransomware Akira ha recibido más de 42 millones de dólares en pagos de rescate.
Agencias de Inteligencia de varios paises revelaron que el ransomware Akira ha recibido más de 42 millones de dólares en pagos de rescate.


Un aviso conjunto publicado por CISA, el FBI, Europol y el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL) reveló que desde principios de 2023, los operadores de ransomware Akira recibieron 42 millones de dólares en pagos de rescate de más de 250 víctimas en todo el mundo.

El ransomware Akira ha estado activo desde marzo de 2023; los actores de amenazas detrás del malware afirman haber pirateado varias organizaciones en múltiples industrias, incluidas la educación, las finanzas y el sector inmobiliario. Al igual que otras bandas de ransomware, el grupo ha desarrollado un cifrador de Linux para apuntar a servidores VMware ESXi.

BingX exchange confiable de Criptomonedas

Los operadores del ransomware Akira implementan un modelo de doble extorsión al exfiltrar los datos de las víctimas antes de cifrarlos.


Las versiones anteriores del ransomware se escribieron en C++ y el malware agregaba la extensión .akira a los archivos cifrados. Sin embargo, a partir de agosto de 2023, ciertos ataques de Akira comenzaron a utilizar Megazord, que emplea código basado en Rust y cifra archivos con una extensión .powerranges. Los actores de amenazas de Akira han persistido en emplear tanto Megazord como Akira, incluido Akira_v2, identificados por investigaciones independientes, indistintamente.


Los investigadores de ciberseguridad observaron que los actores de amenazas obtenían acceso inicial a las organizaciones a través de un servicio de red privada virtual (VPN) sin autenticación multifactor (MFA) configurada. Los atacantes utilizaron principalmente las vulnerabilidades de Cisco CVE-2020-3259 y CVE-2023-20269.

También se observó que los operadores de Akira utilizaban servicios externos como el Protocolo de escritorio remoto (RDP), phishing y el abuso de credenciales válidas.

Después del acceso inicial, se observó que los actores de amenazas explotaban las funciones del controlador de dominio generando nuevas cuentas de dominio para establecer la persistencia. En algunos ataques, los actores de amenazas crearon una cuenta administrativa denominada itadm.

“Según el FBI y los informes de código abierto, los actores de amenazas de Akira aprovechan técnicas de ataque posteriores a la explotación, como Kerberoasting, para extraer las credenciales almacenadas en la memoria de proceso del Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS). Los actores de amenazas de Akira también utilizan herramientas de extracción de credenciales como Mimikatz y LaZagne para ayudar en la escalada de privilegios”. lee el informe. “Herramientas como SoftPerfect y Advanced IP Scanner se utilizan a menudo con fines de descubrimiento (reconocimiento) de dispositivos de red y los comandos net de Windows se utilizan para identificar controladores de dominio y recopilar información sobre las relaciones de confianza del dominio”.

Se ha observado que los operadores de Akira implementan dos variantes distintas de ransomware contra diferentes arquitecturas de sistemas dentro del mismo ataque. Fue esta primera vez que los operadores adoptaron esta táctica.


Los operadores frecuentemente desactivan el software de seguridad para evadir la detección y para el movimiento lateral. Los expertos del gobierno observaron el uso de PowerTool por parte de los actores de amenazas de Akira para explotar el controlador Zemana AntiMalware y finalizar los procesos relacionados con el antivirus.


Los actores de amenazas utilizan FileZilla, WinRAR, WinSCP y RClone para la filtración de datos. Los atacantes utilizan AnyDesk, Cloudflare Tunnel, RustDesk, Ngrok y Cloudflare Tunnel para comunicarse con el comando y control (C&C).


“Los actores de amenazas de Akira utilizan un sofisticado esquema de cifrado híbrido para bloquear datos. Esto implica combinar un cifrado de flujo ChaCha20 con un criptosistema de clave pública RSA para un intercambio de claves rápido y seguro. Este enfoque de múltiples capas adapta los métodos de cifrado según el tipo y tamaño del archivo y es capaz de realizar un cifrado total o parcial”. concluye el aviso que incluye indicadores de compromiso (IoC)”.


Fuente (s) :

Seguir Leyendo
By
Ransomware

Más Detalles sobre la Operación Cronos – Desmantelamiento de Lockbit Gang

Operación Policiaca de Interrpol, Europol y más de 10 paises operaron para desmantelar la pandilla cibernetica de Lockbit Ransomware

Las fuerzas del orden proporcionaron detalles adicionales sobre la Operación Cronos internacional que provocó la interrupción de la operación del ransomware Lockbit.

Ayer, una acción policial conjunta, denominada Operación Cronos, llevada a cabo por agencias policiales de 11 países interrumpió la operación del ransomware LockBit.

A continuación se muestra la imagen del sitio de filtración de Tor de la banda de ransomware Lockbit que fue incautada por la Agencia Nacional contra el Crimen (NCA) del Reino Unido.

Operación Cronos, acción legal llevada a cabo por agencias policiales de 11 países, ha interrumpido la operación del ransomware LockBit.
Operación Cronos, acción legal llevada a cabo por agencias policiales de 11 países, ha interrumpido la operación del ransomware LockBit.

“El sitio ahora está bajo el control de las autoridades. Este sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, que trabaja en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, ‘Operación Cronos’”, se lee en el cartel.

“Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales; esta es una operación en curso y en desarrollo. Regrese aquí para obtener más información a las: 11:30 GMT del martes 20 de febrero”
La operación Operación Cronos aún está en curso y la NCA anunció que aún no se ha compartido más información.

“El sitio ahora está bajo el control de las autoridades. Este sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, Operación Cronos”, dice el cartel.

Operación Policiaca de Interrpol, Europol y más de 10 paises operaron para desmantelar la pandilla cibernetica de Lockbit Ransomware
Operación Policiaca de Interrpol, Europol y más de 10 paises operaron para desmantelar la pandilla cibernetica de Lockbit Ransomware

“Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales; esta es una operación en curso y en desarrollo”.

Los investigadores de vx-underground se pusieron en contacto con los administradores de la pandilla, quienes confirmaron que el FBI se había apoderado de su infraestructura.

BingX exchange confiable de Criptomonedas

La operación condujo al arresto de dos miembros de la banda de ransomware en Polonia y Ucrania y a la incautación de cientos de carteras criptográficas utilizadas por el grupo.

La NCA británica tomó el control del entorno de administración central de LockBit utilizado por los afiliados de RaaS para llevar a cabo los ciberataques. Las autoridades también se apoderaron del sitio de filtración Tor de la web oscura utilizado por el grupo.

La NCA se apoderó del sitio de filtración de Tor y ahora se utiliza para publicar actualizaciones sobre la operación policial y brindar apoyo a las víctimas de la pandilla.

La NCA también obtuvo el código fuente de la plataforma LockBit y una enorme cantidad de información sobre el funcionamiento del grupo, incluida información sobre afiliados y seguidores.

Las fuerzas del orden también tuvieron acceso a los datos robados a las víctimas de la operación de ransomware, una circunstancia que resalta el hecho de que incluso cuando se paga un rescate, la banda de ransomware a menudo no elimina la información robada.

“LockBit tenía una herramienta de filtración de datos personalizada, conocida como Stealbit, que los afiliados utilizaban para robar datos de las víctimas. En las últimas 12 horas, miembros del grupo de trabajo Op Cronos se han apoderado de esta infraestructura, con sede en tres países, y también han sido desactivados 28 servidores pertenecientes a afiliados de LockBit”. lee el anuncio de la NCA. “La infiltración técnica y la interrupción son sólo el comienzo de una serie de acciones contra LockBit y sus afiliados. En una acción más amplia coordinada por Europol, dos actores de LockBit fueron arrestados esta mañana en Polonia y Ucrania, y se congelaron más de 200 cuentas de criptomonedas vinculadas al grupo”.

El Departamento de Justicia de EE. UU. acusó a dos personas de orquestar ataques de ransomware utilizando el ransomware LockBit. Actualmente se encuentran bajo custodia y serán juzgados en EE. UU.

“El Departamento de Justicia también reveló una acusación obtenida en el Distrito de Nueva Jersey acusando a los ciudadanos rusos Artur Sungatov e Ivan Kondratyev, también conocidos como Bassterlord, de implementar LockBit contra numerosas víctimas en todo Estados Unidos, incluidas empresas de todo el país en la industria manufacturera y otras industrias. así como víctimas en todo el mundo en la industria de semiconductores y otras industrias. Hoy, se revelaron cargos penales adicionales contra Kondratyev en el Distrito Norte de California relacionados con su implementación en 2020 de ransomware contra una víctima ubicada en California”. lee el comunicado de prensa publicado por el Departamento de Justicia.
“Finalmente, el Departamento también reveló dos órdenes de registro emitidas en el Distrito de Nueva Jersey que autorizaban al FBI a interrumpir múltiples servidores con sede en EE. UU. utilizados por miembros de LockBit en relación con la interrupción de LockBit”.

Además, las autoridades estadounidenses han presentado acusaciones contra dos ciudadanos rusos, acusándolos de conspirar para llevar a cabo ataques LockBit.

La NCA y sus socios globales han obtenido más de 1000 claves de descifrado que permitirán a las víctimas de la pandilla recuperar sus archivos de forma gratuita. La NCA se comunicará con las víctimas radicadas en el Reino Unido en los próximos días y semanas, brindándoles apoyo para ayudarlas a recuperar datos cifrados.

“Esta investigación dirigida por la NCA es una interrupción innovadora del grupo de delitos cibernéticos más dañino del mundo. Demuestra que ninguna operación criminal, dondequiera que esté y por muy avanzada que sea, está fuera del alcance de la Agencia y nuestros socios”. dijo el director general de la Agencia Nacional contra el Crimen, Graeme Biggar.

“A través de nuestra estrecha colaboración, hemos pirateado a los piratas informáticos; tomó el control de su infraestructura, se apoderó de su código fuente y obtuvo claves que ayudarán a las víctimas a descifrar sus sistemas”.

“A partir de hoy, LockBit está bloqueado. Hemos dañado la capacidad y, más notablemente, la credibilidad de un grupo que dependía del secreto y el anonimato.

La ley proporciona más información de Operación Cronos - Desmantelamiento de la pandilla cibernética de Lockbit Ransomware
La ley proporciona más información de Operación Cronos – Desmantelamiento de la pandilla cibernética de Lockbit Ransomware

“Nuestro trabajo no termina aquí. LockBit puede intentar reconstruir su empresa criminal. Sin embargo, sabemos quiénes son y cómo operan. Somos tenaces y no cejaremos en nuestros esfuerzos para atacar a este grupo y a cualquiera asociado con él”.
El descifrador gratuito del ransomware Lockbit se puede descargar desde el sitio web de la iniciativa “No More Ransom”. No está claro a qué versión del ransomware se dirige el descifrador.

LockBit es una importante operación de ransomware que surgió por primera vez en septiembre de 2019. En 2022, LockBit fue uno de los grupos de ransomware más activos y su prevalencia continuó hasta 2023. Desde enero de 2020, los afiliados que utilizan LockBit se han dirigido a organizaciones de diversos tamaños que abarcan sectores de infraestructura crítica. tales como servicios financieros, alimentación y agricultura, educación, energía, servicios gubernamentales y de emergencia, atención médica, manufactura y transporte. La operación de ransomware LockBit operó bajo un modelo de Ransomware como servicio (RaaS), reclutando afiliados para llevar a cabo ataques de ransomware mediante la utilización de herramientas e infraestructura de ransomware LockBit.

Según un informe conjunto publicado por autoridades estadounidenses y pares internacionales, el total de rescates pagados a LockBit en Estados Unidos es de aproximadamente 91 millones de dólares desde que se observó por primera vez la actividad de LockBit en Estados Unidos el 5 de enero de 2020.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By
Ransomware

Operación Cronos : Cae toda La Ley Contra el Clan Lockbit

Operación Cronos, acción legal llevada a cabo por agencias policiales de 11 países, ha interrumpido la operación del ransomware LockBit.

Una acción policial conjunta, denominada Operación Cronos, llevada a cabo por agencias policiales de 11 países ha interrumpido la operación del ransomware LockBit.

acción policial conjunta, denominada Operación Cronos, llevada a cabo por agencias policiales de 11 países ha interrumpido la operación del ransomware LockBit

A continuación se muestra la imagen del sitio de filtración de Tor de la banda de ransomware Lockbit que fue incautada por la Agencia Nacional contra el Crimen (NCA) del Reino Unido.

Cripto Casino - Stake
Conoce Stake Cripto Casino

“The site is now under the control of law enforcement. This site is now under the control of The National Crime Agency of the UK, working in close cooperation with the FBI and the international law enforcement task force, ‘Operation Cronos’,” reads the banner.

“We can confirm that Lockbit’s services have been disrupted as a result of International Law Enforcement action – this is an ongoing and developing operation. Return here for more information at: 11:30 GMT on Tuesday 20th Feb”

The Operation Cronos operation is still ongoing and NCA’s announced that more information will be published tomorrow, February 20, 2024.

BingX exchange confiable de Criptomonedas

“El sitio ahora está bajo el control de las autoridades. Este sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, Operación Cronos”, dice el cartel.

“Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales; esta es una operación en curso y en desarrollo”.

Los investigadores de vx-underground se pusieron en contacto con los administradores de la pandilla, quienes confirmaron que el FBI se había apoderado de su infraestructura.

LockBit es una importante operación de ransomware que surgió por primera vez en septiembre de 2019. En 2022, LockBit fue uno de los grupos de ransomware más activos y su prevalencia continuó hasta 2023. Desde enero de 2020, los afiliados que utilizan LockBit se han dirigido a organizaciones de diversos tamaños que abarcan sectores de infraestructura crítica. tales como servicios financieros, alimentación y agricultura, educación, energía, servicios gubernamentales y de emergencia, atención médica, manufactura y transporte. La operación de ransomware LockBit operó bajo un modelo de Ransomware como servicio (RaaS), reclutando afiliados para llevar a cabo ataques de ransomware mediante la utilización de herramientas e infraestructura de ransomware LockBit.


Según un informe conjunto publicado por autoridades estadounidenses y pares internacionales, el total de rescates pagados a LockBit en Estados Unidos es de aproximadamente 91 millones de dólares desde que se observó por primera vez la actividad de LockBit en Estados Unidos el 5 de enero de 2020.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino
Seguir Leyendo
By