Lo + Nuevo
Tag

Ransomware gang

Browsing

El Comienzo de LockBit

LockBit apareció por primera vez en la escena del ransomware en 2019, rápidamente ganando notoriedad por su eficacia y métodos innovadores. Se destacaba por su capacidad para infiltrarse en sistemas utilizando técnicas de ingeniería social y explotando vulnerabilidades de seguridad. Su modelo de negocio basado en Ransomware-as-a-Service (RaaS) permitió que se distribuyera ampliamente a través de afiliados, aumentando su alcance y frecuencia de ataques.

LockBit se caracterizó desde sus inicios por su capacidad de cifrado rápido, lo que minimizaba el tiempo necesario para que las víctimas respondieran antes de que el daño estuviera hecho. La nota de rescate de LockBit era particularmente intimidante, detallando claramente las consecuencias de no pagar el rescate, incluido el riesgo de que los datos robados se publicaran o vendieran en la web oscura.

Desarrollo y Evolución

A lo largo del tiempo, LockBit ha evolucionado constantemente. Los desarrolladores detrás de este ransomware han lanzado múltiples variantes, cada una más sofisticada que la anterior, para evadir las medidas de seguridad y maximizar el impacto de sus ataques. Entre las tácticas utilizadas, se destacan los correos electrónicos de phishing, sitios web maliciosos y la explotación de software desactualizado.

. Entre las tácticas utilizadas, se destacan los correos electrónicos de phishing, sitios web maliciosos y la explotación de software desactualizado.
. Entre las tácticas utilizadas, se destacan los correos electrónicos de phishing, sitios web maliciosos y la explotación de software desactualizado.

LockBit 2.0, lanzado en junio de 2021, introdujo varias mejoras, incluida la capacidad de atacar a sistemas que no eran inicialmente vulnerables a la primera versión del ransomware. Esta versión también mejoró el modelo de doble extorsión, donde no solo se exigía un rescate para descifrar los datos, sino que también se amenazaba con publicar los datos robados si no se pagaba.

El ransomware LockBit se propagó eficazmente gracias a su modelo de afiliación. Este modelo permitía a otros ciberdelincuentes utilizar el ransomware a cambio de una parte del rescate, lo que significó que la amenaza se diseminó rápidamente a través de múltiples atacantes, aumentando el número de víctimas.

Consecuencias y Estrategias de Mitigación

Las consecuencias de un ataque de LockBit pueden ser devastadoras para cualquier organización. Además de la pérdida de datos críticos, las empresas pueden enfrentar interrupciones operativas significativas, daños a su reputación y costos financieros elevados. Los ataques también pueden llevar a investigaciones legales y regulatorias, especialmente si se comprometen datos sensibles de clientes o empleados.

Para mitigar estos riesgos, las organizaciones deben adoptar políticas de seguridad robustas, que incluyan:

  • Capacitación en Ciberseguridad: Educar a los empleados sobre las tácticas de phishing y otras técnicas de ingeniería social.
  • Actualizaciones de Software: Mantener todo el software y los sistemas operativos actualizados para cerrar las vulnerabilidades conocidas.
  • Copias de Seguridad Regulares: Implementar un sistema de copias de seguridad regular y mantener estas copias en ubicaciones seguras y fuera de línea.
  • Soluciones Avanzadas de Seguridad: Utilizar soluciones de seguridad informática avanzadas, como antivirus, firewalls, y sistemas de detección y prevención de intrusiones.
  • Plan de Respuesta a Incidentes: Tener un plan de respuesta a incidentes bien definido que incluya la coordinación con las fuerzas del orden y las agencias de ciberseguridad.
LockBit sigue siendo una amenaza activa, los esfuerzos globales de las fuerzas del orden y las mejoras en las medidas de ciberseguridad han comenzado a limitar su alcance.
LockBit sigue siendo una amenaza activa, los esfuerzos globales de las fuerzas del orden y las mejoras en las medidas de ciberseguridad han comenzado a limitar su alcance.

El Fin de LockBit

Aunque LockBit sigue siendo una amenaza activa, los esfuerzos globales de las fuerzas del orden y las mejoras en las medidas de ciberseguridad han comenzado a limitar su alcance. En un desarrollo significativo, las agencias de seguridad identificaron y sancionaron al administrador del ransomware LockBit, como se reportó el 8 de Mayo cuando Agencias de seguridad identifican y sancionan al administrador del ransomware LockBit . Este golpe a la estructura organizativa de LockBit representa un paso importante en la lucha contra el ransomware.

(UK National Crime Agency) y Europol han revelado la identidad de Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años originario de Voronezh, como el administrador y desarrollador principal de la operación de ransomware LockBit, conocido también como ‘LockBitSupp’ y ‘putinkrab’
(UK National Crime Agency) y Europol han revelado la identidad de Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años originario de Voronezh, como el administrador y desarrollador principal de la operación de ransomware LockBit, conocido también como ‘LockBitSupp’ y ‘putinkrab’

Varias operaciones policiales han logrado desmantelar algunas de las infraestructuras utilizadas por los afiliados de LockBit, y las organizaciones están mejorando continuamente sus defensas contra este tipo de ataques. Sin embargo, como con cualquier amenaza cibernética, la lucha está lejos de terminar. Los desarrolladores de LockBit y otros grupos de ransomware están constantemente buscando nuevas formas de evadir las defensas de ciberseguridad. Las organizaciones deben permanecer vigilantes y preparadas para adaptarse a las nuevas tácticas que los ciberdelincuentes puedan desarrollar.

 LockBit ha demostrado ser uno de los ransomware más persistentes y destructivos de los últimos años.
LockBit ha demostrado ser uno de los ransomware más persistentes y destructivos de los últimos años.

En resumen, LockBit ha demostrado ser uno de los ransomware más persistentes y destructivos de los últimos años. Su capacidad para evolucionar y adaptarse lo mantiene como una amenaza significativa. La prevención, la conciencia de seguridad y las medidas de respuesta eficaces son fundamentales para protegerse contra este tipo de amenazas cibernéticas.

BingX exchange confiable de Criptomonedas

Atlas, una de las mayores distribuidoras de combustible en EE.UU., hackeada por BlackBasta

Atlas es una de las mayores distribuidoras nacionales de combustible en 49 estados continentales de EE.UU., con más de mil millones de galones por año.

El grupo de extorsión BlackBasta añadió a la compañía a su lista de víctimas en su sitio de filtraciones en Tor, según reportó el investigador Dominic Alvieri.

El grupo afirma haber robado 730GB de datos de Atlas, incluyendo información corporativa: cuentas, recursos humanos, finanzas, datos de ejecutivos y departamentos, así como datos de usuarios y empleados.

Cripto Casino - Stake
Conoce Stake Cripto Casino

El grupo publicó una serie de documentos como prueba del hackeo, incluyendo tarjetas de identificación, hojas de datos, solicitudes de pago de nómina y una imagen de la carpeta extraída de los sistemas de la víctima.

La empresa petrolera aún no ha revelado el supuesto incidente.

Black Basta ha estado activo desde abril de 2022 y, al igual que otras operaciones de ransomware, implementa un modelo de ataque de doble extorsión.

En noviembre de 2022, investigadores de Sentinel Labs informaron haber encontrado pruebas que vinculan al grupo de ransomware Black Basta con el grupo de hackers FIN7, motivado por fines financieros.

En noviembre de 2022, expertos del equipo de Cybereason Global SOC (GSOC) observaron un aumento en las infecciones de Qakbot como parte de una campaña agresiva de malware que lleva a infecciones de ransomware Black Basta en EE.UU.

La cadena de ataque comienza con una infección de QBot. Los operadores usan la herramienta de post-explotación Cobalt Strike para tomar el control de la máquina y finalmente desplegar el ransomware Black Basta. Los ataques comienzan con un correo electrónico de spam/phishing que contiene enlaces URL maliciosos.

Los investigadores notaron que una vez obtenida la accesibilidad a la red, el actor de la amenaza se mueve extremadamente rápido. En algunos casos observados por Cybereason, el actor de la amenaza obtuvo privilegios de administrador de dominio en menos de dos horas y desplegó el ransomware en menos de 12 horas.

Fuente (s) :

BingX exchange confiable de Criptomonedas

El FBI, la Agencia Nacional de Crimen del Reino Unido (UK National Crime Agency) y Europol han revelado la identidad de Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años originario de Voronezh, como el administrador y desarrollador principal de la operación de ransomware LockBit, conocido también como ‘LockBitSupp’ y ‘putinkrab’. Por primera vez, se ha identificado públicamente al líder de este notorio grupo criminal.

Las autoridades han impuesto sanciones a Khoroshev, incluyendo congelación de activos y prohibiciones de viaje, anunciadas conjuntamente por el Departamento de Tesorería de los Estados Unidos y el Departamento de Asuntos Exteriores de Australia, entre otros. Khoroshev, quien valoraba el anonimato y llegó a ofrecer una recompensa de 10 millones de dólares por información sobre su identidad, ahora enfrenta restricciones significativas.

La información obtenida de los sistemas del grupo revela que desde junio de 2022 hasta febrero de 2024, se orquestaron más de 7,000 ataques, afectando principalmente a países como EE. UU., Reino Unido, Francia, Alemania y China. Los ataques se centraron especialmente en más de 100 hospitales y empresas de salud, sumando al menos 2,110 víctimas.

BingX exchange confiable de Criptomonedas

A pesar de intentos por reconstruir su red en febrero, una operación de cumplimiento de la ley internacional afectó significativamente a LockBit. Desde la intervención, los ataques en el Reino Unido han disminuido un 73%, con reducciones similares en otros países. La investigación también proporcionó detalles sobre la estructura y la red del grupo, identificando a 194 afiliados que usaron los servicios de LockBit hasta febrero de 2024, de los cuales 148 planificaron ataques y 119 negociaron con las víctimas, aunque 39 de estos últimos nunca recibieron un pago de rescate.

El director general de la NCA, Graeme Biggar, destacó la importancia de las sanciones y afirmó que no hay escondite para cibercriminales como Khoroshev. La investigación sobre LockBit continúa, y ahora se enfoca también en los afiliados que han utilizado los servicios del grupo para lanzar ataques devastadores de ransomware contra escuelas, hospitales y grandes empresas en todo el mundo.

Europol ha facilitado más de 2,500 claves de descifrado y está en contacto con las víctimas de LockBit para ofrecer asistencia. Con el apoyo de Europol, agencias como la Policía Japonesa, la NCA y el FBI han desarrollado herramientas de descifrado para recuperar archivos cifrados por el ransomware LockBit, ahora disponibles gratuitamente en el portal No More Ransom en 37 idiomas.


Fuente (s) :

BingX exchange confiable de Criptomonedas

Dos gigantes de la hotelería mundial cayeron esta semana ante un ataque de ransomware: MGM Resorts International y Caesars Entertainment fueron víctimas de un robo de 6 TB de información. Según trascendió en versiones periodísticas (BloombergForbes), Caesars pagó decenas de millones de dólares (se habla de 30).

Más allá de esta información, que el medio financiero dice que está confirmada por “dos personas familiarizadas con el asunto” sin proporcionar más datos, Caesars emitió un comunicado 8-K ante la SEC, la comisión reguladora de Wall Street en Estados Unidos.

Y allí, en el comunicado, el hotel dice que “se tomaron los pasos necesarios para que la información robada sea borrada por el actor no autorizado”, de lo cual puede inferirse, por la lógica del negocio del ransomware, que se cedió ante las presiones y se pagó el rescate.

Allí aseguraron que la intrusión fue “a partir de un ataque de ingeniería social contra un vendor de soporte IT usado por la compañía”.

El ataque al Caesars ocurrió semanas antes del ataque al MGM Resorts que, desde este domingo por la noche, causó estragos en las operaciones de MGM, obligando a los huéspedes a esperar horas para registrarse y paralizando los pagos electrónicos, tarjetas digitales, máquinas tragamonedas, cajeros automáticos y sistemas de estacionamiento pago.

El sitio web y la aplicación móvil de la empresa estuvieron fuera de línea durante casi cuatro días.

El ataque fue llevado adelante por Scattered Spider (así lo llama CrowdStrike, 0ktapus para Group-IB), un actor de amenazas afiliado al conocido cartel de ransomware Black Cat (ALPHV). Sobre sus tácticas, técnicas y procedimientos (TTP), escribió Will (@BushidoToken):

CrowdStrike presentó Scattered Spider en diciembre de 2022 y compartió una actualización en enero de 2023. Estos actores de amenazas angloparlantes con motivaciones financieras son conocidos por su estilo único de ataques, que suelen comenzar todos de la misma manera, ya sea a través de un mensaje de phishing SMS para recopilar credenciales o a través de una llamada de vishing de ingeniería social de la vieja escuela (aunque sigue siendo muy eficaz) para obtener credenciales o conseguir que el objetivo descargue software malicioso y proporcione acceso.

Entre sus ataques conocidos se encuentra el hackeo a los sistemas de Riot Games (desarrolladores de League of Legends) y Reddit, en enero y febrero de este año, respectivamente.

El analista arriesga en su blog una hipótesis de afiliación a Black Cat:

Debido a la naturaleza irregular de las campañas de Scattered Spider hasta principios de 2023, el grupo ha decidido cambiar de táctica y unirse a la comunidad cibercriminal de operadores de ransomware de habla rusa.

La agencia de noticias Reuters aseguró que se comunicó con un miembro del grupo vía Telegram y que le confirmaron que por el momento no publicarán la información.

Black Cat publicó un extenso comunicado durante las últimas horas del jueves, donde aseguran que siguen teniendo acceso a los sistemas de MGM:

Seguimos teniendo acceso a parte de la infraestructura de MGM. Si no se llega a un acuerdo, llevaremos a cabo ataques adicionales. Seguimos esperando que MGM tenga los huevos para contactarnos, ya que han demostrado claramente que saben cómo ponerse en contacto con nosotros.

La punta del Iceberg

Se imaginan la información a la cual accedieron estos hackers ? Posiblmente tengan acceso e información de políticos que han apostado cantidades fuertes de dinero, posiblemente comprometedoras, peor aún. Puede haber información de celebridades, políticos o empresarios que deban grandes cantidades de dinero por apuestas en Las Vegas.

Claro que esto es una posible teoría , pero muy probable ya que los hackers parece pudieron tener acceso a casi 90 % del sistema e infraestructura del MGM Corp. y Caesars Palace Casino.

Fuente (s) :

Europol informa que tomó el control de la infraestructura del grupo de Ransomware Hive en una operación internacional en la que participaron autoridades de 13 países. La acción fue coordinada por Europol junto a fuerzas de seguridad de Estados Unidos (Departamento de Justicia, FBI y el Servicio Secreto), Alemania (Policía Federal y la Policía de Reutlingen) y Países Bajos (Unidad nacional del crimen tecnológico).

hive ransomware grupo cibercriminal
HiveLeaks – Hiveransomware

  • La operación tomó el control de varios servidores y el sitio web utilizado por el grupo de ransomware para la comunicación entre sus miembros y para publicar el nombre y los datos robados de la s víctimas, lo que impide al grupo llevar adelante sus ataques extorsivos.
  • Todo comenzó en julio de 2022, cuando el FBI se infiltró en la red informática de Hive, robó las claves de descifrado y las utilizó para ayudar a víctimas en distintas partes del mundo para que puedan recuperar sus archivos, evitando el pago de 130 millones de dólares en rescates, informó el Departamento de Justicia de Estados Unidos.
BingX exchange confiable de Criptomonedas
  • Durante los seis meses posteriores al acceso a los servidores de Hive las fuerzas de seguridad comenzaron a monitorear sus operaciones para conocer cómo operaban. Así el FBI proporcionó las claves de descifrado a unas 300 víctimas de Hive y a más de 1000 compañías que habían sido víctimas de este ransomware previamente.

Operación policial internacional

El anuncio conjunto por parte de Europol y el Departamento de Justicia de los Estados Unidos donde se anunciaba que el sitio de Tor del ransomware Hive relacionado con los pagos de los rescates y la publicación de la información robada de sus víctimas. Esto concluía una operación de varios meses en los cuales el FBI consiguió infiltrarse en la infraestructura usada por este grupo criminal y que terminó colocando un aviso en la web de los delincuentes dentro de la red Tor.

Noticia FBI Hive Ransomware
Noticia FBI Hive Ransomware

Esta infiltración dentro da la infraestructura permitió a las fuerzas policiales, entre las que se incluye la Policía Nacional española, aprender como se preparaban los ataques y avisar a las posibles víctimas. Así mismo, también ha permitido obtener las claves de cifrado de los sistemas atacados y proporcionárselas a las víctimas sin necesidad de que estas realicen un pago a los delincuentes, lo que ha permitido ahorrar hasta 130 millones de dólares en rescates.

Impacto Mundial del Hive Ransomware
Impacto Mundial del Hive Ransomware

La coordinación de las agencias policiales ha permitido avisar a posibles víctimas de este grupo criminal en varios países, con Europol facilitando el intercambio de información, coordinando las operaciones y proporcionando soporte analítico que relacionaba los datos encontrados con varios casos criminales en todo el mundo. Además, ha apoyado a los diferentes grupos policiales con las investigaciones relacionadas con el rastreo de las criptomonedas usadas en el pago de los rescates, el descifrado de los archivos afectados y en los análisis forenses.

Por su parte, el Departamento de Estado de los Estados Unidos ha ofrecido una recompensa de hasta 10 millones de dólares para cualquiera que aporte información que pueda ayudar a relacionar las acciones del grupo de ransomware Hive (o cualquier otro grupo similar) con gobiernos extranjeros.

Recompensa Hive Ransomware
Recompensa Hive Ransomware

Este golpe representa un importante avance en la lucha contra los grupos de ransomware que ofrecen sus amenazas como un servicio. Recordemos que Hive fue lanzado en Junio de 2021 y, desde entonces ha protagonizado algunos ataques importantes a empresas de todos los tamaños e incluso a algún estado.

Como queda la situación del ransomware tras el desmantelamiento de Hive

Entre los ataques reconocidos de Hive encontramos algunos destacados como los que afectaron a Mediamarkt, la empresa energética Tata o la ONG Memorial Health System, sin olvidar que también estuvo involucrado en los ataques a Costa Rica. Según un informe del FBI publicado el pasado mes de noviembre, se calcula que los delincuentes habrían obtenido hasta esa fecha alrededor de 100 millones de dólares.

También debemos recordar la operación realizada a principios de verano del 2022 que permitió a la policía de Corea del Sur publicar un descifrador gratuito para las versiones 1 a 4 de este ransomware. Desde entonces, la actividad del grupo descendió considerablemente, tal y como podemos observar en el siguiente gráfico elaborado por Darkfeed, donde otras familias como BlackCat, Royal y, sobre todo, Lockbit, han cobrado mucho más protagonismo durante los últimos meses.

Fuente (s) :

Cripto Casino - Stake
Conoce Stake Cripto Casino