Ciberataque de LockBit a la Reserva Federal: 33TB de Datos Comprometidos
El reciente ataque cibernético dirigido contra la Junta de la Reserva Federal (FED) de Estados Unidos, llevado a cabo por el grupo de ransomware LockBit, ha suscitado preocupación en todo el mundo. Este grupo de ciberdelincuentes, conocido por sus avanzadas técnicas de ransomware, afirmó haber extraído 33 terabytes (TB) de datos sensibles. Aunque aún no han proporcionado una muestra de estos datos, la amenaza es clara y han fijado el plazo para el pago del rescate el 25 de junio de 2024.
LockBit, que ha ganado notoriedad por sus ataques sofisticados, ha puesto en una situación crítica a una de las instituciones financieras más importantes del planeta. Este grupo se especializa en infiltrarse en redes, cifrar datos y luego exigir un rescate a cambio de la clave de descifrado. En este caso, la Reserva Federal se enfrenta a la posibilidad de que una enorme cantidad de datos confidenciales pueda ser divulgada si no se cumplen las demandas del grupo.
El modus operandi de LockBit no solo incluye el cifrado de datos, sino también la extracción de información crítica. Esta estrategia aumenta la presión sobre las víctimas, quienes temen tanto la pérdida de acceso a sus datos como la posible exposición pública de información sensible. El ataque a la Reserva Federal no es solo una cuestión de seguridad nacional, sino también una potencial amenaza para la estabilidad económica global.
Las implicaciones de este ataque podrían ser vastas, ya que comprometer datos de una entidad tan crucial podría tener efectos en los mercados financieros y en la confianza en la seguridad de la información de las principales instituciones financieras. Este incidente subraya la importancia de fortalecer las medidas de ciberseguridad en todas las organizaciones, especialmente aquellas que juegan roles vitales en la infraestructura económica global.
Medidas y Respuesta
Actualmente, se están llevando a cabo investigaciones para determinar la magnitud del ataque y las posibles vías de mitigación. La Reserva Federal, junto con agencias de ciberseguridad y fuerzas del orden, están trabajando para evaluar el impacto y prevenir cualquier divulgación no autorizada de los datos comprometidos.
Este evento pone de relieve la constante amenaza de los ataques de ransomware y la necesidad de estrategias de defensa más robustas y proactivas. Además, resalta la urgencia de desarrollar planes de respuesta efectivos para incidentes de ciberseguridad, con el fin de proteger la integridad de los datos y la estabilidad de las instituciones clave.
En resumen, el ataque de LockBit a la Reserva Federal representa un desafío significativo para la seguridad cibernética global y subraya la necesidad de una vigilancia continua y mejoras en las defensas contra ciberataques.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Amper, víctima de ciberataque: 650 GB de datos robados por Black Basta
La empresa española de ingeniería y tecnología Amper, conocida por su labor en los sectores de defensa, seguridad, energía y telecomunicaciones, ha sufrido un significativo ciberataque. Los ciberdelincuentes se han apoderado de 650 gigabytes de datos, que incluyen información de proyectos, usuarios y empleados, como nóminas y datos financieros.
Empresa de Ingeniería y Tecnología en Riesgo
Aunque Amper aún no ha confirmado oficialmente la magnitud del ataque, se cree que el grupo de ciberdelincuentes conocido como Black Basta está detrás del incidente. Este grupo es conocido por su ‘ransomware’, una herramienta que ha causado estragos en organizaciones de todo el mundo desde su aparición en la primavera de 2022.
Black Basta: Un Actor Global en el Ransomware como Servicio (RaaS)
Black Basta ha emergido rápidamente como uno de los actores más destacados en el ámbito del ransomware como servicio (RaaS). Según el Instituto Nacional de Ciberseguridad de España (Incibe), más de 500 organizaciones a nivel global han sido afectadas, desde pequeñas empresas hasta grandes corporaciones, evidenciando la seriedad de esta amenaza.
Métodos y Herramientas Utilizadas por Black Basta
El éxito de Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos. Utilizan una combinación de herramientas y técnicas sofisticadas para infiltrarse en las redes y moverse lateralmente dentro de ellas. Entre las herramientas empleadas se encuentran:
SoftPerfect Network Scanner
BITSAdmin
Cobalt Strike
ConnectWise ScreenConnect
PsExec
Además, utilizan Mimikatz para la escalada de privilegios y RClone para la exfiltración de datos antes del cifrado. Para obtener privilegios elevados, aprovechan vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 y CVE-2021-42287) y PrintNightmare (CVE-2021-34527).
Técnicas de Infección y Propagación
Black Basta emplea técnicas de phishing para infiltrarse en las redes de sus objetivos. Un método común es el envío de correos electrónicos que incitan a las víctimas a descargar un archivo ZIP que contiene una imagen ISO, diseñada para evadir los mecanismos de seguridad. La imagen ISO suele incluir una DLL maliciosa infectada con Qakbot, un troyano conocido que permite a los atacantes ejecutar código malicioso en el sistema de la víctima, reduciendo las posibilidades de detección.
Black Basta radica en su capacidad para evadir las defensas tradicionales y cifrar datos críticos
Una vez dentro, el malware realiza diversas acciones maliciosas, como monitorizar y registrar pulsaciones de teclas, recolectar credenciales de acceso y propagarse a otros sistemas de la red mediante técnicas de movimiento lateral. Utiliza nombres engañosos dentro de la unidad raíz, como “C:\Dell” o “C:\Intel”, para desplegar parte de su arsenal malicioso.
Relación con el Grupo FIN7
Investigaciones recientes sugieren una conexión entre Black Basta y los ciberdelincuentes rusos FIN7, también conocidos como Carbanak. SentinelLabs ha analizado varias herramientas personalizadas utilizadas por Black Basta, indicando que podrían compartir integrantes o trabajar juntos. Entre las herramientas se encuentra WindefCheck.exe, diseñada para clonar la interfaz de seguridad de Windows y mostrar falsamente que los sistemas están protegidos.
Cifrado y Desencriptado
Black Basta cifra los datos de sus víctimas utilizando una combinación de ChaCha20 y RSA-4096. Genera claves de cifrado con la función de C++ rand_s, resultando en una salida hexadecimal aleatoria. El ransomware cifra los primeros 64 bytes de cada fragmento de datos, dejando 128 bytes sin cifrar, y cambia la extensión de los archivos a ‘.basta’. Aunque existe una herramienta de descifrado llamada ‘Black Basta Buster’, basada en scripts de Python, la recuperación de archivos no siempre es posible debido a la complejidad del cifrado.
El ciberataque a Amper es un recordatorio de la creciente sofisticación de los ciberdelincuentes y la necesidad de robustecer las defensas digitales. Black Basta sigue siendo una amenaza significativa, y la relación con FIN7 solo añade más complejidad a un panorama ya de por sí desafiante. La seguridad cibernética debe ser una prioridad constante para proteger la información crítica y mantener la integridad de nuestras infraestructuras digitales.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
El FBI hace un llamado a las víctimas anteriores de los ataques del ransomware LockBit para que se presenten después de anunciar que ha recuperado más de 7.000 claves de descifrado, las cuales pueden ser utilizadas para recuperar los datos cifrados sin costo alguno.
Bryan Vorndran, Director Adjunto de la División Cibernética del FBI, hizo este anuncio el miércoles durante la Conferencia de Ciberseguridad de Boston 2024.
“Como resultado de nuestras acciones continuas contra LockBit, ahora tenemos en nuestro poder más de 7.000 claves de descifrado y estamos en posición de ayudar a las víctimas a recuperar sus datos y restablecer sus sistemas”, declaró Vorndran en su discurso.
“Estamos contactando a las víctimas conocidas de LockBit y alentando a cualquier persona que sospeche haber sido afectada a que visite nuestro Centro de Denuncias de Delitos en Internet en ic3.gov”.
Conoce Stake Cripto Casino
Este llamamiento se produce tras el desmantelamiento de la infraestructura de LockBit en febrero de 2024 en una operación internacional denominada “Operación Cronos”.
Durante esa operación, las fuerzas del orden incautaron 34 servidores que contenían más de 2.500 claves de descifrado, lo cual permitió la creación de un descifrador gratuito para el ransomware LockBit 3.0 Black.
Después de analizar los datos obtenidos, la Agencia Nacional contra el Crimen del Reino Unido y el Departamento de Justicia de Estados Unidos estiman que la organización y sus afiliados han recaudado hasta mil millones de dólares en rescates a través de 7.000 ataques dirigidos a organizaciones de todo el mundo entre junio de 2022 y febrero de 2024.
A pesar de los esfuerzos de las autoridades para desmantelar sus operaciones, LockBit continúa activo y ha migrado a nuevos servidores y dominios en la Dark Web.
Siguen atacando a víctimas globalmente y, en represalia por el reciente desmantelamiento de su infraestructura, han estado publicando grandes cantidades de datos robados, tanto antiguos como nuevos, en la dark web.
Recientemente, LockBit se atribuyó el ciberataque de abril de 2024 contra la cadena de farmacias canadiense London Drugs, después de otra operación policial que involucró al líder de la banda, un ciudadano ruso de 31 años llamado Dmitry Yuryevich Khoroshev, conocido en línea como “LockBitSupp”.
En los últimos años, varios responsables del ransomware LockBit han sido detenidos e imputados, incluyendo a Mikhail Vasiliev (noviembre de 2022), Ruslan Magomedovich Astamirov (junio de 2023), Mikhail Pavlovich Matveev alias Wazawaka (mayo de 2023), Artur Sungatov e Ivan Gennadievich Kondratiev alias Bassterlord (febrero de 2024).
El Departamento de Estado de EE.UU. ofrece ahora una recompensa de 10 millones de dólares por información que conduzca a la detención o condena de los líderes de LockBit y una recompensa adicional de 5 millones de dólares por pistas que lleven a la detención de los afiliados de LockBit.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Atlas, una de las mayores distribuidoras de combustible en EE.UU., hackeada por BlackBasta
Atlas es una de las mayores distribuidoras nacionales de combustible en 49 estados continentales de EE.UU., con más de mil millones de galones por año.
El grupo de extorsión BlackBasta añadió a la compañía a su lista de víctimas en su sitio de filtraciones en Tor, según reportó el investigador Dominic Alvieri.
Atlas Oil allegedly breached by Basta.
Atlas is one of the largest national distributers of fuel to 49 continental US States with over 1 billion gallons per year.
El grupo afirma haber robado 730GB de datos de Atlas, incluyendo información corporativa: cuentas, recursos humanos, finanzas, datos de ejecutivos y departamentos, así como datos de usuarios y empleados.
Conoce Stake Cripto Casino
El grupo publicó una serie de documentos como prueba del hackeo, incluyendo tarjetas de identificación, hojas de datos, solicitudes de pago de nómina y una imagen de la carpeta extraída de los sistemas de la víctima.
La empresa petrolera aún no ha revelado el supuesto incidente.
Black Basta ha estado activo desde abril de 2022 y, al igual que otras operaciones de ransomware, implementa un modelo de ataque de doble extorsión.
En noviembre de 2022, investigadores de Sentinel Labs informaron haber encontrado pruebas que vinculan al grupo de ransomware Black Basta con el grupo de hackers FIN7, motivado por fines financieros.
En noviembre de 2022, expertos del equipo de Cybereason Global SOC (GSOC) observaron un aumento en las infecciones de Qakbot como parte de una campaña agresiva de malware que lleva a infecciones de ransomware Black Basta en EE.UU.
La cadena de ataque comienza con una infección de QBot. Los operadores usan la herramienta de post-explotación Cobalt Strike para tomar el control de la máquina y finalmente desplegar el ransomware Black Basta. Los ataques comienzan con un correo electrónico de spam/phishing que contiene enlaces URL maliciosos.
Los investigadores notaron que una vez obtenida la accesibilidad a la red, el actor de la amenaza se mueve extremadamente rápido. En algunos casos observados por Cybereason, el actor de la amenaza obtuvo privilegios de administrador de dominio en menos de dos horas y desplegó el ransomware en menos de 12 horas.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
El FBI, la Agencia Nacional de Crimen del Reino Unido (UK National Crime Agency) y Europol han revelado la identidad de Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años originario de Voronezh, como el administrador y desarrollador principal de la operación de ransomware LockBit, conocido también como ‘LockBitSupp’ y ‘putinkrab’. Por primera vez, se ha identificado públicamente al líder de este notorio grupo criminal.
Las autoridades han impuesto sanciones a Khoroshev, incluyendo congelación de activos y prohibiciones de viaje, anunciadas conjuntamente por el Departamento de Tesorería de los Estados Unidos y el Departamento de Asuntos Exteriores de Australia, entre otros. Khoroshev, quien valoraba el anonimato y llegó a ofrecer una recompensa de 10 millones de dólares por información sobre su identidad, ahora enfrenta restricciones significativas.
La información obtenida de los sistemas del grupo revela que desde junio de 2022 hasta febrero de 2024, se orquestaron más de 7,000 ataques, afectando principalmente a países como EE. UU., Reino Unido, Francia, Alemania y China. Los ataques se centraron especialmente en más de 100 hospitales y empresas de salud, sumando al menos 2,110 víctimas.
BingX exchange confiable de Criptomonedas
A pesar de intentos por reconstruir su red en febrero, una operación de cumplimiento de la ley internacional afectó significativamente a LockBit. Desde la intervención, los ataques en el Reino Unido han disminuido un 73%, con reducciones similares en otros países. La investigación también proporcionó detalles sobre la estructura y la red del grupo, identificando a 194 afiliados que usaron los servicios de LockBit hasta febrero de 2024, de los cuales 148 planificaron ataques y 119 negociaron con las víctimas, aunque 39 de estos últimos nunca recibieron un pago de rescate.
El director general de la NCA, Graeme Biggar, destacó la importancia de las sanciones y afirmó que no hay escondite para cibercriminales como Khoroshev. La investigación sobre LockBit continúa, y ahora se enfoca también en los afiliados que han utilizado los servicios del grupo para lanzar ataques devastadores de ransomware contra escuelas, hospitales y grandes empresas en todo el mundo.
Europol ha facilitado más de 2,500 claves de descifrado y está en contacto con las víctimas de LockBit para ofrecer asistencia. Con el apoyo de Europol, agencias como la Policía Japonesa, la NCA y el FBI han desarrollado herramientas de descifrado para recuperar archivos cifrados por el ransomware LockBit, ahora disponibles gratuitamente en el portal No More Ransom en 37 idiomas.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Agencias gubernamentales y de inteligencia de varios paises, reunieron información y reportes donde revelaron que el ransomware Akira ha perjudicado a más de 250 entidades en todo el mundo y ha recibido más de 42 millones de dólares en pagos de rescate.
Agencias de Inteligencia de varios paises revelaron que el ransomware Akira ha recibido más de 42 millones de dólares en pagos de rescate.
Unaviso conjunto publicado por CISA, el FBI, Europol y el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL) reveló que desde principios de 2023, los operadores de ransomware Akira recibieron 42 millones de dólares en pagos de rescate de más de 250 víctimas en todo el mundo.
El ransomware Akira ha estado activo desde marzo de 2023; los actores de amenazas detrás del malware afirman haber pirateado varias organizaciones en múltiples industrias, incluidas la educación, las finanzas y el sector inmobiliario. Al igual que otras bandas de ransomware, el grupo ha desarrollado un cifrador de Linux para apuntar a servidores VMware ESXi.
BingX exchange confiable de Criptomonedas
Los operadores del ransomware Akira implementan un modelo de doble extorsión al exfiltrar los datos de las víctimas antes de cifrarlos.
Las versiones anteriores del ransomware se escribieron en C++ y el malware agregaba la extensión .akira a los archivos cifrados. Sin embargo, a partir de agosto de 2023, ciertos ataques de Akira comenzaron a utilizar Megazord, que emplea código basado en Rust y cifra archivos con una extensión .powerranges. Los actores de amenazas de Akira han persistido en emplear tanto Megazord como Akira, incluido Akira_v2, identificados por investigaciones independientes, indistintamente.
Los investigadores de ciberseguridad observaron que los actores de amenazas obtenían acceso inicial a las organizaciones a través de un servicio de red privada virtual (VPN) sin autenticación multifactor (MFA) configurada. Los atacantes utilizaron principalmente las vulnerabilidades de Cisco CVE-2020-3259 y CVE-2023-20269.
También se observó que los operadores de Akira utilizaban servicios externos como el Protocolo de escritorio remoto (RDP), phishing y el abuso de credenciales válidas.
Después del acceso inicial, se observó que los actores de amenazas explotaban las funciones del controlador de dominio generando nuevas cuentas de dominio para establecer la persistencia. En algunos ataques, los actores de amenazas crearon una cuenta administrativa denominada itadm.
“Según el FBI y los informes de código abierto, los actores de amenazas de Akira aprovechan técnicas de ataque posteriores a la explotación, como Kerberoasting, para extraer las credenciales almacenadas en la memoria de proceso del Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS). Los actores de amenazas de Akira también utilizan herramientas de extracción de credenciales como Mimikatz y LaZagne para ayudar en la escalada de privilegios”. lee el informe. “Herramientas como SoftPerfect y Advanced IP Scanner se utilizan a menudo con fines de descubrimiento (reconocimiento) de dispositivos de red y los comandos net de Windows se utilizan para identificar controladores de dominio y recopilar información sobre las relaciones de confianza del dominio”.
Se ha observado que los operadores de Akira implementan dos variantes distintas de ransomware contra diferentes arquitecturas de sistemas dentro del mismo ataque. Fue esta primera vez que los operadores adoptaron esta táctica.
Los operadores frecuentemente desactivan el software de seguridad para evadir la detección y para el movimiento lateral. Los expertos del gobierno observaron el uso de PowerTool por parte de los actores de amenazas de Akira para explotar el controlador Zemana AntiMalware y finalizar los procesos relacionados con el antivirus.
Los actores de amenazas utilizan FileZilla, WinRAR, WinSCP y RClone para la filtración de datos. Los atacantes utilizan AnyDesk, Cloudflare Tunnel, RustDesk, Ngrok y Cloudflare Tunnel para comunicarse con el comando y control (C&C).
“Los actores de amenazas de Akira utilizan un sofisticado esquema de cifrado híbrido para bloquear datos. Esto implica combinar un cifrado de flujo ChaCha20 con un criptosistema de clave pública RSA para un intercambio de claves rápido y seguro. Este enfoque de múltiples capas adapta los métodos de cifrado según el tipo y tamaño del archivo y es capaz de realizar un cifrado total o parcial”. concluye el aviso que incluye indicadores de compromiso (IoC)”.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Las fuerzas del orden proporcionaron detalles adicionales sobre la Operación Cronos internacional que provocó la interrupción de la operación del ransomware Lockbit.
Ayer, una acción policial conjunta, denominada Operación Cronos, llevada a cabo por agencias policiales de 11 países interrumpió la operación del ransomware LockBit.
A continuación se muestra la imagen del sitio de filtración de Tor de la banda de ransomware Lockbit que fue incautada por la Agencia Nacional contra el Crimen (NCA) del Reino Unido.
Operación Cronos, acción legal llevada a cabo por agencias policiales de 11 países, ha interrumpido la operación del ransomware LockBit.
“El sitio ahora está bajo el control de las autoridades. Este sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, que trabaja en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, ‘Operación Cronos’”, se lee en el cartel.
“Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales; esta es una operación en curso y en desarrollo. Regrese aquí para obtener más información a las: 11:30 GMT del martes 20 de febrero” La operación Operación Cronos aún está en curso y la NCA anunció que aún no se ha compartido más información.
“El sitio ahora está bajo el control de las autoridades. Este sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, Operación Cronos”, dice el cartel.
Operación Policiaca de Interrpol, Europol y más de 10 paises operaron para desmantelar la pandilla cibernetica de Lockbit Ransomware
“Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales; esta es una operación en curso y en desarrollo”.
Los investigadores de vx-underground se pusieron en contacto con los administradores de la pandilla, quienes confirmaron que el FBI se había apoderado de su infraestructura.
BingX exchange confiable de Criptomonedas
La operación condujo al arresto de dos miembros de la banda de ransomware en Polonia y Ucrania y a la incautación de cientos de carteras criptográficas utilizadas por el grupo.
Lockbit ransomware group administrative staff has confirmed with us their websites have been seized. pic.twitter.com/SvpbeslrCd
La NCA británica tomó el control del entorno de administración central de LockBit utilizado por los afiliados de RaaS para llevar a cabo los ciberataques. Las autoridades también se apoderaron del sitio de filtración Tor de la web oscura utilizado por el grupo.
La NCA se apoderó del sitio de filtración de Tor y ahora se utiliza para publicar actualizaciones sobre la operación policial y brindar apoyo a las víctimas de la pandilla.
La NCA también obtuvo el código fuente de la plataforma LockBit y una enorme cantidad de información sobre el funcionamiento del grupo, incluida información sobre afiliados y seguidores.
Las fuerzas del orden también tuvieron acceso a los datos robados a las víctimas de la operación de ransomware, una circunstancia que resalta el hecho de que incluso cuando se paga un rescate, la banda de ransomware a menudo no elimina la información robada.
“LockBit tenía una herramienta de filtración de datos personalizada, conocida como Stealbit, que los afiliados utilizaban para robar datos de las víctimas. En las últimas 12 horas, miembros del grupo de trabajo Op Cronos se han apoderado de esta infraestructura, con sede en tres países, y también han sido desactivados 28 servidores pertenecientes a afiliados de LockBit”. lee el anuncio de la NCA. “La infiltración técnica y la interrupción son sólo el comienzo de una serie de acciones contra LockBit y sus afiliados. En una acción más amplia coordinada por Europol, dos actores de LockBit fueron arrestados esta mañana en Polonia y Ucrania, y se congelaron más de 200 cuentas de criptomonedas vinculadas al grupo”.
El Departamento de Justicia de EE. UU. acusó a dos personas de orquestar ataques de ransomware utilizando el ransomware LockBit. Actualmente se encuentran bajo custodia y serán juzgados en EE. UU.
“El Departamento de Justicia también reveló una acusación obtenida en el Distrito de Nueva Jersey acusando a los ciudadanos rusos Artur Sungatov e Ivan Kondratyev, también conocidos como Bassterlord, de implementar LockBit contra numerosas víctimas en todo Estados Unidos, incluidas empresas de todo el país en la industria manufacturera y otras industrias. así como víctimas en todo el mundo en la industria de semiconductores y otras industrias. Hoy, se revelaron cargos penales adicionales contra Kondratyev en el Distrito Norte de California relacionados con su implementación en 2020 de ransomware contra una víctima ubicada en California”. lee el comunicado de prensa publicado por el Departamento de Justicia. “Finalmente, el Departamento también reveló dos órdenes de registro emitidas en el Distrito de Nueva Jersey que autorizaban al FBI a interrumpir múltiples servidores con sede en EE. UU. utilizados por miembros de LockBit en relación con la interrupción de LockBit”.
Además, las autoridades estadounidenses han presentado acusaciones contra dos ciudadanos rusos, acusándolos de conspirar para llevar a cabo ataques LockBit.
La NCA y sus socios globales han obtenido más de 1000 claves de descifrado que permitirán a las víctimas de la pandilla recuperar sus archivos de forma gratuita. La NCA se comunicará con las víctimas radicadas en el Reino Unido en los próximos días y semanas, brindándoles apoyo para ayudarlas a recuperar datos cifrados.
“Esta investigación dirigida por la NCA es una interrupción innovadora del grupo de delitos cibernéticos más dañino del mundo. Demuestra que ninguna operación criminal, dondequiera que esté y por muy avanzada que sea, está fuera del alcance de la Agencia y nuestros socios”. dijo el director general de la Agencia Nacional contra el Crimen, Graeme Biggar.
“A través de nuestra estrecha colaboración, hemos pirateado a los piratas informáticos; tomó el control de su infraestructura, se apoderó de su código fuente y obtuvo claves que ayudarán a las víctimas a descifrar sus sistemas”.
“A partir de hoy, LockBit está bloqueado. Hemos dañado la capacidad y, más notablemente, la credibilidad de un grupo que dependía del secreto y el anonimato.
La ley proporciona más información de Operación Cronos – Desmantelamiento de la pandilla cibernética de Lockbit Ransomware
“Nuestro trabajo no termina aquí. LockBit puede intentar reconstruir su empresa criminal. Sin embargo, sabemos quiénes son y cómo operan. Somos tenaces y no cejaremos en nuestros esfuerzos para atacar a este grupo y a cualquiera asociado con él”. El descifrador gratuito del ransomware Lockbit se puede descargar desde el sitio web de la iniciativa “No More Ransom”. No está claro a qué versión del ransomware se dirige el descifrador.
LockBit es una importante operación de ransomware que surgió por primera vez en septiembre de 2019. En 2022, LockBit fue uno de los grupos de ransomware más activos y su prevalencia continuó hasta 2023. Desde enero de 2020, los afiliados que utilizan LockBit se han dirigido a organizaciones de diversos tamaños que abarcan sectores de infraestructura crítica. tales como servicios financieros, alimentación y agricultura, educación, energía, servicios gubernamentales y de emergencia, atención médica, manufactura y transporte. La operación de ransomware LockBit operó bajo un modelo de Ransomware como servicio (RaaS), reclutando afiliados para llevar a cabo ataques de ransomware mediante la utilización de herramientas e infraestructura de ransomware LockBit.
Según un informe conjunto publicado por autoridades estadounidenses y pares internacionales, el total de rescates pagados a LockBit en Estados Unidos es de aproximadamente 91 millones de dólares desde que se observó por primera vez la actividad de LockBit en Estados Unidos el 5 de enero de 2020.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Una acción policial conjunta, denominada Operación Cronos, llevada a cabo por agencias policiales de 11 países ha interrumpido la operación del ransomware LockBit.
A continuación se muestra la imagen del sitio de filtración de Tor de la banda de ransomware Lockbit que fue incautada por la Agencia Nacional contra el Crimen (NCA) del Reino Unido.
Conoce Stake Cripto Casino
“The site is now under the control of law enforcement. This site is now under the control of The National Crime Agency of the UK, working in close cooperation with the FBI and the international law enforcement task force, ‘Operation Cronos’,” reads the banner.
Lockbit ransomware group administrative staff has confirmed with us their websites have been seized. pic.twitter.com/SvpbeslrCd
“We can confirm that Lockbit’s services have been disrupted as a result of International Law Enforcement action – this is an ongoing and developing operation. Return here for more information at: 11:30 GMT on Tuesday 20th Feb”
The Operation Cronos operation is still ongoing and NCA’s announced that more information will be published tomorrow, February 20, 2024.
BingX exchange confiable de Criptomonedas
“El sitio ahora está bajo el control de las autoridades. Este sitio ahora está bajo el control de la Agencia Nacional contra el Crimen del Reino Unido, trabajando en estrecha cooperación con el FBI y el grupo de trabajo internacional de aplicación de la ley, Operación Cronos”, dice el cartel.
Lockbit ransomware group administration claims that law enforcement agencies compromised them by exploiting CVE-2023-3824
“Podemos confirmar que los servicios de Lockbit se han visto interrumpidos como resultado de la acción de las autoridades internacionales; esta es una operación en curso y en desarrollo”.
Los investigadores de vx-underground se pusieron en contacto con los administradores de la pandilla, quienes confirmaron que el FBI se había apoderado de su infraestructura.
LockBit es una importante operación de ransomware que surgió por primera vez en septiembre de 2019. En 2022, LockBit fue uno de los grupos de ransomware más activos y su prevalencia continuó hasta 2023. Desde enero de 2020, los afiliados que utilizan LockBit se han dirigido a organizaciones de diversos tamaños que abarcan sectores de infraestructura crítica. tales como servicios financieros, alimentación y agricultura, educación, energía, servicios gubernamentales y de emergencia, atención médica, manufactura y transporte. La operación de ransomware LockBit operó bajo un modelo de Ransomware como servicio (RaaS), reclutando afiliados para llevar a cabo ataques de ransomware mediante la utilización de herramientas e infraestructura de ransomware LockBit.
Según un informe conjunto publicado por autoridades estadounidenses y pares internacionales, el total de rescates pagados a LockBit en Estados Unidos es de aproximadamente 91 millones de dólares desde que se observó por primera vez la actividad de LockBit en Estados Unidos el 5 de enero de 2020.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Un ciberataque ha dejado sin sistema informático al Ayuntamiento de Sant Antoni, que está a ciegas desde la pasada medianoche. Desde el Consistorio confirman que han sufrido “un ciberataque de ransomware que ha afectado a los sistemas informáticos municipales”.
Este tipo de ataque denominado ransomwareutiliza un malware con el objetivo de lograr el control de los equipos informáticos en los que se adentra para cifrar todos sus archivos , a cambio de una condición que suele el pago de un rescate por parte del afectado.
Los empleados y funcionarios del Consistorio se han encontrado esta mañana, al llegar a sus puestos de trabajo, con que no podían acceder al sistema interno municipal; tampoco a sus archivos.
BingX exchange confiable de Criptomonedas
Analizar el alcance del ataque
“El problema se ha detectado esta medianoche y, desde entonces, el servicio de informática, que ya ha contactado con un equipo de especialistas, está trabajando para analizar el alcance del ataque y la afectación que ha tenido en los servicios municipales”, informan desde el equipo de gobierno.
Los primeros trabajos de estos profesionales, “se están focalizando en la contención del ciberataque y el inicio de los procesos de recuperación”.
Los equipos informáticos “se mantienen paralizados y se ha comunicado a los empleados las pautas de actuación mientras se analiza y soluciona la situación”. El problema informático, advierten, “es grave y se necesitará tiempo para restablecer la situación de normalidad”.
Desde el Ayuntamiento recomiendan a la ciudadanía llamar antes de acudir de forma presencial para confirmar si se podrán realizar los trámites o atender su cita.
Sant Antoni sigue con el sistema informático secuestrado pero logra activar servicios mínimos
El Ayuntamiento de Sant Antoni sigue ‘secuestrado’ por piratas informáticos que entraron en su sistema la medianoche de este jueves y bloquearon los sistemas de la corporación local. Los técnicos continúan analizando los daños y estudian cómo afrontar este problema que ya han sufrido otros ayuntamientos de las islas, como el de Calvià a principios de enero. En el caso de este consistorio mallorquín, el alcalde se negó a pagar los nueve millones de euros de rescate que exigían los secuestradores.
A la espera de entrar en contacto con los responsables de este asalto, el Consistorio de Portmany ha logrado restablecer servicios mínimos con ordenadores portátiles nuevos, que no han estado en contacto con la red municipal intervenida desde el exterior. Desde el gabinete de prensa indican que han activado el registro de entrada de documentos y las gestiones para el empadronamiento.
También solicitan a los ciudadanos que tengan que realizar trámites en el Consistorio que llamen antes (971 340 111) para saber si será posible llevarlos a cabo o si, como consecuencia del ataque, todavía no están habilitados.
Desde el Consistorio confirmaron este jueves que habían sufrido “un ciberataque de ransomware que ha afectado a los sistemas informáticos municipales”.
“El problema se ha detectado esta medianoche [por la del jueves] y, desde entonces, el servicio de informática, que ya ha contactado con un equipo de especialistas, está trabajando para analizar el alcance del ataque y la afectación que ha tenido en los servicios municipales”, informaron ayer desde el equipo de gobierno.
Conoce Stake Cripto Casino
Los primeros trabajos de estos profesionales se centraron en “la contención del ciberataque y el inicio de los procesos de recuperación”.
Los equipos informáticos “se mantienen paralizados y se ha comunicado a los empleados las pautas de actuación mientras se analiza y soluciona la situación”. El problema informático, advertían desde el Consistorio, “es grave y se necesitará tiempo para restablecer la situación de normalidad”.
Desde el Ayuntamiento insisten en recomendar a la ciudadanía que llamen antes de acudir de forma presencial para confirmar si se podrán realizar los trámites o atender su cita.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
La reconocida empresa proveedora de internet de Paraguay y Colombia, Tigo, ha sido víctima de un ataque de ransomware que ha afectado significativamente a su división empresarial, Tigo Business. La amenaza, vinculada al grupo de ransomeware conocido como “Black Hunt”, ha generado una alerta roja por parte de las Fuerzas Armadas de la Nación de Paraguay.
BingX exchange confiable de Criptomonedas
El domingo 7 de enero, Tigo emitió un comunicado informando a sus clientes sobre un incidente de seguridad que ha afectado la infraestructura de sus servicios empresariales. La compañía aseguró que está trabajando con equipos locales y regionales, con el respaldo de expertos técnicos, para restaurar los servicios afectados.
Al menos dos grandes empresas que se dedican al comercio electrónico informaron al público acerca de problemas en sus páginas web que impiden a los usuarios hacer compras en líneas. En redes sociales, hay usuarios que reportan que la caída afectó las ventas electrónicas en los sitios web de clientes corporativos que utilizan los servicios de hosting de la empresa Tigo, que admitió un incidente de seguridad.
“El pasado 4 de enero hemos sido víctimas de un incidente de seguridad en nuestra infraestructura como servicio de Tigo Business Paraguay, lo que ha afectado el normal suministro de algunos servicios específicos a un grupo limitado de clientes del segmento corporativo (empresas)”
“Informamos que hemos experimentado un incidente de seguridad en nuestra infraestructura como servicio de “Tigo Business”, lo que ha afectado el normal suministro de algunos servicios específicos a un grupo limitado de clientes del segmento corporativo (empresas). Ningún otro servicio masivo o corporativo ha sido afectado. Los servicios de telefonía, internet y billetera electrónica funcionan con total normalidad. Todo nuestro equipo se encuentra enfocado en la restauración de los servicios corporativos afectados”.
Si bien el ataque ha sido confirmado por TIGO, según datos extraoficiales, el hackeo habría afectado servidores del Data Center así como las copias de seguridad y los delincuentes estarían exigiendo un rescate de 8 Millones de dólares en Bitcoin.
Los archivos cifrados por el ransomware BlackHunt se pueden identificar con el siguiente patrón de nombre de archivo: [ID único asignado a cada máquina comprometida].[dirección de correo electrónico de contacto].Black. El ransomware también elimina instantáneas, lo que dificulta la recuperación de archivos. El ransomware también deja dos notas de rescate: una se titula #BlackHunt_ReadMe.hta y la otra es #BlackHunt_ReadMe.txt.
El viceministro de Tecnologías del Ministerio de Tecnologías de la Información y Comunicación (MITIC) de Paraguay, Juan Ardissone, destacó la importancia de la prevención de ciberataques y ofreció el respaldo del Estado a empresas privadas en eventos de esta naturaleza. Aunque el Estado paraguayo no tiene información detallada sobre el ataque interno de Tigo, el MITIC está dispuesto a ofrecer ayuda según sea necesario.
Donate To AddressDonate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
Donar Bitcoin(BTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Bitcoin(BTC)
Tag/Note:- 1KrSKHjLxJfY9LvjwsWYLxeJFmvp5HQPo1
Donar Litecoin(LTC) a esta dirección
Escanee el código QR o copie la dirección a continuación en su billetera para enviar algunos Litecoin(LTC)
Donate To Address
Donate Via Wallets
Bitcoin
Litecoin
Ethereum
Bitcoin cash
MetaMask
Trust Wallet
Binance Wallet
WalletConnect
