Lo + Nuevo
Noticias de Ciberseguridad –
Tag

Ransomware

Browsing
ciberseguridad

Un ataque del Ransomware Conti obliga a detener la producción de la cerveza Estrella Damm

Un mes después del ataque informático del ransomware Pysa a la Universidad Autónoma de Barcelona, y del reciente ataque ransomware Hive a la multinacional MediaMarkt.  de ​​este jueves hay una nueva víctima: la cervecera Damm víctima del ransomware Conti. El fabricante de cerveza tiene todos los centros de trabajo parados y los pedidos se están sirviendo gracias al stock, pero ya avisan de que si los problemas se alargan la principal fábrica, en El Prat de Llobregat, puede quedarse sin stock en cuestión de días.

Un ataque informático obliga a detener la producción de cerveza Damm

  • El fabricante de cerveza tiene todos los centros de trabajo parados
  • La principal fábrica, en El Prat de Llobregat, puede quedarse sin stock en cuestión de días
  • El Prat, donde trabajan alrededor de 400 personas 

Los atacantes pidieron un rescate para dejar que la compañía vuelva a la normalidad. Aparte de la fábrica de El Prat, Damm también produce cerveza, en menor cantidad, en las otras dos plantas que tiene en España, en Murcia y en Alicante.

Un ataque informático ha obligado a detener la producción de cerveza Damm en la fábrica que tiene en El Prat de Llobregat, la más importante de la compañía. Fuentes cercanas a la empresa han explicado que si la situación se alarga la planta puede quedarse sin stock en cuestión de días. Para librarse del ataque la compañía debe pagar un rescate por importe que este diario no ha podido confirmar.

Las mismas fuentes explican que si el ataque se hubiera producido en los meses de verano las consecuencias aún hubieran sido más catastróficas, ya que debido al aumento del consumo de cerveza el stock suele durar escasamente tres días.

Search and buy domains from Namecheap. Lowest prices!

Portavoces de Damm se han limitado a decir este diario que desde el miércoles por la mañana tienen una “incidencia informática en el sistema operativo” pero sin especificar las causas. “Se están investigando”, aseguraron añadiendo que no descartan ninguna hipótesis. Los propios portavoces explicaron que desde el primer momento se ha activado el protocolo establecido ante “este tipo de incidencia” y que se está trabajando para “restablecer” toda la producción. También insistieron en que de momento se está haciendo con “normalidad” la distribución a los canales alimentación y de horeca (hoteles, restaurantes y cafeterías) y que desconocen cuándo se volverá a la normalidad.

Aparte de la fábrica de El Prat, que es la más importante tanto en dimensiones como en producción, Damm también produce cerveza, pero en menor cantidad, en las otras dos plantas que tiene en España: una ubicada en Murcia y otra en Alicante .

Los técnicos de la empresa están trabajando para restablecer todo el sistema y analizar el grado de afectación de este problema informático. El objetivo es reanudar la operativa diaria “lo antes posible”, según fuentes de la compañía. La compañía tendría asegurado el stock de sus productos durante los siguientes días, pero si la incidencia se prolongara podría haber dificultades en la distribución a partir de la semana que viene.

Ciberataques de ransomware

El goteo de ataques informáticos a empresas e instituciones es cada vez más constante. Dos de los últimos que se han producido han afectado a la Universidad Autónoma de Barcelona (UAB) o a la multinacional germánica MediaMarkt. En el caso de la UAB los autores inutilizó hace un mes los servicios informáticos creando un caos en el campus, afectando a más de 650.000 archivos y pidiendo un rescate de 3 millones de euros. De hecho esta misma semana han amenazado con hacer pública la información conseguida de empresas y entidades gracias al ciberataque. En cuanto a MediaMarkt afectó de forma directa a sus tiendas de Alemania, Bélgica y Países Bajos y, en menor medida, a las de otros países como algunas de España. Concretamente el ataque afectó a 3.100 servidores y provocó que las cajas registradoras funcionaran mal. 

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

El Equipo de F1 McLaren recibe más de 34 mil correos maliciosos por semana

En una semana típica, interrumpe al menos 34.600 correos maliciosos dirigidos al equipo —tres por minuto—; además, evita otro tipo de amenazas y vela por el buen funcionamiento del equipo. Las escuderías son más vulnerables en fin de semana, especialmente cuando hay carreras. según afirma La empresa de ciberseguridad basada en Inteligencia Artificial (IA) socia de la escudería McLaren desde 2020,

Search and buy domains from Namecheap. Lowest prices!

Si bien las brechas de seguridad pueden ocurrir en cualquier momento, “los equipos de F1 son más vulnerables a los ciberataques durante un fin de semana de carreras, los periodos de mayor actividad para cada equipo de F1”, comenta Darktrace.

Las escuderías son propensas a amenazas como filtración de datos, ataques a través de la cadena de suministros y, cada vez más, el ransomware. 

“El vector de ataque o punto de entrada más común para estas violaciones es la bandeja de entrada del correo electrónico. A medida que los correos electrónicos de phishing y las solicitudes de terceros proveedores se vuelven más convincentes y direccionadas, incluso las defensas perimetrales más robustas son susceptibles de un error humano razonable, y los atacantes lo saben”, dice la empresa a Business Insider México.  

Durante un fin de semana de carreras, el tráfico general de correos electrónicos aumenta entre 18% y 24%, con un incremento del 3% al 7.5% de amenazas serias, asegura Darktrace.

Tras los datos de telemetría

Los ciberdelincuentes que atacan a las escuderías de Fórmula 1 habitualmente tienen un objetivo en mente: hacerse con los datos de telemetría.

“En McLaren, ningún monoplaza sale a la pista si el equipo no tiene total visibilidad sobre los datos producidos. Estos datos incluyen información sobre los daños sufridos por los vehículos durante una carrera o las necesidades del piloto en tiempo real. Los ataques disruptivos como el ransomware, en el que los agresores tratan de cifrar estos datos, no solo pueden interrumpir la carrera, sino también poner en peligro a los pilotos”, comenta Darktrace.

Los monoplazas de McLaren generan 1 terabyte de datos (más de 1.5 millones de megabytes) en los fines de semana de carreras. Esta información va desde los circuitos hasta la sede de McLaren Racing en Reino Unido, y de vuelta, en 55 milisegundos, lo que permite al equipo tomar decisiones rápidas.

“Los atacantes que buscan maximizar la interrupción del negocio a menudo apuntan a los equipos de F1 por esta riqueza de datos de telemetría disponibles durante una carrera. Cualquier interrupción del acceso de un equipo a estos datos críticos podría significar la pérdida de la ventaja competitiva e incluso resultar en un peligro para los pilotos en la pista”.

Las IA no solo ayuda a la ciberseguridad, sino también a la innovación

McLaren, por ejemplo, dice crear una pieza nueva para sus monoplazas cada 17 minutos. Eso significa que al final de cada temporada, 80% de los vehículos será distinto, lo que obliga a la innovación constante. 

“El coche más rápido en la primera carrera de la temporada estaría hoy en día en la cola del pelotón o cerca de ella. Los equipos de F1 están innovando, y los coches de F1 mejoran ampliamente de carrera a carrera. Las preocupaciones en torno a la propiedad intelectual se han duplicado de cara a la temporada 2022, ya que los cambios en el reglamento exigen cambios tecnológicos significativos en los coches”, dice Darktrace. 

En este sentido, los datos generados por la tecnología da a los equipos visibilidad y posibilidad de mejorar. Además, en caso de una amenaza, la IA puede defender y contener amenazas a máxima velocidad.

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

Tiendas MediaMarkt víctimas de un ataque ransomware: hasta 3.100 servidores afectados

MediaMarkt y Saturn han sufrido un ataque de ransomware del grupo Hive en la madrugada del domingo al lunes, que desde las 7 de la mañana afecta a sus operaciones en varios países europeos, principalmente Alemania, Holanda y Bélgica. Las tiendas permanecen abiertas y es posible comprar productos que estén físicamente en tienda, pero resulta imposible la recogidas de productos de la web y hacer devoluciones. Con una demanda inicial de rescate de 240 millones dólares podría ser el precio más alto pedido hasta el momento. Reducido ya a la mitad. No en vano, MediaMarkt tiene 53 mil empleados, y más de 1.000 tiendas en 13 países.

MediaMarkt es el minorista de electrónica de consumo más grande de Europa con más de 1.000 tiendas en 13 países. MediaMarkt emplea aproximadamente a 53.000 empleados y tiene unas ventas totales de 20.800 millones de euros.El gigante minorista de productos electrónicos MediaMarkt ha sufrido un ataque de ransomware que ha provocado el cierre de los sistemas de TI y la interrupción de las operaciones de las tiendas en los Países Bajos y Alemania.
Hive, un grupo de ransomware activo desde al menos junio de 2021, ya ha atacado a más de 30 organizaciones, contando solo a las víctimas que se negaron a pagar el rescate.
Las nuevas variantes de Hive están escritas en el lenguaje de programación Golang, pero las cadenas, nombres de los paquetes y nombre de las funciones han sido ofuscadas, probablemente con la herramienta Gobfuscate.

¿Qué ha ocurrido?

Un ataque de ransomware ha afectado a 3.100 servidores de MediaMarkt en varios países del centro y el norte de Europa, según han informado fuentes de la multinacional alemana de productos electrónicos. El ataque se ha producido a primera hora de esta mañana y tiene consecuencias en tiendas de Holanda, Bélgica y Alemania, aunque aún no hay información oficial sobre el alcance de la intrusión. 

El ataque afecta a distintos establecimientos de España y provoca que solo se puedan vender productos que estén físicamente en los locales, impidiendo realizar los servicios de devolución, recogida y otras gestiones online. 

Los empleados están realizando sus procedimientos de forma manual. Se puede seguir comprando en tienda, pero los empleados deben rellenar una plantilla de forma escrita, a mano, para cualquier transacción en la que sea necesaria una factura. Por si fuera poco, dichas fuentes afirman que este problema durará días.

¿Qué sabemos hasta ahora?

Un correo interno publicado en Twitter habla de 3.100 servidores Windows afectados. La compañía habría pedido a los empleados que desconecten los ordenadores, incluyendo cajas registradoras, de la red para evitar la extensión del ataque.

El problema podría está afectando también a las tiendas situadas en España, en las que no es posible acceder a los pedidos, no se pueden hacer devoluciones de productos o pagar mediante datáfono.

  • Cajas registradoras  no funcionan
  • No se puede pagar con tarjetas de crédito
  • No se pueden realizar devoluciones.

Un ataque de ransomware de fin de semana

MediaMarkt sufrió un ataque de ransomware el fin de semana que cifró servidores y estaciones de trabajo y provocó el cierre de los sistemas de TI para evitar la propagación del ataque.

Si bien las ventas en línea continúan funcionando como se esperaba, las cajas registradoras no pueden aceptar tarjetas de crédito ni imprimir recibos en las tiendas afectadas. La interrupción de los sistemas también impide las devoluciones debido a la imposibilidad de buscar compras anteriores.

Search and buy domains from Namecheap. Lowest prices!


Los medios locales informan que las comunicaciones internas de MediaMarkt les dicen a los empleados que eviten los sistemas cifrados y desconecten las cajas registradoras de la red.

Hive, además de cifrar archivos, Hive también roba datos confidenciales de las redes, amenazando con publicar todo en su sitio web HiveLeak, alojado en la web profunda, que es una práctica común entre el ransomware que trabaja en este esquema de doble extorsión.

Hay dos sitios web mantenidos por el grupo, el primero está protegido por el nombre de usuario y la contraseña, accesible solo por las víctimas que obtienen las credenciales en la nota de rescate. 

Entre los métodos que utiliza la banda para obtener acceso inicial y moverse lateralmente en la red se encuentran los correos electrónicos de phishing con archivos adjuntos maliciosos y el Protocolo de escritorio remoto (RDP).

Antes de implementar la rutina de cifrado, el ransomware Hive roba los archivos que considera valiosos para engañar a la víctima para que pague el rescate bajo la amenaza de pérdida de datos.

Ejemplo nota de rescate Hive

Your network has been breached and all data were encrypted.

Personal data, financial reports and important documents are ready to disclose.

To decrypt all the data or to prevent exfiltrated files to be disclosed at

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/

you will need to purchase our decryption software.

Please contact our sales department at:

REDACTED

Login: REDACTED

Password: REDACTED

To get access to .onion websites download and install Tor Browser at:

https://www.torproject.org/ (Tor Browser is not related to us)

Follow the guidelines below to avoid losing your data:

– Do not shutdown or reboot your computers, unmount external storages.

– Do not try to decrypt data using third party software. It may cause

irreversible damage.

– Do not fool yourself. Encryption has perfect secrecy and it’s impossible

to decrypt without knowing the key.

– Do not modify, rename or delete *.key.k6thw files. Your

data will be undecryptable.

– Do not modify or rename encrypted files. You will lose them.

– Do not report to authorities. The negotiation process will be terminated

immediately and the key will be erased.

– Do not reject to purchase. Your sensitive data will be publicly disclosed.

El FBI señala que el autor de la amenaza también se basa en servicios de intercambio de archivos, muchos de ellos anónimos, como Anonfiles, MEGA, Send.Exploit, Ufile o SendSpace.

Una víctima reciente del ransomware Hive es Memorial Health System, que ofrece una red de servicios que incluye tres hospitales y proveedores que representan a 64 clínicas.
Esta es una historia en desarrollo y se actualizará a medida que haya más información disponible.

Fuente (s):

Seguir Leyendo
By
ciberseguridad

Estados Unidos ofrece recompensas de hasta 10 millones de dólares por información de miembros del grupo ransomware DarkSide

El gobierno de Estados Unidos ofrece recompensas de hasta 10 millones de dólares por información que permita identificar o localizar a cibercriminales operadores del ransomware DarkSide. ransomware que opera bajo un modelo conocido como ransomware-as-a-service, en el cual los desarrolladores del malware se encargan de la infraestructura, mientras que los afiliados son quienes se ocupan de llevar adelante los ataques para distribuir el ransomware a cambio de un porcentaje de las ganancias que obtienen por el pago del rescate.

En julio el gobierno norteamericano anunciaba que ofrecía recompensas de hasta 10 millones de dólares por información que permita identificar o localizar a cibercriminales involucrados en ataques a infraestructuras críticas del país u operando bajo el apoyo de un gobierno extranjero. Ahora, las autoridades lanzaron esta recompensa más específica y ofrece importantes sumas de dinero por información que permita identificar o arrestar a los operadores del ransomware DarkSide.

“Al ofrecer esta recompensa, Estados Unidos demuestra su compromiso de proteger a las víctimas de ransomware en todo el mundo”, explicó el Departamento de Estado en el comunicado.

Además, se ofrecen recompensas de hasta 5 millones de dólares por información que permita dar con el paradero de afiliados al grupo, explica el comunicado del Departamento de Estado. Vale recordar que muchas familias de ransomware operan bajo un modelo conocido como ransomware-as-a-service, en el cual los desarrolladores del malware se encargan de la infraestructura, mientras que los afiliados son quienes se ocupan de llevar adelante los ataques para distribuir el ransomware a cambio de un porcentaje de las ganancias que obtienen por el pago del rescate.

El ransomware DarkSide fue el responsable del ataque a la compañía de oleoducto más importante de los Estados Unidos, Colonial Pipeline, que se ocupa de abastecer el 45% del combustible que se consume en la Costa Este del país y a más de 50 millones de habitantes. A raíz del ataque, Colonial Pipeline se vio obligada a interrumpir sus operaciones y esto tuvo un impacto importante, amenazando incluso con provocar un aumento del precio del combustible y largas filas en las estaciones de servicio/gasolineras.

Colonial ha asegurado que pagó a los piratas informáticos casi 5 millones de dólares (cerca de 4,33 millones de euros) en bitcoin para recuperar el acceso a sus sistemas. El Departamento de Justicia de Estados Unidos recuperó en junio alrededor de 2,3 millones de dólares (casi 40.000 euros) del rescate.

Luego de ese ataque el propio presidente de los Estados Unidos manifestó su preocupación por el ransomware y su escalada global en el último tiempo y anunciaba que tomarían medidas para luchar contra el avance. Entre las consecuencias de esas medidas, hace unos días más de 30 países se comprometieron a trabajar de forma conjunta en la lucha contra el ransomware a través de compartir información sobre las víctimas, fuerzas de seguridad y centros de respuesta ante incidentes de seguridad, entre otras acciones.

Fuente (s) :

Seguir Leyendo
By
ciberseguridad

Operación fallida para detener a los reyes del Ransomware: los Rusos Bogachev y Yakubets

En 2010, los dos países europeos prometieron cooperar y ayudar a atrapar a los ciberdelincuentes más exitosos del mundo. Pero las cosas no salieron del todo según lo planeado y algunos de ellos siguen libres: retrasos en el desarrollo de operaciones y acusaciones a policías corruptos protagonizan una relación difícil entre los países. La idea era capturar a Yakubets, el cuál el FBI ofreció una recompensa de 5 millones de dólares y Bogachev, que el FBI también ofrece 3 millones de dólares (2,57 millones de euros) por cualquier información que conduzca a su arresto. Dos de los rusos precursores de toda la problemática del ransomware actual.

 El pasado mes de junio, Joe Biden y Vladímir Putin tuvieron como tema central de su primera cumbre cara a cara la crisis del ransomware, que ha afectado a varios gobiernos, hospitales e incluso a un gran oleoducto estadounidense. Ahora que la infraestructura crítica estaba siendo atacada, los estadounidenses han pedido a Moscú (Rusia) que controle a los criminales dentro de las fronteras del país. Durante esa reunión, en respuesta a la nueva presión de Washington (EE. UU.), Putin habló con Biden sobre qué más se podría hacer para encontrar a los ciberdelincuentes.

Search and buy domains from Namecheap. Lowest prices!

Operación Trident Breach

Los policías estadounidenses tomaron el tren más lento y barato de Kiev (Ucrania) a Donetsk (Rusia).

Después de viajar varias veces entre Ucrania y Estados Unidos, había formas más cómodas de realizar este último trayecto de 400 millas (645 kilómetros). Pero los cinco agentes del FBI se sentían como turistas de lujo en comparación con la mayoría de los viajeros a bordo

En 2019, el FBI ofreció una recompensa de 5 millones de dólares (4,26 millones de euros) por el arresto de Yakubets, y superó oficialmente la recompensa por Bogachev como la mayor recompensa estadounidense por un hacker.

Incluso con tal precio por su cabeza, Yakubets ha permanecido libre, e incluso expandió sus operaciones. En la actualidad, este hombre se busca por dirigir su propio imperio del ciberdelito, el grupo Evil Corp. Según una acusación de 2019, Yakubets es responsable de al menos 100 millones de dólares (85,9 millones de euros) robados. En los dos años transcurridos desde entonces, esa cantidad ha aumentado: hoy en día, la suya es una de las principales bandas de ransomware del mundo.

Al igual que Bogachev, Yakubets parece estar haciendo algo más que buscar ganancias. Según el Departamento del Tesoro de EE. UU., que ha dictado sanciones para Evil Corp, Yakubets había comenzado a trabajar para el FSB ruso en 2017. “Para reforzar sus ciberoperaciones maliciosas, el FSB promueve y capta a los hackers criminales”, ponía en el anuncio de las sanciones de 2019, “permitiéndoles participar en los ataques disruptivos de ransomware y campañas de phishing“.

Actualmente, el FBI ofrece una recompensa de 3 millones de dólares (2,57 millones de euros) por la información que conduzca al arresto de Bogachev. Es una pequeña fracción de la cantidad total que Bogachev ha robado, pero representa la segunda recompensa más alta para captar a un hacker. Bogachev sigue en libertad.

Evgeniy Bogachev, conocido como “Slavik”. Este ruso, que tenía un gusto contradictorio por el anonimato y el gran lujo, escribió el malware Zeus, que infectaba los ordenadores con el objetivo de abrir silenciosamente la puerta a las cuentas bancarias de las personas. Y fue un éxito: simple, sigiloso, efectivo, actualizado regularmente, capaz de comprometer todo tipo de objetivos y lo suficientemente flexible para adaptarse a cualquier tipo de operación de ciberdelito.

La investigación detalló cómo Bogachev había utilizado a Zeus para construir un imperio de ciberdelito opaco con el tipo de precisión y ambición más característico de una corporación multinacional.

El segundo en la lista de Trident Breach fue uno de los clientes más importantes de Bogachev, Vyacheslav Penchukov. Este ucraniano, conocido online como “Tank”, dirigía su propio grupo criminal de hackers utilizando el malware Zeus; lo compraba a Bogachev por miles de dólares por copia y obtenía millones en ganancias. Había creado un equipo que usaba un tipo especial del programa integrable con el software de mensajería instantánea Jabber y ofrecía a los hackers actualizaciones instantáneas sobre sus esfuerzos: cuando se producía un ataque, los clientes recibían un mensaje y luego movían el dinero como querían, muy fácilmente.

El tercer objetivo fue el ruso conocido como “Aqua”, Maksim Yakubets, que orquestaba la operación masiva de blanqueo. Con miles de cómplices y empresas ficticias, trasladaba a Europa del Este el dinero robado de las cuentas bancarias pirateadas.

En abril de 2010, mientras examinaba los datos, Passwaters vio un mensaje que nunca olvidaría. Otro hacker había escrito a Tank: “Estáis jodidos, chicos. El FBI os está observando. He visto los registros de entrada”.

El suegro de Yakubets es un ex oficial de una unidad de fuerzas especiales de élite del FSB, Eduard Bendersky.

Yakubets también tiene supuestos vínculos con el Kremlin, según apuntan medios como el New York Post o el Daily Mail, trabajó para el FSB en 2017 y solicitó una licencia al año siguiente para trabajar con información clasificada de la agencia de inteligencia rusa, dijeron funcionarios estadounidenses en diciembre.

Varios medios británicos lo describieron como un intocable en Moscú. Capaz de pasearse por las calles de la capital de Rusia haciendo trompos con el coche, junto a la policía, con total impunidad. Además, la matrícula de su coche, un Lamborghini Huracán personalizado nada discreto cuyo precio ronda los 250.000 dólares, es toda una declaración de intenciones luciendo la palabra ‘ladrón’ en ruso.

Bogachev siguió siendo un destacado empresario de ciberdelito incluso después de que las redadas de 2010 destruyeran una gran parte de su negocio. Formó una nueva red criminal denominada Business Club, que pronto se volvió gigante: robó más de 100 millones de dólares (más de 85 millones de euros) que se dividieron entre sus miembros. En 2013, el grupo pasó de piratear cuentas bancarias a implementar algunos de los primeros ransomware modernos, con la herramienta CryptoLocker. Una vez más, Bogachev estuvo en el centro de la evolución del nuevo tipo de ciberdelito.

Operación fallida

Craig admite: “Todo dependía del Día D y nos dejaron tirados. El SBU intentaba comunicarse [con los rusos]. El FBI hacía llamadas telefónicas a la embajada en Moscú. Fue un completo silencio. Al final hicimos la operación de todos modos, sin el FSB. Fueron meses de silencio. Nada”.

“La realidad es que la corrupción es un gran desafío para frenar el ciberdelito y puede llegar hasta bastante arriba, pero después de más de 10 años trabajando con los ucranianos para combatir el ciberdelito, puedo decir que hay mucha gente realmente buena en las trincheras trabajando silenciosamente en el lado correcto de esta batalla. Esas personas son la clave”.

Los llamamos los ‘viejos lobos’ del ciberdelito. Personalmente, creo que si Tank, Aqua y Slavik hubieran sido capturados en 2010, las cosas serían un poco diferentes hoy en día

 Pero la realidad es que el ciberdelito seguirá siendo un enorme problema hasta que sea aceptado como una seria amenaza a la seguridad nacional tal y como lo es de verdad”.

Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!
Seguir Leyendo
By
ciberseguridad

Asociación Nacional del Rifle de Estados Unidos víctima del ransomware Grief

Grief (PayOrGrief) un grupo de ransomware vinculado a Evil Corp, con sede en Rusia, afirma haber robado datos del grupo de derechos de armas y ha publicado archivos en su oscuro sitio web.

El grupo de ransomware vinculado a Rusia afirma haber robado datos de la Asociación Nacional del Rifle (NRA) en un ataque de ransomware contra el controvertido grupo de derechos de armas, que se ha negado a comentar nada sobre la situación.

La banda de ransomware Grief incluyó a la NRA como víctima de su nefasta actividad en su sitio de filtración de datos. Brett Callow, analista de amenazas de la firma de ciberseguridad Emsisoft, publicó una captura de pantalla de la publicación de Grief en su cuenta de Twitter.

Grief tiene vínculos con la notoria organización ciberdelincuente rusa Evil Corp y recientemente ha surgido como una creciente amenaza de ransomware.

El grupo mostró capturas de pantalla de hojas de cálculo de Excel que contienen información fiscal de EE. UU. Y montos de inversiones en su sitio de filtración. También publicaron un archivo de 2,7 MB titulado “National Grants.zip”, según un informe de BleepingComputer. Grief supuestamente afirmó que el archivo contiene solicitudes de subvenciones de la NRA.

La NRA no comentará

La NRA es un grupo de derechos civiles cuyo objetivo es proteger los derechos de las personas de la segunda enmienda, o el derecho a portar armas. El grupo ha sido objeto de críticas políticas por parte de aquellos que buscan reducir la violencia con armas de fuego en los EE. UU. Por su postura contra las leyes de control de armas más estrictas, incluso en medio de las crecientes tasas de criminalidad y mortalidad relacionadas con las armas de fuego.

La NRA ha decidido guardar silencio sobre las afirmaciones de Grief por ahora. La organización publicó una declaración atribuida al Director Gerente de la NRA, Andrew Arulanandam, en su cuenta de Twitter, afirmando que “no discute asuntos relacionados con su seguridad física o electrónica”.

“Sin embargo, la NRA toma medidas extraordinarias para proteger la información sobre sus miembros, donantes y operaciones, y está alerta al hacerlo”, según el comunicado.

Al señalar que “es difícil salir disparado de un ciberataque”, un experto en seguridad sugirió que es posible que la NRA no haya ido lo suficientemente lejos al tomar medidas de seguridad defensivas para proteger sus datos confidenciales. 

¿Tácticas cambiantes?

En estos días, los grupos de ransomware se han vuelto cada vez más agresivos y exitosos en la disrupción de numerosas empresas de alto perfil y entidades de infraestructura crítica. Los expertos observaron que las posibilidades de Grief de realizar un ataque de ransomware en la NRA son probables, incluso si la organización opta por no revelar detalles o reconocer el incidente en este momento.

De hecho, quizás fue el manejo del asunto por parte del grupo lo que inspiró a Grief a revelar el ataque antes de que la NRA remediara la situación por sí sola, sugirió otro experto en seguridad. Los grupos de ransomware a menudo divulgan datos en sus sitios web si una organización objetivo se niega a pagar un rescate después de un cierto período de tiempo.

Este puede ser el caso, en particular, si la organización en cuestión “pudo haber querido manejar el incidente en silencio o si los documentos filtrados contienen información de conversaciones o acciones que fueron inferiores a las anteriores”, agregó.

    “La NRA no discute asuntos relacionados con su seguridad física o electrónica. Sin embargo, la NRA toma medidas extraordinarias para proteger la información sobre sus miembros, donantes y operaciones, y está atenta al hacerlo”. – Andrew Arulanandam, director ejecutivo, Asuntos Públicos de la NRA.

Evil Corp – BitPaymer – DoppelPaymer – Grief

Se cree que la banda de ransomware Grief está vinculada a un grupo de piratas informáticos ruso conocido como Evil Corp.

Evil Corp ha estado activo desde 2009 y ha estado involucrado en numerosas actividades cibernéticas maliciosas, incluida la distribución del troyano Dridex para robar credenciales bancarias en línea y robar dinero.

El grupo recurrió al ransomware en 2017, cuando lanzaron un ransomware conocido como BitPaymer. BitPaymer luego se transformó en la operación de ransomware DoppelPaymer en 2019.

Después de años de atacar los intereses de Estados Unidos, el Departamento de Justicia de Estados Unidos acusó a miembros de Evil Corp por robar más de $ 100 millones y agregó al grupo de piratería a la lista de sanciones de la Oficina de Control de Activos Extranjeros (OFAC).

Poco después, el Tesoro de los EE. UU. Advirtió que los negociadores de ransomware podrían enfrentar sanciones civiles por facilitar el pago de rescates a las pandillas en la lista de sanciones.

Desde entonces, Evil Corp ha estado lanzando de forma rutinaria nuevas cepas de ransomware con diferentes nombres para evadir las sanciones de EE. UU. Estas familias de ransomware incluyen WastedLocker, Hades, Phoenix CryptoLocker, PayLoadBin y, más recientemente, Macaw Locker.

Sin embargo, su ransomware original, DoppelPaymer, se ejecutó durante años con el mismo nombre hasta mayo de 2021, cuando dejaron de incluir nuevas víctimas en su sitio de filtración de datos.

Un mes después, surgió la banda de ransomware Grief, y los investigadores de seguridad creían que era un cambio de marca de DoppelPaymer basado en similitudes de código.

Como Grief está vinculado a Evil Corp, es probable que los negociadores de ransomware no faciliten el pago del rescate sin que la víctima obtenga primero la aprobación de la OFAC. 


Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!
Seguir Leyendo
By
ciberseguridad

Desarrollador del malware TrickBot extraditado a EE. UU se enfrenta 60 años de prisión

Un ciudadano ruso que se cree que es miembro del equipo de desarrollo de malware TrickBot ha sido extraditado a los EE. UU. Y actualmente enfrenta cargos que podrían llevarlo a 60 años de prisión. Vladimir Dunaev, de 38 años, también conocido como FFX, era un desarrollador de malware que supervisó la creación del módulo de inyección de navegador de TrickBot, alega la acusación.

  • En los últimos cinco años, el troyano bancario Trickbot ha evolucionado hasta convertirse en una herramienta multifuncional para los ciberdelincuentes
  • Los autores de Trickbot se han aliado con varios socios nuevos con el fin de utilizar el malware para infectar la infraestructura corporativa con todo tipo de amenazas adicionales, como el ransomware Conti.

Es el segundo desarrollador de malware asociado con la pandilla TrickBot que el Departamento de Justicia arrestó este año. En febrero, la ciudadana letona Alla Witte, también conocida como Max, fue arrestada por escribir código relacionado con el control y despliegue de ransomware.

Dunaev fue arrestado en Corea del Sur en septiembre cuando intentaba salir del país. Se vio obligado a quedarse allí durante más de un año debido a las restricciones de viaje de Covid-19 y su pasaporte expiró. La extradición se completó el 20 de octubre.

Se cree que Vladimir Dunaev ha estado involucrado con la pandilla TrickBot desde mediados de 2016 luego de una prueba de reclutamiento que involucró la creación de una aplicación que simulaba un servidor SOCKS y la alteración de una copia del navegador Firefox.

Pasó ambas pruebas con gran éxito, mostrando las habilidades que necesitaba la pandilla TrickBot. “Es capaz de todo. Se necesita una persona así ”, se lee en una conversación entre dos miembros de la banda encargada de reclutar desarrolladores.

A partir de junio de 2016, el acusado creó, modificó y actualizó el código para la banda de malware TrickBot, alega la acusación.

Entre el 19 de octubre de 2017 y el 3 de marzo de 2018, los miembros de la pandilla TrickBot que incluía a Dunaev y Witte transfirieron con éxito más de $ 1.3 millones de las cuentas bancarias de las víctimas.

Según la acusación, la pandilla TrickBot tiene al menos 17 miembros, cada uno con atributos específicos dentro de la operación:

  • Malware Manager: que describe las necesidades de programación, administra las finanzas, implementa TrickBot
  • Desarrollador de malware: que desarrolla módulos TrickBot y se los entrega a otros para que los cifren.
  • Crypter: quién encripta los módulos de TrickBot para que eviten la detección del antivirus
  • Spammer: quienes utilizan distribuir TrickBot a través de campañas de spam y phishing.

Creado a partir de las cenizas del troyano bancario Dyre en 2015, TrickBot se centró en robar credenciales bancarias inicialmente, mediante inyección web y registrando las pulsaciones de teclas del usuario víctima.

Más tarde, se convirtió en un malware modular que también podría distribuir otras amenazas. En estos días, la pandilla tiene preferencia por lanzar ransomware en las redes de la empresa, Conti en particular.

Se cree que TrickBot ha infectado millones de computadoras, lo que permite a sus operadores robar información personal y confidencial (inicios de sesión, tarjetas de crédito, correos electrónicos, contraseñas, fechas de nacimiento, SSN, direcciones) y robar fondos de las cuentas bancarias de las víctimas.

El malware ha afectado a empresas de Estados Unidos, Reino Unido, Australia, Bélgica, Canadá, Alemania, India, Italia, México, España y Rusia.

Además de Dunaev y Witta, el Departamento de Justicia ha acusado a otros miembros de la pandilla TrickBot cuyos nombres no han sido revelados y se encuentran en varios países, entre ellos Rusia, Bielorrusia y Ucrania.

Dunaev se enfrenta actualmente a varios cargos de robo de identidad agravado, fraude electrónico, fraude bancario. así como conspiración para cometer fraude informático, robo de identidad agravado y blanqueo de capitales.

Todos los cargos en su contra vienen con una pena máxima de 60 años en una prisión federal.

Funciones de Trickbot

El objetivo principal del actual Trickbot es penetrar y propagarse en las redes locales. Sus operadores pueden utilizarlo para varias tareas, desde revender los accesos a la infraestructura corporativa a otros atacantes, hasta robar información confidencial. Todo esto es lo que el malware puede hacer:

  • Recopilar nombres de usuario, hashes para contraseñas y otra información útil para el movimiento lateral en la red desde el Active Directory y el registro.
  • Interceptar el tráfico de Internet en el ordenador infectado.
  • Proporcionar control remoto de dispositivos mediante el protocolo VNC.
  • Robar cookies de los navegadores.
  • Extraer las credenciales de inicio de sesión desde el registro, las bases de datos de varias aplicaciones y los archivos de configuración, así como robar claves privadas, certificados SSL y archivos de datos para monederos de criptomoneda.
  • Interceptar datos de autorrelleno desde los navegadores y la información que los usuarios introducen en los formularios de los sitios web.
  • Escanear los archivos en los servidores FTP y SFTP.
  • Incrustar scripts maliciosos en páginas web.
  • Redirigir el tráfico del navegador a través de un proxy local.
  • Secuestrar la API responsable de la verificación de la cadena del certificado para falsificar los resultados de la verificación.
  • Recopilar credenciales del perfil de Outlook, interceptar correos electrónicos y enviar spam mediante ellos.
  • Buscar el servicio OWA y entrar a la fuerza.
  • Obtener acceso de bajo nivel al hardware.
  • Proporcionar acceso al ordenador a nivel de hardware.
  • Escanear los dominios para vulnerabilidades.
  • Encontrar direcciones de servidores SQL y ejecutar consultas de búsqueda en ellos.
  • Esparcirse mediante los exploits EternalRomance y EternalBlue.
  • Crear conexiones VPN.

Fuente (s) :

Search and buy domains from Namecheap. Lowest prices!
Seguir Leyendo
By
ciberseguridad

El aumento de Ransomware se ha multiplicado por 10 en el último año

Escucha la noticia dando click en el audio 🙂

Un completo informe publicado por la firma de seguridad Fortinet, afirma que el ransomware se ha multiplicado por diez en el último año. Hace ya cerca de una década, la llegada del precursor llamado CryptoLocker cifraba los archivos del disco duro y exigía el pago de un rescate para obtener la clave con la que recuperarlos

Search and buy domains from Namecheap. Lowest prices!

Según el estudio de Fortinet, las organizaciones del sector de las telecomunicaciones fueron las más atacadas, seguidas por las administraciones públicas, los proveedores de servicios de seguridad gestionados, el sector de la automoción y el de la fabricación. Además, algunos operadores de ransomware cambiaron su estrategia de ataques iniciados a través del correo electrónico para centrarse en la obtención y venta de acceso inicial a las redes corporativas, lo que demuestra la continua evolución del ransomware como servicio (RaaS), otro factor que ha contribuido de manera decisiva a su popularización.

Modelo de Secuestro + Extorsión

Los ciberdelincuentes, que ya eran conscientes de la importancia de los activos que estaban secuestrando mediante ransomware, llegaron a la conclusión de que robar dichos activos y amenazar con su difusión podía ser todavía más efectivo que el propio secuestro, además de plantear un problema que ya no es resoluble con las copias de seguridad. Ante la exfiltración y amenaza de difusión de los datos, se reduce sustancialmente la lista de soluciones, y el pago del rescate, algo que en realidad nunca es recomendable, se perfila sin embargo en muchos casos como la mejor para las víctimas de la extorsión.

Objetivos Favoritos

 Según un reciente análisis, la víctima ideal de los actores detrás de la mayoría de casos de ransomware sería una empresa ubicada en Estados Unidos, Canadá, Australia o la Unión Europea y con unos ingresos mínimos de 5 millones de dólares (y preferiblemente mayores de 100 millones). Esto es solo una guía, puesto que todos los días vemos casos de ataques protagonizados por ransomware en otras regiones y hacia empresas de todos los tamaños, pero sirve para hacerse una idea de lo que buscan los delincuentes.

 Además, es destacable observar como algunos grupos evitan atacar directamente o a través de sus afiliados a ciertos sectores como la educación, sanidad, gobierno u ONGs. Los motivos son variopintos y van desde la “ética profesional” hasta intentar evitar llamar demasiado la atención de las autoridades.

También es interesante destacar algo que es común con otros tipos de malware y es que muchas de las diferentes familias de ransomware evitan atacar sistemas que estén ubicados en países como Rusia o de la antigua órbita soviética. Además, también hay regiones como África o ciertas partes de Sudamérica en las que no se observa una elevada actividad del ransomware, debido a que los delincuentes no los consideran lo suficientemente rentables.

Horarios y técnicas preferidas

En lo que respecta a las técnicas preferidas por el ransomware actualmente, este es un tema que se ha tratado en varias ocasiones pero que nunca está de más repasar. Podemos ver como los accesos a través de RDP o VPN siguen siendo los favoritos por los delincuentes, habiéndose creado todo un mercado de compra/venta de accesos a redes corporativas donde ciertos delincuentes consiguen comprometer su seguridad para después vender este acceso a los operadores de ransomware o sus afiliados para que accedan, roben información y, seguidamente, la cifren.

También se aprovechan todo tipo de vulnerabilidades para hacerse con el control de sistemas clave como los servidores de correo Microsoft Exchange. Una vez se ha conseguido comprometer un sistema dentro de la red, lo normal es que se empleen varias herramientas como Mimikatz o Cobalt Strike para realizar movimientos laterales y conseguir acceder y comprometer otros sistemas importantes como los controladores de dominio, algo que facilita el robo de información confidencial y el posterior cifrado de todos los equipos de la red.

Otros métodos usados por los criminales son el uso del correo electrónico para adjuntar ficheros maliciosos o enlaces que inician la cadena de ejecución de este malware. También hemos visto como se realizan llamadas desde call centers para engañar a los usuarios y que estos descarguen malware desde ciertas páginas web e incluso se han llegado a realizar ofertas a posibles empleados descontentos para que infecten ellos mismos la red a cambio de un porcentaje de los beneficios obtenidos en el pago del rescate.

Tampoco podemos olvidar los ataques mediante la cadena de suministro, un tipo de ataques especialmente peligrosos por lo difícil que puede ser llegar a detectarlos y la gran cantidad de empresas que se pueden ver afectadas al comprometer a uno solo de sus proveedores de software y servicio.

Con respecto a los horarios favoritos de los delincuentes detrás de este tipo de campañas, recientemente el FBI confirmó algo que muchos ya habíamos observado desde hace tiempo, y es que los festivos y los fines de semana son los días favoritos por los delincuentes para realizar sus acciones maliciosas. Esto tiene mucha lógica puesto que son los días en los que menos usuarios están pendientes de las posibles alertas, lo que les da a los atacantes bastante ventaja.

No es nada raro que una intrusión en una red corporativa se produzca un viernes por la tarde o la víspera de un festivo y que los delincuentes realicen sus labores de reconocimiento de la red durante varios días, comprometan los sistemas, robando información y cifrando la que se guarda en los sistemas infectados. En no pocas ocasiones esta intrusión puede pasar semanas o incluso meses sin ser descubierta por los administradores de la red, por lo que resulta esencial contar con la suficiente visibilidad de lo que sucede en ella para poder adoptar medidas antes de que sea demasiado tarde.

Search and buy domains from Namecheap. Lowest prices!

Fuente (s) :

Créditos Música :

Never Say Always by Audionautix | http://audionautix.com
Music promoted by https://www.free-stock-music.com
Attribution-NoDerivs 3.0 Unported (CC BY-ND 3.0)
https://creativecommons.org/licenses/by-nd/3.0/

Seguir Leyendo
By
ciberseguridad

Filtran código fuente del Ransomware Babuk

Escucha la noticia dando click en el audio 🙂

Uno de los desarrolladores del grupo de ransomware Babuk, un joven de 17 años de Rusia, ha sido diagnosticado con cáncer de pulmón en etapa 4. Ha decidido filtrar TODO el código fuente de Babuk para Windows, ESXI, NAS. 

  • El ransomware de Babuk atacó a principios de año la tienda de telefonía Phone House y el Departamento de Policía de Washington, así como el equipo de la NBA, los Houston Rockets
  • Código fuente filtrado en sus repositorios. Están disponibles distintas versiones para ESXI, NAS y Windows.

Un presunto miembro del grupo publicó el código fuente completo del ransomware Babuk en un foro de piratería ruso. El autor de la publicación afirmó estar sufriendo una enfermedad terminal. Debido a eso decidió publicar los archivos sin ningún tipo de restricción para su descarga.

El grupo de investigación de seguridad vx-underground, un presunto miembro del grupo Babuk publicó el código fuente completo de su ransomware en un foro de habla rusa.

Este usuario afirmó estar sufriendo de cáncer terminal y decidió publicar todo el código fuente de Babuk mientras cumple su deseo de “vivir como un ser humano”

Las carpetas contienen varios proyectos de ransomware en Visual Studio para VMware ESXi,Windows  (en C++) y NAS (escrito en Golang). Además, como se menciona al principio, los archivos contienen el código fuente completo del cifrador y descifrador para sistemas operativos de Microsoft y, lo que parece ser un “keygen” de claves públicas y privadas.

Investigadores de la compañía de ciberseguridad Emsisoft y McAfee Enterprise han indicado que la filtración del ransomware Babuk parece legítima. Si bien los archivos pueden servir para descifrar los ordenadores de víctimas pasadas, también son un riesgo, ya que contienen todos los elementos necesarios para ejecutar ataques dirigidos.

En el pasado, precisamente, se filtró un generador de ransomware de Babuk en un sitio de descargas. Desafortunadamente este fue tomado por otro grupo de ciberdelincuentes que montó su propia operación de ataques. Estos cosecharon víctimas en distintas partes del mundo y las extorsionaron para no publicar sus archivos. 

De historias de traición y puñaladas por la espalda

Babuk Locker tiene una historia sórdida y pública de traiciones y puñaladas por la espalda que llevaron a la fragmentación del grupo.

Uno de los miembros de la banda de ransomware Babuk que el grupo se disolvió después del ataque al Departamento de Policía Metropolitana (MPD) en Washinton DC.

Tras el ataque, el “administrador” quiso divulgar los datos del MPD con fines publicitarios, mientras que los demás miembros de la pandilla se opusieron.

Después de la filtración de datos, el grupo se separó del administrador original formando el foro de ciberdelincuencia de Ramp y el resto mediante el lanzamiento de Babuk V2, donde continúan ejecutando ataques de ransomware.

Fuente (s) :

Créditos Música :

Love by LiQWYD | https://www.liqwydmusic.com
Music promoted by https://www.free-stock-music.com
Creative Commons Attribution 3.0 Unported License https://creativecommons.org/licenses/by/3.0/deed.en_US

Seguir Leyendo
By