Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
noviembre
(Total:
29
)
- El CNI detecta un aumento "cuantitativo y cualitat...
- Una nueva funcionalidad de Microsoft 365 es el "ma...
- Segunda actualización de emergencia para el CMS Dr...
- Nuevas víctimas de REvil ransomware: Vialidad Arge...
- Un empleado sube un Excel a GitHub con datos perso...
- Configurar correo electrónico seguro con SPF, DMAR...
- Vulnerabilidad crítica en MobileIron RCE de junio ...
- Zero Day: vulnerabilidad 2FA bypass en cPanel y WHM
- Investigador descubre accidentalmente 0-day en Win...
- Expuestas más de 300K+ cuentas de usuarios Spotify
- La Generalitat Catalunya sufre un fallo de segurid...
- TikTok corrige errores que permitían tomar el cont...
- Periodista holandés se filtra en una reunión "secr...
- La lista de las peores contraseñas de 2020
- Ransomware Ragnar Locker hackea la empresa multina...
- Fallo en Facebook Messenger permitía escuchar audi...
- Graves vulnerabilidades en VMWare y publican lista...
- Disponibles Kali Linux 2020.4 y Tails 4.13
- Ataque de ransomware hace que las impresoras impri...
- Datos de 3.2 millones de cuentas de Pluto TV han s...
- Defendiendo a los desarrolladores: youtube-dl está...
- Usuarios de Android demandan a Google por consumir...
- El envenenamiento de la caché de DNS, el ataque de...
- Problemas privacidad con GateKeeper de macOS 11 Bi...
- Activar medidas privacidad Navegador Firefox, Chro...
- Google Fotos dice adiós al espacio ilimitado; deja...
- Activar Windows 10-11 mediante Licencia Digital (H...
- Ransomware REvil afirma en una entrevista haber ga...
- Google descubre grave 0-day en el Kernel de Window...
- ► septiembre (Total: 21 )
-
▼
noviembre
(Total:
29
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Nuevas víctimas de REvil ransomware: Vialidad Argentina.gob.ar y CTAG Galicia
Como sucedió con el caso de Migraciones de Argentina a fines de octubre, ciberdelincuentes lograron extraer información del dominio de Vialidad de Argentina.gob.ar y secuestraron 50 GB de información. Como siempre, los delincuentes amenazan con publicar la información en una semana. También el CTAG – Centro Tecnológico de Automoción de Galicia dónde afirman haber robado más de 500GB de información. Es el mismo ransomware que afectó a la empresa Española Adif en Julio de éste mismo año.
En el caso de Vialidad, se trata del ransomware Revil o Sodinokibi, el grupo de ciberdelincuentes que opera a través de partners para extorsionar a empresas y dependencias gubernamentales de todo el mundo. Las carpetas se pueden ver en un link onion de la Dark Web accesible vía navegadores como TOR. Allí se ve, como prueba del hackeo, parte del contenido secuestrado que, supuestamente alcanza los 50GB.
Desde la secretaría de Innovación rechazaron las versiones del hackeo. "Hemos detectado que está circulando información respecto a un supuesto ataque y robo de información en el portal argentina.gob.ar, la cual es falsa", informaron sobre las capturas que circulan en la Dark Web.
Desde la Dirección Nacional de Ciberseguridad, a través de Coordinación de Emergencia en Redes Teleinformáticas(CERT), señalaron que las imágenes mostradas pueden coincidir con información sustraída en un ataque efectuado por un ransomware hace unos días atrás.
Estos 29 dominios ha sido comprometidos en las últimas semanas por el malware EMOTET, una botnet que se propaga a través de correos electrónicos falsificados en español y con archivos de ofimática adjuntos .
anac.gob.ar azul.gba.gob.ar boletas.acor.gob.ar bolivar.gob.ar buenosaires.gob.ar bustinza.gob.ar choelechoel.gob.ar enerc.gob.ar gendarmeria.gob.ar iguazuturismo.gob.ar incaa.gob.ar inteatro.gob.ar inti.gob.ar minpro.gob.ar minseg.gob.ar mpajujuy.gob.ar municipalidadarias.gob.ar orsep.gob.ar presidencia.gob.ar psa.gob.ar puebloandino.gob.ar remsa.gob.ar renatea.gob.ar saltogrande.gob.ar sauceviejo.gob.ar sppdp.gob.ar tartagal.gob.ar tigre.gob.ar villamaria.gob.ar
CTAG – Centro Tecnológico de Automoción de Galicia
Historia del ransomware REvil
- Revil fue el primer ransomware en ofrecer un nuevo método de extorsión: publicar y ahora (Junio 2020) incluso subastar los datos de las víctimas utilizando la criptomoneda Monero
Inicio con el Ransomware GandCrab
Tras un año y medio de funcionamiento y más de 1,2 millones de víctimas en todo el mundo, especialmente en América Latina, en junio de 2019 los desarrolladores de GandCrab publicaron en un foro de DarkNet que difunde RaaS, que ya no iban a continuar con el proyecto y que todas las víctimas tenían dos meses para pagar, sino iban a perder sus archivos para siempre, pues iban a borrar todas las llaves. Se calcula que el ransomware GandCrab es responsable del 40% de las infecciones de ransomware a nivel mundial.
Unknown (UNKN) dijo que estaba prohibido instalar la nueva cepa de ransomware en cualquier computadora en la Comunidad de Estados Independientes (CEI), que incluye Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Turkmenistán, Ucrania y Uzbekistán.
Métodos que utiliza REvil para conectarse a las víctimas:
- ADRecon [https://github.com/sense-of-security/ADRecon]
- CrackMapExec [https://github.com/maaaaz/CrackMapExecWin]
- ghost [https://github.com/ginuerzh/gost]
- impacket secretsdump [https://github.com/maaaaz/impacket-examples-windows/blob/master/secretsdump.exe]
- mimikatz [https://github.com/gentilkiwi/mimikatz]
- PentestBox with Metasploit [https://pentestbox.org]
- plink.exe [https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html]
- PowerSploit [https://github.com/PowerShellMafia/PowerSploit]
- Proxifier [https://www.proxifier.com]
- PsTools (PsExec)
Pero, ¿qué es REVil y hasta qué punto son verdaderamente peligrosos? El colectivo no es demasiado conocido entre el ciudadano medio, pero sí dentro del sector de la ciberseguridad: se trata de un grupo de cibercriminales con un breve pero peligroso historial delictivo.
Su acción más conocida tuvo lugar hace apenas dos meses, en mayo de 2020. Fue entonces cuando entraron en los sistemas de la firma Grubman Shire Meiselas & Sacks, que representa a artistas como Lady Gaga, Madonna, Lebron James, o Bruce Springsteen, y robaron 756 GB de material privado sobre la artista neoyorquina, además de, supuestamente, ingente material sobre Donald Trump.
El grupo pidió un rescate de 21 millones de dólares a cambio de no publicar la información sustraída, pero el despacho se negó a pagar, lo que hizo que REVil subiese aún más su petición de rescate: hasta los 42 millones de dólares. Ante la nueva negativa, publicaron parte de la información y subastaron el resto.
La subasta de datos robados es práctica habitual de este grupo, según asegura a Teknautas Brett Callow, de Emsisoft, aunque en este caso "amenazan con publicar los datos en lugar de subastarlos. Eso podría ser porque no creen que los datos tengan un valor de mercado significativo... o porque sí que planean subastarlos pero han redactado su escrito de manera descuidada".
Respecto a las posibles identidades de los integrantes de REVil, Callow asegura que "la evidencia sugiere una posible conexión entre ellos y GandCrab [otro grupo de ciberdelincuentes, ahora presumiblemente retirados] y que podrían estar en Rusia o en otro país de la Comunidad de Estados Independientes" (Bielorrusia, Ucrania, Armenia, Azerbaiyán, Kazajistán, Kirguistán, Moldavia, Tayikistán, Turkmenistán o Uzbekistán).
Recomendaciones para evitar un ataque de Ransomware
- -Actualiza temprano y con frecuencia: muchos ataques de ransomware aprovechan fallos de seguridad conocidas en servidores y escritorios.
- -Deshabilita RDP: abreviatura de Remote Desktop Protocol, esta característica de Windows permite que un sistema se administre de forma remota a través de Internet. Un número ridículo de empresas, en particular los proveedores de atención médica, son atacadas con ransomware porque dejan RDP abierto en Internet y protegido con contraseñas fáciles de adivinar. Y hay una serie de servicios criminales que venden el acceso a las instalaciones de RDP con fuerza bruta.
- -Filtrar todo el correo electrónico (Phishing): invierta en sistemas de seguridad que puedan bloquear archivos ejecutables en la puerta de enlace de correo electrónico.
- -Aislar sistemas y datos de misión crítica: esto puede ser más difícil de lo que parece. Puede valer la pena contratar una empresa de seguridad competente para asegurarse de que esto se haga correctamente.
- - Copia de seguridad de archivos y bases de datos clave: tenga en cuenta que el ransomware puede cifrar cualquier red o archivos o carpetas basados en la nube que estén asignados y se les haya asignado una letra de unidad. Hacer una copia de seguridad en un sistema secundario que no tiene asignada una letra de unidad o está desconectado cuando no está haciendo una copia de seguridad de los datos es clave. Aquí entra en juego la antigua regla de copia de seguridad "3-2-1": siempre que sea posible, mantenga tres copias de seguridad de sus datos, en dos tipos de almacenamiento diferentes, con al menos una copia de seguridad fuera del sitio.
- -Desactivar macros en Microsoft Office: bloquear contenido externo en archivos de Office. Informe a los usuarios que el ransomware a menudo tiene éxito solo cuando un usuario abre archivos adjuntos de Office enviados por correo electrónico y habilita manualmente las macros.
- - Habilita el acceso controlado a la carpeta: cree reglas para no permitir la ejecución de archivos ejecutables en Windows desde carpetas de perfil de usuario locales ( (App Data, Local App Data, ProgramData, Temp, etc)
- Deshabilita wscript (Windows Script Host) que permite la ejecución de ficheros con extensión .js,.vbs, wsf, wsh, hta.
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.