Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
noviembre
(Total:
29
)
- El CNI detecta un aumento "cuantitativo y cualitat...
- Una nueva funcionalidad de Microsoft 365 es el "ma...
- Segunda actualización de emergencia para el CMS Dr...
- Nuevas víctimas de REvil ransomware: Vialidad Arge...
- Un empleado sube un Excel a GitHub con datos perso...
- Configurar correo electrónico seguro con SPF, DMAR...
- Vulnerabilidad crítica en MobileIron RCE de junio ...
- Zero Day: vulnerabilidad 2FA bypass en cPanel y WHM
- Investigador descubre accidentalmente 0-day en Win...
- Expuestas más de 300K+ cuentas de usuarios Spotify
- La Generalitat Catalunya sufre un fallo de segurid...
- TikTok corrige errores que permitían tomar el cont...
- Periodista holandés se filtra en una reunión "secr...
- La lista de las peores contraseñas de 2020
- Ransomware Ragnar Locker hackea la empresa multina...
- Fallo en Facebook Messenger permitía escuchar audi...
- Graves vulnerabilidades en VMWare y publican lista...
- Disponibles Kali Linux 2020.4 y Tails 4.13
- Ataque de ransomware hace que las impresoras impri...
- Datos de 3.2 millones de cuentas de Pluto TV han s...
- Defendiendo a los desarrolladores: youtube-dl está...
- Usuarios de Android demandan a Google por consumir...
- El envenenamiento de la caché de DNS, el ataque de...
- Problemas privacidad con GateKeeper de macOS 11 Bi...
- Activar medidas privacidad Navegador Firefox, Chro...
- Google Fotos dice adiós al espacio ilimitado; deja...
- Activar Windows 10-11 mediante Licencia Digital (H...
- Ransomware REvil afirma en una entrevista haber ga...
- Google descubre grave 0-day en el Kernel de Window...
- ► septiembre (Total: 21 )
-
▼
noviembre
(Total:
29
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Ransomware Ragnar Locker hackea la empresa multinacional española Finsa
La compañía multinacional FINSA, que recibe ayudas estatales y con sede en más de 10 países, ha visto comprometida su seguridad informática. Los delincuentes de Ragnar Locker han difundido mas de 15 GB de información confidencial de la empresa accesibles desde la red TOR. En un breve comunicado, los ciber delincuentes han indicado que después de haber dado un tiempo prudencial a FINSA para parchear dichos fallos de seguridad, dicha empresa no ha realizado ninguna acción. Hace apenas unos días la empresa japonesa Capcom, desarrolladora y distribuidora de videojuegos tan famosos como Street Fighter, Monster Hunter o Resident Evil, comunicó haber sido víctima de un ciberataque que afectó a alguno de sus sistemas.
Financiera Maderera S.A. o Finsa es una empresa del sector de transformación de la madera fundada el año 1931 en el municipio de Ames, La Coruña, España. Dispone de 20 centros de producción en España, Portugal, Francia, Irlanda, Estados Unidos
El día 16 de noviembre, Capcom publicó una actualización del comunicado con mucha información relativa al incidente. En este comunicado podemos leer que fueron víctimas del Ransomware Ragnar Locker, del que ya hemos hablado en alguna ocasión en este blog, y del que dejamos su foro de la Deep Web donde podréis encontrar capturas de los documentos robados, o para los que no quieran acceder desde la red TOR, este enlace.
LEAK post FINSA
Financiera Maderera SA
Headquarters: Carretera N-550, km 57, Santiago de Compostela, Galicia, 15890, Spain
Phone: +34 981 05 00 00
Website: www.finsa.es, www.finsa.com
Employees: 22
Revenue: $21.20 Million
Another example of the company's indifference to the responsibility for the protection and safety of information.
We did notified company about the security breach and honestly gave them chance to fix the "bugs" and avoid data leakage, however they are not interested about that.
So according to our rules we have to publish the data of FINSA company, to let everyone knows about such an attitude.
Unfortunately there are still a lot of companies that are don't want to take responsibility for the personal information that gathered and don't want to improve security measures.
That's why we will continue to post news about companies that doesn't values much privacy of their clients and partners.
* This post will be updated regularly with new files and data available for downloading, so keep follow.
! Attention, according to our security rules Download available only through TOR-browser.
- Archive#1.7z (Contains 2 parts of archive Total size 15GB)
Vía:
https://www.meneame.net/m/tecnolog%C3%ADa/empresa-multinacional-finsa-ha-sido-hackeada
Muestra:
https://app.any.run/tasks/3ee4447d-e9a8-4fd2-95ba-b00b31d485b9/
El FBI advierte sobre el aumento de la actividad del ransomware Ragnar Locker
La División Cibernética de la Oficina Federal de Investigaciones (FBI) de EE. UU. Advirtió a los socios de la industria privada del aumento de la actividad del ransomware Ragnar Locker luego de un ataque confirmado de abril de 2020.
La alerta flash MU-000140-MW emitida a los socios por el FBI ayer fue coordinada con DHS-CISA y proporciona a los profesionales de seguridad y administradores de sistemas indicadores de compromiso para protegerse contra las acciones maliciosas persistentes de esta banda de ransomware.
"El FBI observó por primera vez Ragnar Locker1ransomware en abril de 2020, cuando actores desconocidos lo usaron para cifrar los archivos de una gran corporación por un rescate de aproximadamente $ 11 millones y amenazaron con liberar 10 TB de datos confidenciales de la empresa", dice el FBI en la alerta flash TLP: WHITE.
"Desde entonces, Ragnar Locker se ha implementado contra una lista cada vez mayor de víctimas, incluidos proveedores de servicios en la nube, empresas de comunicación, construcción, viajes y software empresarial".
Tácticas de Ragnar Locker
Los actores de Ragnar Locker implementarán manualmente las cargas útiles de ransomware para cifrar los sistemas de las víctimas después de una etapa de reconocimiento para ayudarlas a descubrir recursos de red, copias de seguridad de la empresa y varios otros archivos confidenciales que se recopilarán para la exfiltración de datos.
La banda de ransomware también es conocida por cambiar con frecuencia las técnicas de ofuscación de la carga útil para evadir la detección, así como por haber utilizado algoritmos de empaquetado personalizados y cifrado los archivos de las víctimas de las máquinas virtuales de Windows XP implementadas en sus sistemas.
El malware de Ragnar Locker también enumerará todos los servicios en ejecución para eliminar los utilizados por los proveedores de servicios administrados para administrar de forma remota las redes de sus clientes.
Después de pasar por las etapas de reconocimiento y pre-implementación, los actores de Ragnar Locker lanzan un ejecutable de ransomware altamente específico que agrega una extensión personalizada "RGNR_" donde hay un hash del nombre NETBIOS de la computadora.
Este ransomware cuenta con una clave RSA-2048 incorporada y también dejará notas de rescate personalizadas en sistemas cifrados.
Las notas de rescate de Ragnar Locker incluyen el nombre de la empresa de la víctima, un enlace al sitio Tor y el sitio de filtración de datos donde la banda de ransomware publicará los datos de la víctima.
- Ataque de ransomware EDP
Si bien el FBI no proporcionó más información sobre la gran corporación cuyos sistemas fueron encriptados en abril, los detalles coinciden perfectamente con un ataque contra el gigante energético multinacional Energias de Portugal (EDP).
EDP es uno de los mayores operadores europeos del sector energético con más de 11.500 empleados y suministra energía a más de 11 millones de clientes en 19 países y 4 continentes.
Los atacantes de Ragnar Locker pudieron filtrar aproximadamente 10 TB de información confidencial de la empresa sobre facturación, contratos, transacciones, clientes y socios.
También robaron una exportación de la base de datos del administrador de contraseñas KeePass que contenía los nombres de inicio de sesión, las contraseñas, las cuentas, las URL y las notas de los empleados de EDP.
Durante el último año, el FBI también emitió advertencias sobre el ransomware LockerGoga, MegaCortex, Maze, Netwalker y ProLock luego de un anuncio de servicio público sobre ataques de ransomware de alto impacto contra organizaciones públicas y privadas de EE. UU. De octubre de 2019.
Ragnar Locker utiliza la API GetLocaleInfoW de Windows para obtener la configuración regional actual de la máquina infectada. Si se determina que el lugar de la víctima es "azerbaiyano", "armenio", "bielorruso", "kazajo", "kirguís", "moldavo", "tayiko", "ruso", "turcomano", "uzbeko", "ucraniano" , "o" georgiano ", el proceso finalizará.
El ransomware también comprueba si hay infecciones actuales para evitar múltiples transformaciones de cifrado de los datos, lo que podría dañarlos. El binario recopila el GUID único de la máquina, el nombre del producto del sistema operativo y el nombre de usuario que actualmente ejecuta el proceso. Estos datos se envían a través de un algoritmo hash personalizado para generar un identificador único: <HashedMachineGuid> - <HashedWindowsProductName> - <HashedUser> - <HashedComputerName> - <HashedAllDataTogether>.
El ransomware Ragnar Locker identifica todos los discos duros conectados, ya sea que se les asigne una letra de unidad o no, mediante las API de Windows: CreateFileW, DeviceIoControl, GetLogicalDrives y SetVolumeMountPointA.
Luego, el malware intenta eliminar silenciosamente todas las instantáneas de volumen para evitar que el usuario recupere archivos cifrados, utilizando dos métodos diferentes:
- vssadmin delete shadows /all /quiet
- wmic.exe.shadowcopy.delete
- Windows
- Mozilla
- Windows.old
- Mozilla Firefox
- Navegador Tor
- $ Recycle.Bin
- Internet Explorer
- ProgramData
- Opera Software
- Opera
- .db
- .msi
- .sys
- .drv
- .dll
- .exe
- .lnk
Fuente:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.