Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Ransomware Ragnar Locker hackea la empresa multinacional española Finsa


La compañía multinacional FINSA, que recibe ayudas estatales y con sede en más de 10 países, ha visto comprometida su seguridad informática. Los delincuentes de Ragnar Locker han difundido mas de 15 GB de información confidencial de la empresa  accesibles desde la red TOR. En un breve comunicado, los ciber delincuentes han indicado que después de haber dado un tiempo prudencial a FINSA para parchear dichos fallos de seguridad, dicha empresa no ha realizado ninguna acción. Hace apenas unos días la empresa japonesa Capcom, desarrolladora y distribuidora de videojuegos tan famosos como Street Fighter, Monster Hunter o Resident Evil, comunicó haber sido víctima de un ciberataque que afectó a alguno de sus sistemas.




 Financiera Maderera S.A. o Finsa es una empresa del sector de transformación de la madera fundada el año 1931 en el municipio de Ames, La Coruña, España. Dispone de 20 centros de producción en España, Portugal, Francia, Irlanda, Estados Unidos



El día 16 de noviembre, Capcom publicó una actualización del comunicado con mucha información relativa al incidente. En este comunicado podemos leer que fueron víctimas del Ransomware Ragnar Locker, del que ya hemos hablado en alguna ocasión en este blog, y del que dejamos su foro de la Deep Web donde podréis encontrar capturas de los documentos robados, o para los que no quieran acceder desde la red TOR, este enlace.


LEAK post FINSA

Financiera Maderera SA

Headquarters: Carretera N-550, km 57, Santiago de Compostela, Galicia, 15890, Spain

Phone: +34 981 05 00 00

Website: www.finsa.es, www.finsa.com

Employees: 22

Revenue: $21.20 Million


Another example of the company's indifference to the responsibility for the protection and safety of information.

We did notified company about the security breach and honestly gave them chance to fix the "bugs" and avoid data leakage, however they are not interested about that.

So according to our rules we have to publish the data of FINSA company, to let everyone knows about such an attitude.

Unfortunately there are still a lot of companies that are don't want to take responsibility for the personal information that gathered and don't want to improve security measures.

That's why we will continue to post news about companies that doesn't values much privacy of their clients and partners.


* This post will be updated regularly with new files and data available for downloading, so keep follow.


    ! Attention, according to our security rules Download available only through TOR-browser.


  • Archive#1.7z (Contains 2 parts of archive Total size 15GB)


Vía:

https://www.meneame.net/m/tecnolog%C3%ADa/empresa-multinacional-finsa-ha-sido-hackeada

Muestra:

https://app.any.run/tasks/3ee4447d-e9a8-4fd2-95ba-b00b31d485b9/ 


El FBI advierte sobre el aumento de la actividad del ransomware Ragnar Locker


La División Cibernética de la Oficina Federal de Investigaciones (FBI) de EE. UU. Advirtió a los socios de la industria privada del aumento de la actividad del ransomware Ragnar Locker luego de un ataque confirmado de abril de 2020.

La alerta flash MU-000140-MW emitida a los socios por el FBI ayer fue coordinada con DHS-CISA y proporciona a los profesionales de seguridad y administradores de sistemas indicadores de compromiso para protegerse contra las acciones maliciosas persistentes de esta banda de ransomware.

"El FBI observó por primera vez Ragnar Locker1ransomware en abril de 2020, cuando actores desconocidos lo usaron para cifrar los archivos de una gran corporación por un rescate de aproximadamente $ 11 millones y amenazaron con liberar 10 TB de datos confidenciales de la empresa", dice el FBI en la alerta flash TLP: WHITE.

"Desde entonces, Ragnar Locker se ha implementado contra una lista cada vez mayor de víctimas, incluidos proveedores de servicios en la nube, empresas de comunicación, construcción, viajes y software empresarial".

Tácticas de Ragnar Locker

Los actores de Ragnar Locker implementarán manualmente las cargas útiles de ransomware para cifrar los sistemas de las víctimas después de una etapa de reconocimiento para ayudarlas a descubrir recursos de red, copias de seguridad de la empresa y varios otros archivos confidenciales que se recopilarán para la exfiltración de datos.

La banda de ransomware también es conocida por cambiar con frecuencia las técnicas de ofuscación de la carga útil para evadir la detección, así como por haber utilizado algoritmos de empaquetado personalizados y cifrado los archivos de las víctimas de las máquinas virtuales de Windows XP implementadas en sus sistemas.

El malware de Ragnar Locker también enumerará todos los servicios en ejecución para eliminar los utilizados por los proveedores de servicios administrados para administrar de forma remota las redes de sus clientes.

Después de pasar por las etapas de reconocimiento y pre-implementación, los actores de Ragnar Locker lanzan un ejecutable de ransomware altamente específico que agrega una extensión personalizada "RGNR_" donde hay un hash del nombre NETBIOS de la computadora.

Este ransomware cuenta con una clave RSA-2048 incorporada y también dejará notas de rescate personalizadas en sistemas cifrados.

Las notas de rescate de Ragnar Locker incluyen el nombre de la empresa de la víctima, un enlace al sitio Tor y el sitio de filtración de datos donde la banda de ransomware publicará los datos de la víctima.

  • Ataque de ransomware EDP

Si bien el FBI no proporcionó más información sobre la gran corporación cuyos sistemas fueron encriptados en abril, los detalles coinciden perfectamente con un ataque contra el gigante energético multinacional Energias de Portugal (EDP).

EDP ​​es uno de los mayores operadores europeos del sector energético con más de 11.500 empleados y suministra energía a más de 11 millones de clientes en 19 países y 4 continentes.

Los atacantes de Ragnar Locker pudieron filtrar aproximadamente 10 TB de información confidencial de la empresa sobre facturación, contratos, transacciones, clientes y socios.

También robaron una exportación de la base de datos del administrador de contraseñas KeePass que contenía los nombres de inicio de sesión, las contraseñas, las cuentas, las URL y las notas de los empleados de EDP.

Durante el último año, el FBI también emitió advertencias sobre el ransomware LockerGoga, MegaCortex, Maze, Netwalker y ProLock luego de un anuncio de servicio público sobre ataques de ransomware de alto impacto contra organizaciones públicas y privadas de EE. UU. De octubre de 2019.

Ragnar Locker utiliza la API GetLocaleInfoW de Windows para obtener la configuración regional actual de la máquina infectada. Si se determina que el lugar de la víctima es "azerbaiyano", "armenio", "bielorruso", "kazajo", "kirguís", "moldavo", "tayiko", "ruso", "turcomano", "uzbeko", "ucraniano" , "o" georgiano ", el proceso finalizará.



El ransomware también comprueba si hay infecciones actuales para evitar múltiples transformaciones de cifrado de los datos, lo que podría dañarlos. El binario recopila el GUID único de la máquina, el nombre del producto del sistema operativo y el nombre de usuario que actualmente ejecuta el proceso. Estos datos se envían a través de un algoritmo hash personalizado para generar un identificador único: <HashedMachineGuid> - <HashedWindowsProductName> - <HashedUser> - <HashedComputerName> - <HashedAllDataTogether>.

El ransomware Ragnar Locker identifica todos los discos duros conectados, ya sea que se les asigne una letra de unidad o no, mediante las API de Windows: CreateFileW, DeviceIoControl, GetLogicalDrives y SetVolumeMountPointA.

Luego, el malware intenta eliminar silenciosamente todas las instantáneas de volumen para evitar que el usuario recupere archivos cifrados, utilizando dos métodos diferentes: 

  • vssadmin delete shadows /all /quiet
  • wmic.exe.shadowcopy.delete
Por ejemplo, si la unidad lógica que se está procesando es la unidad C :, el malware no cifra los archivos en las siguientes carpetas

  • Windows 
  • Mozilla
  • Windows.old
  • Mozilla Firefox
  • Navegador Tor
  • $ Recycle.Bin
  • Internet Explorer
  • ProgramData
  • Google
  • Opera Software
  • Opera
El malware no cifra archivos con las siguientes extensiones:
  •  .db 
  •  .msi 
  • .sys 
  • .drv 
  • .dll 
  • .exe 
  •  .lnk

Fuente:

https://www.bleepingcomputer.com/news/security/fbi-warns-of-increasing-ragnar-locker-ransomware-activity/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.