Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Desaparece el ransomware DarkSide por la presión de Estados Unidos




 Los operadores de ransomware DarkSide se retiran después del hackeo de Colonial Pipeline. Numerosos operadores de ransomware y foros de ciberdelincuencia afirman que su infraestructura se ha desconectado, modificando sus reglas, o están abandonando el ransomware por completo debido a la gran cantidad de atención negativa dirigida a ellos durante la semana pasada.


  • El ataque de ransomware a Colonial Pipeline ha causado una gran cantidad de problemas en los Estados Unidos
  • Según datos de la aplicación Gasbuddy.com, que rastrea la demanda de combustible, los precios y su disponibilidad, las gasolineras de 15 estados del país, más el Distrito de Columbia, donde se ubica la capital Washington, sufrían escasez de combustible.
  •  La zona más impactada es el Distrito de Columbia, con el 81 % de sus estaciones de servicio afectadas, seguida de Carolina de Norte, con el 65 %; Carolina del Sur, con el 48 %; Georgia, con el 45 %, y Maryland, con el 39 %.

Presión de Estados Unidos contra el ransomware: ataque a la empresa oleoductos Colonial Pipeline


Un día después de que el presidente de Estados Unidos, Joe Biden, dijera que Estados Unidos planea interrumpir a los piratas informáticos detrás del ciberataque Colonial Pipeline, el operador del ransomware Darkside dijo que el grupo perdió el control de sus servidores web y algunos de los fondos que obtuvo de los pagos de rescate.



Presidente Joe Biden sobre el hackeo del Colonial Pipeline:
No creemos que el gobierno ruso haya estado involucrado en este ataque, pero tenemos fuertes razones para creer que los criminales que cometieron el ataque viven en Rusia

Hemos estado en comunicación directa con Moscú sobre el imperativo de que los países responsables tomen medidas decisivas contra estas redes de ransomware, dijo el presidente Biden en una conferencia de prensa el jueves.

También vamos a buscar una medida para interrumpir su capacidad para operar, agregó 

La declaración del presidente Biden también se produjo después de que Bill Evanina, exdirector del Centro Nacional de Contrainteligencia y Seguridad de EE. UU. (NCSC), también dijera la semana pasada que la comunidad de inteligencia de EE. UU. Probablemente respondiera para responder al descarado ataque colonial de una manera disruptiva. 

  • La banda de ransomware Darkside dice que perdió el control de sus servidores y dinero un día después de la amenaza de Biden 

Adiós a DarkSide

  • DarkSide comunicó el jueves a sus afiliados que dejará de ofrecer programas de "ransomware" para realizar ciberataques, en los que se secuestra información a cambio de una recompensa. 

El 13 de mayo de 2021, los operadores de DarkSide Ransomware-as-a-Service (RaaS) anunciaron que cesarían inmediatamente las operaciones del programa DarkSide RaaS. Los operadores dijeron que emitirían descifradores a todos sus afiliados para los objetivos que atacaran, y prometieron compensar todas las obligaciones financieras pendientes antes del 23 de mayo de 2021. El grupo, que ha sido nombrado como el responsable del incidente del Oleoducto Colonial, también aprobó una anuncio a sus afiliados que afirma que una parte pública de la infraestructura del grupo fue interrumpida por una agencia de aplicación de la ley no especificada. El blog de nombre y vergüenza del grupo, el sitio web de recolección de rescates y la red de entrega de contenido de datos de los hakeos (CDN) fueron supuestamente confiscados, mientras que los fondos de sus billeteras de criptomonedas supuestamente fueron exfiltrados.


Traducido al inglés, la nota dice:

A partir de la versión uno, prometimos hablar sobre los problemas de manera honesta y abierta. Hace un par de horas, perdimos el acceso a la parte pública de nuestra infraestructura, en particular a la

  • Blog
  • servidor de pago
  • Servidores CDN

Por el momento, no se puede acceder a estos servidores a través de SSH y los paneles de alojamiento han sido bloqueados.

El servicio de soporte de alojamiento no proporciona ninguna información excepto "a solicitud de las autoridades policiales". Además, un par de horas después de la incautación, los fondos del servidor de pagos (que nos pertenece y nuestros clientes) se retiraron a una cuenta desconocida.

Se tomarán las siguientes acciones para resolver el problema actual: Se le proporcionarán herramientas de descifrado para todas las empresas que aún no han pagado.

Después de eso, podrá comunicarse con ellos donde quiera y de la forma que desee. Póngase en contacto con el servicio de asistencia. Retiraremos el depósito para resolver los problemas con todos los usuarios afectados.

La fecha aproximada de compensación es el 23 de mayo (debido a que el depósito se mantendrá en espera durante 10 días en XSS).

En vista de lo anterior y debido a la presión de EE. UU., El programa de afiliados está cerrado. Mantente a salvo y buena suerte.

La página de destino, los servidores y otros recursos se eliminarán en un plazo de 48 horas.

Babuk Ransomware también se va 

DarkSide no fue el único grupo que hizo este tipo de anuncio el 13 de mayo. Otro grupo RaaS, Babuk, afirmó que entregó el código fuente del ransomware a "otro equipo", que continuaría desarrollándolo bajo una nueva marca. El grupo se comprometió a permanecer en el negocio, continuar ejecutando un blog sobre el nombre y la vergüenza de las víctimas, al tiempo que alentaba a otras bandas de ransomware a cambiar a un modo de operación privado. Este anuncio se produjo después de que el grupo divulgara las partes restantes de los datos robados del Departamento de Policía Metropolitana del Distrito de Columbia. Ese archivo, que contenía 250 GB de datos, supuestamente incluía datos personales de oficiales y personal auxiliar, una base de datos llena de información sobre delincuentes, así como información sobre informantes policiales.

Si bien Babuk se comprometió a mantener en funcionamiento sus operaciones, puede resultarle difícil encontrar afiliados. Poco después de los anuncios anteriores, el administrador de uno de los foros de ciberdelincuencia en ruso más populares anunció una prohibición inmediata de toda la actividad relacionada con ransomware en su foro. El foro ahora prohíbe la publicidad de ransomware, las ventas, los servicios de negociación de rescate y ofertas similares. Se eliminarán todos los listados que se encuentren actualmente en los foros. El administrador explicó la medida diciendo que las operaciones de ransomware se están volviendo "cada vez más tóxicas" y peligrosas para la comunidad clandestina.

Ese anuncio causó un efecto dominó en el foro, lo que provocó que otros afiliados conocidos de RaaS hicieran sus propios anuncios sobre el estado de sus operaciones. Un operador conocido por estar detrás del programa de ransomware REvil anunció que dejaría de promocionar su malware en el foro, eliminando el hilo del foro donde se anunciaba el servicio. El operador dijo que REvil continuaría operando en otro conocido foro de ciberdelincuencia en ruso, pero esperaba que ese foro pronto también prohibiría toda la actividad relacionada con el ransomware. Si eso ocurriera, el operador dijo que REvil probablemente se volvería completamente privado.

Los grupos REvil y Avaddon también anuncian cambios a sus afiliados

Poco después, el operador de REvil emitió declaraciones coordinadas con un operador detrás del programa Avaddon RaaS, anunciando una enmienda a las "reglas" de sus organizaciones. Las actualizaciones prohibieron el afiliados de dirigirse a organizaciones gubernamentales, sanitarias, educativas y de caridad, independientemente del país en el que operen. Además, todos los demás objetivos deben ser aprobados previamente por los operadores del ransomware antes de la implementación real.


Todas estas acciones pueden vincularse directamente a la reacción relacionada con los ataques de ransomware de alto perfil cubiertos por los medios de comunicación esta semana. Sin embargo, se debe aplicar una fuerte advertencia a estos desarrollos: es probable que estos operadores de ransomware estén tratando de retirarse del centro de atención más que descubrir repentinamente el error de sus caminos. Es muy probable que varios de los operadores operen en sus propios grupos cerrados, resurgiendo con nuevos nombres y variantes de ransomware actualizadas. Además, los operadores tendrán que encontrar una nueva forma de "lavar" la criptomoneda que obtienen de los rescates

Lavado de dinero criptomonedas BitMix

BitMix, un popular servicio de mezcla de criptomonedas utilizado por Avaddon, DarkSide y REvil, supuestamente ha cesado sus operaciones. Varios clientes aparentes del servicio informaron que no pudieron acceder a BitMix en la última semana.

Además, habrá operadores de ransomware que continuarán con sus propias operaciones a pesar de toda la atención de esta semana. El mismo día que los anuncios coordinados de REvil y Avaddon: el operador de servicios de salud de Irlanda tuvo que cerrar todos sus sistemas de TI debido a un ataque de ransomware "significativo".

Fuentes:

https://www.intel471.com/blog/darkside-ransomware-shut-down-revil-avaddon-cybercrime

https://therecord.media/darkside-ransomware-gang-says-it-lost-control-of-its-servers-money-a-day-after-biden-threat/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.