Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon JBS pagó un rescate de 11 millones de dólares al ransomware ruso REvil


JBS Foods (a mayor empresa de carne vacuna del mundo) confirma en un comunicado que pagó un  rescate de $ 11 millones de dólares al grupo de ransomware REvil, de los $ 22.5 millones que inicialmente exigían.




JBS, la compañía cárnica más grande del mundo por ventas, reveló el 30 de mayo que fue víctima de un "ataque de ciberseguridad organizado" dirigido a su red de TI, que anuló temporalmente sus operaciones en Australia, Canadá y los EE. UU. La intrusión se atribuyó a REvil (también conocido como Sodinokibi), un prolífico grupo de delitos cibernéticos vinculado a Rusia que se ha convertido en uno de los cárteles de ransomware con mayores ingresos por ingresos.

JBS pagó $ 11 millones al ransomware REvil,

JBS, el mayor productor de carne de vacuno del mundo, ha confirmado que pagó un rescate de 11 millones de dólares después de que la operación de ransomware REvil exigiera inicialmente 22,5 millones de dólares.

El 31 de mayo, JBS se vio obligado a cerrar algunos de sus sitios de producción de alimentos después de que los operadores de ransomware REvil violaron su red y cifraron algunos de sus sistemas de TI de América del Norte y Australia.

JBS dijo que pagaron $ 11 millones para evitar que sus datos robados se filtraran públicamente y mitigar posibles problemas técnicos en un comunicado.

"Esta fue una decisión muy difícil de tomar para nuestra empresa y para mí personalmente", dijo Andre Nogueira, CEO de JBS USA. "Sin embargo, sentimos que esta decisión debía tomarse para prevenir cualquier riesgo potencial para nuestros clientes".



REvil inicialmente exigió un rescate de $ 22.5 millones

El 1 de junio, se compartió un chat de negociación que afirmaba estar entre JBS y la operación de ransomware REvil. Al comienzo de las negociaciones, la demanda de rescate fue inicialmente de 22,5 millones de dólares, y el negociador del ransomware REvil advirtió que los datos se filtrarían si no se pagaban.

"Queremos informar que la red local de su empresa ha sido pirateada y cifrada. Tenemos todos los datos de su red local. El precio para desbloquear es de $ 22,500,000", dijo REvil al representante de JBS.

"Ahora lo mantenemos en secreto, pero si no nos responde dentro de los 3 días, se publicará en nuestro sitio de noticias. Piense en el daño financiero al precio de sus acciones debido a esta publicación".

Antes de seguir negociando, el representante de JBS pidió que le mostraran los datos robados durante el ataque.

Parece que REvil sabía la atención mundial que estaba recibiendo el ataque de JBS, ya que se negaron a mostrar los datos robados hasta que se realizó el pago.

"Después de analizar la información disponible, mi jefe llegó a la conclusión de que la transferencia de archivos se llevará a cabo solo después del pago", dijo REvil a JBS en el chat de negociación.

JBS explicó que solo necesitaban el descifrador de ransomware para descifrar dos bases de datos específicas, ya que el resto de los datos se restauraban a partir de copias de seguridad.

Después de una serie de ofertas y contraofertas, JBS y REvil acordaron un rescate de $ 11 millones, y el pago en bitcoins se envió ese mismo día, 1 de junio.

Después de que la banda de ransomware recibió el pago, proporcionaron el descifrador, que se muestra a continuación.



También se mostró que el rescate se pagó en bitcoin antes de que los actores de la amenaza proporcionaran pruebas de los datos robados en el chat de negociación.

REvil ofrece a las empresas de negociación de ransomware un canal secundario privado para hablar con la operación de ransomware. Se cree que los negociadores de JBS comenzaron a usar eso una vez que nos comunicamos con el pago del rescate.

JBS no es el único que paga una demanda de rescate significativa para volver a poner en línea una operación de infraestructura crítica El mes pasado, Colonial Pipeline confirmó que pagaron un rescate de $ 5 millones a DarkSide para poner en funcionamiento rápidamente el oleoducto.

Desafortunadamente, pagar estos rescates solo mostrará a las bandas de ransomware que la infraestructura crítica es un objetivo que paga, y es posible que veamos ataques más dirigidos en el futuro. 


ransomware-as-a-service, REvil

Ejecutado como un negocio de ransomware-as-a-service, REvil también fue uno de los primeros en adoptar el modelo llamado "doble extorsión" que desde entonces ha sido emulado por otros grupos para ejercer más presión sobre la empresa víctima para cumplir con las demandas de rescate. dentro del plazo designado y maximizar sus posibilidades de obtener ganancias.

La técnica implica robar datos confidenciales antes de cifrarlos, lo que abre la puerta a nuevas amenazas en las que la negativa a participar puede dar lugar a que los datos robados se publiquen en su sitio web en la web oscura.

REvil y sus afiliados representaron alrededor del 4,6% de los ataques en los sectores público y privado en el primer trimestre de 2021, según las estadísticas publicadas por Emsisoft el mes pasado, lo que la convierte en la quinta cepa de ransomware más comúnmente reportada después de STOP (51,4%), Phobos. (6,6%), Dharma (5,1%) y Makop (4,7%).

Se sabe que los sindicatos lavan sus ganancias financieras a través de servicios de mezcla de Bitcoin para ocultar el rastro, que luego se envía a portales de intercambio de criptomonedas legítimos y de alto riesgo para convertir los bitcoins en moneda fiduciaria del mundo real.

El ataque a JBS se produce en medio de una reciente oleada de incursiones de ransomware en las que las empresas se ven afectadas por demandas de pagos multimillonarios a cambio de una clave para desbloquear los sistemas. El mes pasado, Colonial Pipeline desembolsó una cantidad de rescate de aproximadamente 75 bitcoins ($ 4,4 millones al 8 de mayo) para restaurar los servicios, aunque el gobierno de los EE. UU. A principios de esta semana logró recuperar la mayor parte del dinero rastreando los rastros de bitcoins.

Prevenir ataques de ransomware

"Ser extorsionado por delincuentes no es una posición en la que ninguna empresa quiera estar", dijo el director ejecutivo de Colonial Pipeline, Joseph Blount, en una audiencia ante el Comité del Senado de EE. UU. El 8 de junio. "Como he dicho públicamente, tomé la decisión de que Colonial Pipeline pagar el rescate para tener todas las herramientas disponibles para que la tubería vuelva a funcionar rápidamente. Fue una de las decisiones más difíciles que tuve que tomar en mi vida ".

En un desarrollo similar, se dice que la compañía de seguros estadounidense CNA supuestamente pagó $ 40 millones a los atacantes para recuperar el acceso a sus sistemas en lo que se cree que es uno de los rescates más caros pagados hasta la fecha. En un comunicado compartido el 12 de mayo, la compañía dijo que "no tenía evidencia que indique que los clientes externos estuvieran potencialmente en riesgo de infección debido al incidente".

Los incesantes ataques a la infraestructura crítica y su impacto en las cadenas de suministro han llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a publicar una hoja informativa que detalla la creciente amenaza del ransomware para los activos de tecnología operativa y los sistemas de control y ayudar a las organizaciones a desarrollar una resiliencia efectiva.

Entrevista con un operador de Ransomware

 ¿Quién esta detrás de una devastadora campana de rescate?  ¿Por qué eligieron un objetivo especifico? ¿Qué los atrae al ciberdelito? Todas estas son preguntas. Entrevistaron a un miembro del grupo detrás del ransomware LockBit

GDPR en Europa y ciberseguro en USA como garantía de pago

En su entrevista, Aleks volvió a su actividad de ransomware que eligió por razones de rentabilidad, pero también para "enseñar" a las empresas los riesgos de no proteger sus datos. Preguntado por ejemplo sobre los objetivos en el sector salud, Aleks indico que no estaba apuntando al sector salud ... pero sabia mucho sobre cuando pagan los establecimientos, el tipo de data que tienen y su valor exacto, subrayan los investigadores de Talos. . Aleks les dijo que “los hospitales pagan entre el 80 y el 90% del tiempo”.

Parecen elegir a sus victimas en función de su capacidad para pagar rápidamente. Él aprecia particularmente objetivos europeos, porque están sujetos al GDPR. Por lo tanto, es mas probable que las victimas paguen "rápida y discretamente" para evitar las sanciones previstas por el reglamento sobre la protección de data personales. Al contrario, declara "que no me guste trabajar en Estados Unidos porque es mas difícil cobrar, la UE paga mejor y mas". Una confesión que sorprendió a los investigadores: "nunca hubiéramos pensado que el RGPD fuera un factor de focalización privilegiado", señalan Si la victima ha contratado un ciberseguro que ofrece una "garantía virtual" del pago del rescate. Sin embargo, no dice nada sobre su capacidad para saber que organizaciones han contratado este tipo de seguro.

Emplean tácticas bien conocidas, recurriendo en gran medida a herramientas  tan comunes como Mimikatz, PowerShell y Masscan

Este retrato corresponde a un cibercriminal especializado en el ransomware de la familia LockBit, basado en Rusia y con el nombre ficticio de ‘Aleks’. Fue entrevistado por Talos (la división de ciberinteligencia de Cisco) en diversas ocasiones entre septiembre y diciembre del pasado año. Aleks -cuya actividad verificó Talos a partir de revelaciones y comprobaciones reales- accedió a compartir información sobre su motivación, sus tácticas y diversos detalles sobre ciber-ataques y grupos especializados en ransomware.

La mayor facilidad de pago por parte de las compañías europeas víctimas de ransomware (“En Europa se paga porque las compañías temen las multas del RGDP si se filtran sus datos, desveló Aleks), la gran vulnerabilidad de hospitales y escuelas o las comisiones exigidas por grupos de ramsoware por usar sus herramientas e información sobre objetivos (LockBit pide a sus usuarios una menor comisión que Maze) son algunos ejemplos de la información obtenida con esas entrevistas.

Fuentes:

https://www.channelpartner.es/seguridad/noticias/1123590002502/asi-delincuente-especializado-ransomware.1.html

https://www.hebergementwebs.com/no-clasificado/los-secretos-de-un-miembro-del-ransomware-lockbit

https://www.bleepingcomputer.com/news/security/jbs-paid-11-million-to-revil-ransomware-225m-first-demanded/

https://thehackernews.com/2021/06/beef-supplier-jbs-paid-hackers-11.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.