Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
junio
(Total:
48
)
- WD recuperará los datos borrados durante el ataque...
- GitHub presenta Copilot; herramienta capaz de auto...
- A la venta base de datos con datos del 92% usuario...
- Herramientas gratuitas análisis forense digital
- Windows 11 TPM; requisitos y características
- Trickbot: botnet malware-as-a-service
- Tecnología GPON - FTTH
- Graves vulnerabilidades NAS WD My Book Live provoc...
- Microsoft presenta oficialmente Windows 11
- Navegador Brave publica nuevo buscador basado en l...
- Disponible nueva versión navegador Tor corrige err...
- Ransomware DarkRadiation afecta a Linux y contened...
- La plataforma en la nube de la OTAN ha sido hackeada
- Guía NSA sobre la protección de las comunicaciones...
- Actualizaciones de seguridad para Microsoft y Goog...
- Malware sin nombre fue capaz de robar 26 millones ...
- Filtración datos de 3.3 millones clientes Volkswag...
- Detenido en Málaga por un ataque informático a la ...
- Detenidos 6 miembros del grupo de ransomware Clop ...
- Recopilaron datos privados de 1.000 millones usuar...
- Filtrada primera ISO de Windows 11
- Filtran datos de 16,7 millones de usuarios de Fotolog
- Vulnerabilidad desde hace 7 años en Polkit de Linu...
- El grupo ransomware Avaddon cierra y entrega llave...
- Historia del Ransomware Ruyk: el más prolífico ata...
- CD Projekt asegura que los datos robados tras el h...
- EA ha sido hackeada: 780GB datos robados incluyen ...
- JBS pagó un rescate de 11 millones de dólares al r...
- ALPACA, un nuevo tipo de ataque Man in the Middle ...
- El Salvador es el primer país en legalizar el Bitc...
- Ransomware PYSA publica contratos y nóminas de los...
- RockYou2021: la mayor recopilación de contraseñas ...
- 800 criminales arrestados gracias a las escuchas d...
- Estados Unidos recupera gran parte del rescate pag...
- TikTok podrá recopilar todos tus datos biométricos...
- CISA publica guía MITRE ATT & CK para analistas de...
- Próximas novedades del futuro Windows 11
- FujiFilm confirma que fue victima de un ataque de ...
- A la venta Base de Datos robada de la página web d...
- Nuevo timo por WhatsApp: "regalos gratis para todo...
- Empresa dedicada a los backups, paga 2.6 millones ...
- 2 autores de Carbanak (Troyano Bancario) condenado...
- El FBI confirma que el mayor productor de carne de...
- Alertan App's bancarias maliciosas con el troyano ...
- Disponible nueva versión de Kali Linux 2021.2
- Nuevos grupos de ransomware: Prometheus, Grief, Ep...
- Los dispositivos de Amazon compartirán automáticam...
- Google dificultó escondiendo los ajustes de locali...
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Nuevos grupos de ransomware: Prometheus, Grief, Epsilon Red
Babuk Loker ha pasado a llamarse a si mismo "Payload.bin". Y han aparecido varios grupos nuevos de ransomware como Prometheus, Grief y Epsilon Red. Prometheus además ha copiado el logo a otra empresa...
- Prometheus, Grief y Epsilon Red: tres nuevas bandas emergentes de ransomware dirigidas a empresas.
“Prometheus” y “Grief”: un mercado de ransomware de miles de millones de dólares obtuvo dos nuevos actores emergentes.
En el mundo actual, la información y los datos significan dinero y las personas que roban la información han alcanzado nuevos niveles de sofisticación. El número de casos notificados se ha disparado en los últimos años y sigue creciendo rápidamente.
Los datos del gobierno mexicano se publican para la venta
Prometheus es un nuevo grupo de ransomware emergente que extorsiona a empresas en varias verticales en todo el mundo. Recientemente, el grupo ha publicado un dato robado presuntamente perteneciente al gobierno mexicano que aún permanece disponible para la venta en la actualidad, y posiblemente se convierta en el primer grupo ciberdelincuente que ha tocado un estado importante en América Latina a tal nivel.
Según Resecurity, una empresa de ciberseguridad de Los Ángeles, se presume que los datos filtrados fueron robados de múltiples cuentas de correo electrónico como resultado de ATO / BEC y el compromiso de los recursos de la red pertenecientes a varias agencias gubernamentales mexicanas. Es difícil determinar la sensibilidad y el impacto final en el resultado de tales filtraciones, pero es uno de los elementos de un juego de extorsión utilizado por los malos actores. México es el principal socio comercial de Estados Unidos, la segunda economía más grande de América Latina y el 17º exportador más grande del mundo. El número de ciberataques en la región está creciendo significativamente. En 2020, México fue uno de los países con más ciberataques en América Latina.
A fecha de hoy, Prometheus ha publicado datos de 27 víctimas y parece solo el comienzo de su "carrera". Las víctimas también incluyen Ghana National Gas, Tulsa Cardiovascular Center of Excellence (Oklahoma, EE. UU.), Hotel Nyack (Nueva York, EE. UU.) Y empresas en Francia, Noruega, Suiza, Países Bajos, Brasil, Malasia y Emiratos Árabes Unidos.
En su logotipo actualizado, el grupo ilustró vínculos con otro notorio grupo clandestino de ransomware: REvil.
Ransomware en Latinoamérica: PROMETHEUS (Group of REvil)
Prometheus (variante de Thanos), es un nuevo grupo de ransomware que apareció a finales de Marzo de este 2021, supuestamente relacionados a REvil (aka Sodinokibi) y que han estado atacando activamente a organizaciones en la región.
De hecho, según el código, las dos cepas de ransomware no podrían haber sido más diferentes. REvil era una pieza avanzada de malware C ++, mientras que Prometheus se basaba en el código filtrado del ransomware Thanos, programado en C #.
Esta amenaza puede propagarse a través de accesos RDP inseguros, correo phishing y archivos adjuntos maliciosos, Botnets, Exploit Kits, vulnerabilidades en VPN, anuncios maliciosos, inyecciones web, actualizaciones falsas e instaladores infectados entre otros.
La nota de rescate es generada en los equipos comprometidos y se guarda con los nombres RESTORE_FILES_INFO.hta y RESTORE_FILES_INFO.txt.
Si bien los actores de REVil no han confirmado ninguna relación directa con el nuevo grupo y ese vínculo sigue sin estar claro. Es posible que el grupo pueda usar el ransomware REVil y ser uno de sus afiliados trabajando de forma independiente. Curiosamente, cerca de la mitad de todas las víctimas afectadas por Prometheus - pago de rescate pagado o sus datos se han vendido a otras partes interesadas en él.
Algunos investigadores han señalado que se trata de un grupo independiente desarrollado en Visual Basic .NET y que a nivel de código no tienen relación alguna con REvil.
Países más afectados por Prometheus
AFECTADOS EN LATAM
El siguiente listado corresponde a empresas en Latinoamérica que han sido víctima de Prometheus, junto al estado actual de la información robada por estos cibercriminales.
- AQP Express Cargo 🇵🇪 | Información a la venta.
- Gobierno Mexicano 🇲🇽 | Información a la venta.
- Seguros Futuro 🇸🇻 | Información a la venta.
- Paraty Capital 🇧🇷 | Información vendida a terceros.
- Agricola Cerro Prieto 🇵🇪 | Empresa pago por la información.
- Medicar 🇧🇷 | Empresa pago por la información.
- Coca-Cola Embonor 🇨🇱 | Información vendida a terceros.
- Sprink 🇧🇷 | Información vendida a terceros.
- Metalgráfica Cearense 🇧🇷 | Información vendida a terceros.
Hace algunos años se ponía de ejemplo para dimensionar el impacto de una vulnerabilidad o ataque: ¿Y si se roban la formula de Coca-Cola y se la venden a la competencia? pues bueno…. no estamos lejos.
DETECCIONES
DrWeb -> Trojan.EncoderNET.31368
BitDefender -> Trojan.MSIL.Basic.6.Gen
ALYac -> Trojan.Ransom.Thanos
Avira (no cloud) -> TR / RansomX.cucnc
ESET-NOD32 -> A Variant Of MSIL / Filecoder.Thanos.A
Kaspersky -> HEUR: Trojan-Ransom.MSIL.Thanos.gen
Malwarebytes -> Ransom.Thanos
Microsoft -> Ransom: MSIL / Thanos.DC! MTB
Rising -> Ransom.Thanos! 8.11 C97 (CLOUD)
Symantec-> Ransom.HiddenTear! G1
TrendMicro -> Ransom.MSIL.THANOS.SM
Según Resecurity, en la etapa inicial de actividad, el grupo aprovechó Sonar, una herramienta de transferencia de datos segura implementada en la red Tor que proporciona API (http://sonarmsniko2lvfu.onion/?a=docs-api).
Después, el grupo cambió a un sistema automatizado basado en tickets donde la víctima puede proporcionar la identificación y enviar el pago en criptomonedas Monero (XMR) para un proceso de descifrado automático.
Una vulnerabilidad de inyección de SQL en el sitio de fuga de "Prometheus" en TOR permitió revelar la dirección de correo electrónico del operador. Más tarde, los actores de amenazas detectaron y corrigieron la vulnerabilidad.
prometheusdec@gmail.com
Curiosamente, algunas de las muestras relacionadas con la actividad de Prometheus o Prom (nombre alternativo) son detectables como ransomware Thanos por los principales motores AV. Thanos ransomware (también conocido como Hakbit ransomware) ha sido desarrollado por Nosophoros, un actor clandestino que lo pone a la venta en varias comunidades de la Dark Web. También ha anunciado el ransomware Jigsaw y ha colaborado con varios actores que venden acceso comprometido a RDP y VPN a varias redes, incluido drumrlu, como confirmaron Resecurity y KELA, quienes publicaron un informe completo sobre la actividad de los corredores de acceso inicial clandestinos en Dark Web.
El virus Prom fue descubierto originalmente por el analista de virus xiaopao de Qihoo 360 y pertenece a la familia de ransomware Hakbit. Fuente: https://howtofix.guide/prom-virus/
Cuando se ejecuta Prometheus ransomware, intenta eliminar varias copias de seguridad y procesos relacionados con el software de seguridad, como Raccine, una herramienta de prevención de ransomware que intenta evitar que el ransomware elimine instantáneas en Windows.
Disponible en GitHub, el descifrador funciona eficazmente mediante la fuerza bruta de la clave de cifrado utilizada para bloquear los datos de la víctima.
Poco después de que Prometheus se quedara en silencio, un nuevo grupo llamado Haron, que también operaba sobre el código base de Thanos, inició ataques, lo que llevó a algunos expertos a creer que los operadores de Prometheus se rebautizaron como Haron.
Un nuevo ransomware entra en juego: Epsilon Red
- Un ransomware básico descarga la mayor parte de su funcionalidad a un caché de scripts de PowerShell
La semana pasada, los analistas de Sophos descubrieron un nuevo ransomware escrito en el lenguaje de programación Go que se llama a sí mismo Epsilon Red. El malware se entregó como la carga útil ejecutable final en un ataque controlado manualmente contra una empresa con sede en EE. UU. En la industria hotelera en la que todos los demás componentes de la etapa inicial eran un script de PowerShell.
Según la dirección de la criptomoneda proporcionada por los atacantes, parece que al menos una de sus víctimas pagó un rescate de 4.29 BTC el 15 de mayo (valorado en aproximadamente $ 210,000 en esa fecha).
Si bien el nombre y las herramientas eran exclusivos de este atacante, la nota de rescate dejada en las computadoras infectadas se asemeja a la nota dejada por el ransomware REvil, pero agrega algunas correcciones gramaticales menores. No hubo otras similitudes obvias entre el ransomware Epsilon Red y REvil.
Parece que un servidor Microsoft Exchange empresarial fue el punto inicial de entrada de los atacantes a la red empresarial. No está claro si esto fue habilitado por el exploit ProxyLogon u otra vulnerabilidad, pero parece probable que la causa principal fuera un servidor sin parches. Desde esa máquina, los atacantes utilizaron WMI para instalar otro software en las máquinas dentro de la red a las que podían acceder desde el servidor de Exchange.
El nombre Epsilon Red, como muchos acuñados por los actores de amenazas de ransomware, es una referencia a la cultura pop. El personaje Epsilon Red era un adversario relativamente oscuro de algunos de los X-Men en el universo extendido de Marvel, un "súper soldado" supuestamente de origen ruso, luciendo cuatro tentáculos mecánicos y una mala actitud.
Personaje mundo Marvel: Epsilon Red
Nombre real: Ivan (patronímico y apellido no revelado).
Familiares conocidos: Esposa (nombre no revelado, fallecido), Elena Ivanovna (hija).
Afiliación grupal: ex agente de la KGB.
Durante el ataque, los actores de amenazas lanzaron una serie de scripts de PowerShell, numerados del 1.ps1 al 12.ps1 (así como algunos que solo fueron nombrados con una sola letra del alfabeto), que prepararon las máquinas atacadas para la carga útil final del ransomware
La orquestación de PowerShell fue, en sí misma, creada y activada por un script de PowerShell llamado RED.ps1 que se ejecutó en las máquinas de destino mediante WMI. El script recupera y descomprime en la carpeta system32 un archivo .7z que contiene el resto de los scripts de PowerShell, el ejecutable del ransomware y otro ejecutable.
Grief
Grief es un grupo de ransomware menos conocido, que afirma haber robado datos de 5 organizaciones, incluida 1 en México. Curiosamente, el sitio WEB de Grief en la red TOR tiene una protección “anti-rastreo” que evita que los investigadores de ciberseguridad indexen automáticamente su contenido mediante varias plataformas de inteligencia de amenazas cibernéticas y sus bots.
En su página de destino, hay una referencia pegadiza a las regulaciones del RGPD: "El RGPD en el artículo 33 requiere que, en caso de una violación de datos personales, los controladores de datos deben notificar a la autoridad supervisora correspondiente sin demoras indebidas y, cuando sea posible, no más tarde. de 72 horas después de haber tenido conocimiento de ello ".
Es obvio que los actores están tratando de motivar a las víctimas para que paguen más temprano que tarde para evitar posibles problemas con los reguladores europeos, que es una de las tácticas de extorsión. El RGPD permite a las autoridades de protección de datos de la UE imponer multas de hasta 20 millones de euros (24,1 millones de dólares) o el 4% de la facturación global anual (lo que sea mayor), lo que definitivamente será un precio más alto en comparación con un posible pago de rescate a un actor clandestino.
Las víctimas más recientes agregadas hace solo un par de días incluyen las redes del condado de Mobile, Alabama (EE. UU.) Y Comune di Porto Sant’Elpidio (Italia).
En 2020, estima que se pagaron $ 350 millones en rescate a los atacantes, un aumento de más del 300 por ciento con respecto al año anterior, con un pago promedio de más de $ 300,000.
Según estadísticas de expertos, el mayor número de víctimas en 2020 por industria fue en manufactura, servicios profesionales y legales y construcción. Las empresas de fabricación, educación y atención médica experimentaron específicamente aumentos significativos, especialmente durante la pandemia de COVID-19, cuando las empresas cambiaron casi por completo al modo de trabajo remoto, dejando muchas brechas de seguridad utilizadas por los actores de amenazas.
El Grupo de Trabajo sobre Ransomware, coordinado por el Instituto de Seguridad y Tecnología, pide ver el ransomware como mucho más que un simple delito financiero y hacer de su lucha una prioridad mundial.
Fuentes:
https://securityaffairs.co/wordpress/118446/cyber-crime/prometheus-grief-ransomware.html
https://www.cronup.com/ransomware-en-latam-prometheus-group-of-revil/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.