Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
julio
(Total:
52
)
- Las 30 vulnerabilidades más explotadas en 2020 y 2021
- Dos mujeres hackearon cajeros automáticos con una ...
- La Unión Europea impone multa récord a Amazon con ...
- Dos detenidos por acosar a niñas menores a través ...
- Contratistas de defensa de E.U. fueron engañados p...
- BlackMatter y LockBit 2.0: novedades en el mundo d...
- Supuesta filtración 4 billones de teléfonos de Clu...
- Vulnerabilidades en el router de fibra HGU Askey d...
- Actualizaciones de seguridad de Apple para iOS, iP...
- Diferencias GPUs NVIDIA RTX vs GTX
- Clonar Disco Duro HDD o Unidad SSD con CloneZilla
- Nuevo ataque PetitPotam permite hackear dominios d...
- Quién es Shalev Hulio, el militar responsable de P...
- El 97% de los emails que usan los funcionarios Esp...
- DuckDuckGo presenta "Email Protection", un servici...
- Detenido en Estepona responsable hackear más de 1...
- Grave vulnerabilidad local kernel sistema de fiche...
- Nueva vulnerabilidad en Windows permite elevación ...
- WhatsApp permitirá activar el cifrado de la copia ...
- Estados Unidos acusa formalmente a 4 ciudadanos Ch...
- Análisis forense víctimas de Pegasus del grupo NSO...
- Grave vulnerabilidad ejecución remota de código en...
- ASIC para minar criptomonedas
- Las 3.800 PS4 confiscadas en Ucrania no minaban cr...
- Microsoft revela que ciudadanos en Cataluña han si...
- Hackean las cuentas de Twitter y Facebook de La Se...
- Steam Deck: Valve presenta consola portátil para j...
- Documentos maliciosos Excel 4.0 XLM Macros
- Detenidas en España 16 personas por estafar 3,5 mi...
- Actualizaciones de seguridad productos Microsoft, ...
- Gmail quiere acabar con el phishing gracias al BIMI
- Intervenido en Málaga un dron de 4,35 metros de en...
- Mozilla VPN ya está disponible en España
- Fallo de seguridad en la web Vacunación Covid de C...
- Herramientas Endpoint Detection and Response EDR
- Alternativas correo Gmail basadas en la privacidad
- Descubren a un conductor de contrabando con 256 CP...
- ChatControl: El Parlamento Europeo aprueba la vigi...
- Parche incompleto de Microsoft para PrintNightmare...
- Error en la web de Sanidad Madrid expone datos pri...
- Descubren miles de Bases de Datos desprotegidas en...
- Cifrado por hardware unidades SSD (SED)
- Ingeniero de Microsoft consiguió robar 10 millones...
- WhatsApp ya permite enviar fotografías y vídeos qu...
- Descubren 9 aplicaciones Android que roban credenc...
- Ciberataque global del ransomware REvil afecta a m...
- Publicada herramienta descifrado gratuita para víc...
- Europol cierra servicio de VPN DoubleVPN utilizado...
- Operadores de Telefonía añaden enlaces publicidad ...
- 30 millones ordenadores Dell vulnerables por culpa...
- Grupo MASMOVIL España hackeado por el ransomware d...
- Grave vulnerabilidad en el servicio de impresión d...
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Grupo MASMOVIL España hackeado por el ransomware de origen ruso REvil (Sodinokibi)
Grupo MASMOVIL, formado por YOIGO, MASMOVIL, Pepephone, Lebara, Lycamobile y Llamaya, es una nueva víctima de uno de los grupos de rasnomware más prolíficos, llamado REvil - Sodinokibi. Otras empresas han sido víctimas del mismo ransomware de origen ruso, como Adif, Acer, FujiFilm,Orange, Telecom Argentina. El grupo Ruso REvil no se anda con con tonterías, o pagan el rescate por no filtrar los datos o los publicarán. Ya lo hicieron con ADIF, con 800GB datos robados. Algunos medios de comunicación han explicado erróneamente que el grupo ha exigido "1.9 billones" de rescate. El Grupo REvil publica habitualmente los ingresos de la compañía, no la cantidad exigida por el rescate. Ahora bien, en función de los ingresos anuales de la empresa afectada, pedirá una mayor o menor cantidad de rescate.
- Al fabricante de hardware Acer le pidió un rescate de 50 millones de dólares, el más alto hasta la fecha
- Justo el mismo día que la Europol anuncia cierre de la VPN de origen Ruso DoubleVPN
Grupo MASMOVIL España nueva víctima del ransomware REvil (Sodinokibi)
En una nueva entrada con fecha 30 de junio, en su blog en la dark web llamado "happy blog" donde amenazan con publicar la información robada:
En diversas capturas de pantalla los delincuentes han publicado ficheros (base de datos SQL Server (MDF) confidenciales extraídas de la empresa que publicarán si no acceden al pago del rescate.
Carpetas
- Actualia
- ADEA
- ADSL
- AFINION
- Agencias
- backup_BYSIDE
- Caixa_CE
- CDRS
- Cobertura-SFTP-pwc
- Controles_Tarificacion_BRQ-PRQ
- EXT_MB_DWH
- FINETRADE
- FSM_NETBOSS
- i110
- IMACH
- IVR
- JAZZTEL
- JSC
- mm_sap_clientes_AEAT
- OCU
- PARLEM
- RECARGADORES
- RESELLERS
- SCORING
- SISTEMAS
- TICKETS
El grupo REvil es uno de los más peligrosos y reconocidos dentro del mundillo del rasnwomare, con víctimas de gran calibre y pagos millonarios históricos. Recientemente han incorporado una versión para Linux de su ransomware (que normalmente sólo afecta a entornos Windows).
REvil es uno de los grupos de ransomware como servicio (RaaS) más prolíficos en los últimos dos años. Se suponía que la familia de ransomware estaba detrás de la intrusión de Travelex y los informes actuales apuntan a un ataque contra Acer por la demanda de rescate más grande de un ataque de ransomware: 50 millones de dólares.
Ransomware REvil (Sodinokibi) suele utilizar el dropper IcedID, un documento macro xlsm que descarga gif ejecutable y utiliza la conocida herramienta de copias de seguridad rclone (inyectada en el proceso svchost) para exfiltrar datos, con un de tiempo total TTR (Time to Ransom) de 4,5h
Vector de ataque inicial (Datos CoveWare)
- 64% RDP (Escritorio Remoto)
- 18% Phishing
- 9% vulnerabilidades software
- 9% Otros
Historia del ransomware REvil
- Revil fue el primer ransomware en ofrecer un nuevo método de extorsión: publicar y ahora (Junio 2020) incluso subastar los datos de las víctimas utilizando la criptomoneda Monero
El ransomware REvil se anunció por primera vez en un foro de cibercrimen en ruso en junio de 2019. El actor principal asociado con la publicidad y la promoción del ransomware REvil se llama Unknown, también conocido como UNKN. El RaaS se opera como un servicio afiliado, donde los afiliados propagan el malware mediante la adquisición de víctimas y los operadores REvil mantienen el malware y la infraestructura de pago. Los afiliados reciben del 60% al 70% del pago del rescate.
Debido al código fuente y las similitudes de comportamiento entre REvil y GandCrab, se sugirió que podría haber una conexión que vincule a los desarrolladores de las dos familias de ransomware. Además de las similitudes en el código, la evidencia complementaria que une a GandCrab y REvil es que GandGrab oficialmente se "retiró" justo antes de que REvil apareciera. REvil se mantiene activamente y se encuentra en constante desarrollo.
Ransomware GandCrab
Tras un año y medio de funcionamiento y más de 1,2 millones de víctimas en todo el mundo, especialmente en América Latina, en junio de 2019 los desarrolladores de GandCrab publicaron en un foro de DarkNet que difunde RaaS, que ya no iban a continuar con el proyecto y que todas las víctimas tenían dos meses para pagar, sino iban a perder sus archivos para siempre, pues iban a borrar todas las llaves. Se calcula que el ransomware GandCrab es responsable del 40% de las infecciones de ransomware a nivel mundial.
Pero el 15 de Julio de 2019 el FBI hizo publicó que tenía las llaves maestras de descifrado de las versiones 4 y superiores de este malware, a través de un comunicado oficial que indica que las llaves se trabajaron en colaboración con BitDefender y que iban a ser publicadas en el proyecto nomoreransom.org.
Con la colaboración de diferentes agencias de seguridad, el FBI ha liberado finalmente las claves maestras de descifrado para las versiones 4, 5, 5.0.4, 5.1, y 5.2 de GandCrab.
Los actores detrás de REvil incluyen su clave pública maestra en todos los binarios de REvil. Por lo tanto, pueden descifrar los archivos independientemente de los afiliados que ejecutan las campañas.
Los cibercriminales detrás de la oferta de ransomware como servicio (RaaS) de GandCrab anunciaron recientemente que estaban cerrando la tienda y retirándose después de que supuestamente obtuvieron más de $ 2 mil millones en pagos de extorsión de las víctimas.
Unknown (UNKN) dijo que estaba prohibido instalar la nueva cepa de ransomware en cualquier ordenador de la Comunidad de Estados Independientes (CEI), que incluye Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Turkmenistán, Ucrania y Uzbekistán.
Si el "Keyboard language" del sistema corresponde a cualquier valor del siguiente listado, la ejecución del ransomware se detiene sin realizar ninguna acción
- 0x818 – Romanian (Moldova)
- 0x419 – Russian
- 0x819 – Russian (Moldova)
- 0x422 – Ukrainian
- 0x423 – Belarusian
- 0x425 – Estonian
- 0x426 – Latvian
- 0x427 – Lithuanian
- 0x428 – Tajik
- 0x429 – Persian
- 0x42B – Armenian
- 0x42C – Azeri
- 0x437 – Georgian
- 0x43F – Kazakh
- 0x440 – Kyrgyz
- 0x442 –Turkmen
- 0x443 – Uzbek
- 0x444 – Tatar
- 0x45A – Syrian
- 0x2801 – Arabic (Syria)
La prohibición contra la propagación de malware en los países de la CEI ha sido durante mucho tiempo un elemento básico de varios programas de afiliados de pago por instalación que son operados por delincuentes que residen en esas naciones. La idea aquí, es no es atraer la atención de la policía local que responde a las quejas de las víctimas (y / o tal vez mantenerse fuera del radar de las autoridades fiscales y los extorsionistas en sus ciudades de origen).
También se descubrió que Sodinokobi / REvil también incluye a otra nación en su lista de países que los afiliados deberían evitar infectar: Siria. Curiosamente, las últimas versiones de GandCrab dieron el mismo paso inusual.
El grupo pidió un rescate de 21 millones de dólares a cambio de no publicar la información sustraída, pero el despacho se negó a pagar, lo que hizo que REVil subiese aún más su petición de rescate: hasta los 42 millones de dólares. Ante la nueva negativa, publicaron parte de la información y subastaron el resto.
La subasta de datos robados es práctica habitual de este grupo, según asegura Brett Callow, de Emsisoft, aunque en este caso "amenazan con publicar los datos en lugar de subastarlos. Eso podría ser porque no creen que los datos tengan un valor de mercado significativo... o porque sí que planean subastarlos pero han redactado su escrito de manera descuidada".
Respecto a las posibles identidades de los integrantes de REVil, Callow asegura que "la evidencia sugiere una posible conexión entre ellos y GandCrab [otro grupo de ciberdelincuentes, ahora presumiblemente retirados] y que podrían estar en Rusia o en otro país de la Comunidad de Estados Independientes" (Bielorrusia, Ucrania, Armenia, Azerbaiyán, Kazajistán, Kirguistán, Moldavia, Tayikistán, Turkmenistán o Uzbekistán).
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.