Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Ofrecen hasta 1 millón de dólares a cambio de infectar tu empresa




Se ha detectado un grupo de ciberdelicuentes que está prometiendo un millón de dólares a los empleados que colaboren e inserten el ransomware Black Kingdom (DemonWare) en los equipos de las compañías para las que trabajan.

 


 

 

Abnormal Security detectó y bloqueó el pasado 12 de agosto correos electrónicos dirigidos a sus empleados. En los mensajes, los cibercriminales pedían a los trabajadores que fuesen cómplices de una serie de amenazas internas.

El objetivo de estos emails era infectar las redes de Abnormal Security con ransomware. Sin embargo, esta compañía no ha sido la única que los piratas informáticos tienen en el punto de mira.

Cómo actúan los atacantes

En el informe, Abnormal Security explica que “el remitente dice al empleado que si son capaces de desplegar ransomware en un ordenador de la empresa o en el servidor de Windows se le ofrecerá un millón de dólares en bitcoin o el 40% del “presunto rescate” de 2,5 millones de dólares.

Los ciberdelincuentes han dado a los trabajadores dos maneras de contactar con ellos: a través de un correo electrónico o de Telegram. Para ello, han facilitado una cuenta de Outlook y un nombre de usuario de la plataforma de mensajería instantánea.

La investigación

Dado que algunos empleados de la compañía recibieron correos electrónicos de los ciberdelincuentes, Abnormal Security aprovechó para investigar y conocer su táctica.Construimos una personalidad ficticia y nos comunicamos con el actor en Telegram para ver si podíamos obtener una respuesta”, comentan en su informe.

Al poco tiempo de enviar el mensaje, el atacante respondió y permitió que Abnormal Security conociese “la mentalidad de este actor de amenazas”. El atacante pidió al empleado ficticio que accediese al servidor Windows de la falsa empresa e introdujese el ransomware.

El atacante mandó dos enlaces desde los que se podía descargar el archivo malicioso, tanto en WeTransfer como en Mega.nz. El documento recibía el nombre de ‘Walletconnect (1).exe’ y, según confirmó Abnormal Security, se trataba de un ransomware.

 

Los ciberdelincuentes proporciona los enlaces para descargar el archivo de ransomware


 

Aunque en un inicio el pirata informático dijo que esperaba conseguir 2,5 millones de dólares de la compañía, acabó reduciendo la cifra del rescate a 120.000 dólares, incluso cuando el empleado ficticio comentó que la empresa para la que trabajaba tenía un ingreso anual de 50 millones de dólares.

ransomware Black Kingdom

Este malware, también conocido como DemonWare y DEMON, comenzó a darse a conocer sobre todo a principios de marzo de este año. En aquel entonces, se descubrió que los atacantes estaban provocando fallos que afectaban a los servidores de Microsoft Exchange e infectaban sistemas sin parches con los ransomware.

 

LockBit 2.0


Una de las características más llamativas en esta nueva versión del ransomware es la inclusión de un mensaje en los sistemas Windows cifrados en el que se ofrece a los administradores de redes internas la posibilidad de brindar acceso a más recursos en la organización afectada a cambio de “millones de dólares”.

“¿Le gustaría ganar millones de dólares? Nuestra empresa adquiere acceso a las redes de diversas compañías e información privilegiada. Puede proporcionarnos datos contables para el acceso a cualquier empresa, por ejemplo, nombre de usuario y contraseña de escritorio remoto, VPN, email corporativo, etc.”, señala el mensaje

 

"Would you like to earn millions of dollars?
Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company.
You can provide us accounting data for the access to any company, for example, login and password to RDP, VPN, corporate email, etc. Open our letter at your email. Launch the provided virus on any computer in your company.
Companies pay us the foreclosure for the decryption of files and prevention of data leak.
You can communicate with us through the Tox messenger
https://tox.chat/download.html
Using Tox messenger, we will never know your real name, it means your privacy is guaranteed.
If you want to contact us, use ToxID: xxxx"

El mensaje también especifica que los interesados deberán abrir la carta en su email, ejecutar el malware en la orfedenador afectado y dejar que la infección fluya. Este mensaje incluye un enlace a la plataforma de chat Tox Messenger, que brinda anonimato a sus usuarios.

Aunque este método de ataque parece algo inédito, se han detectado prácticas similares en anteriores ocasiones. Tal es el caso de un ruso que fue arrestado hace un año por reclutar empleados de Tesla con el fin de inyectar una peligrosa variante de malware en las instalaciones de la compañía.


Fuentes:

https://www.20minutos.es/tecnologia/ciberseguridad/un-millon-de-dolares-a-cambio-de-infectar-las-redes-de-tu-propia-empresa-la-ultima-tactica-de-los-cibercriminales-4812834/

 


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.