Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
marzo
(Total:
103
)
- Apple y Meta compartieron datos privados de usuari...
- Spring4Shell: un nuevo 0-day en Spring (Java)
- El mayor hackeo de criptomonedas de la historia ac...
- La NVIDIA RTX 3090 Ti es la gráfica más potente y ...
- Filtran informe técnico que revela como Lapsus hac...
- Globant hackeada también por Lapsus
- Detenido por 4º vez Alcasec, esta vez por hackear ...
- Los usuarios de Ucrania se quedan sin internet otr...
- Informe completo del Ransomware Hive
- Sitios hackeados con WordPress fuerzan a los visit...
- Anonymous publica 28 GB de documentos del Banco Ce...
- Las futuras unidades SSD PCIe 5.0 necesitarán refr...
- Tinder te dirá en Estados Unidos si tu futura cita...
- La FCC añade a Kaspersky a su lista de amenazas a ...
- Vulnerabilidades permiten arrancar y abrir remotam...
- Corea del Norte explota vulnerabilidad Zero-Day en...
- Mejorar la seguridad de Windows con herramienta Sy...
- Rusia habría hackeado satélites europeos al inicio...
- Diferencias entre SSL, TLS y HTTPS
- Disponible distro auditorías hacking y pentest Par...
- El sueldo medio de un operador del ransomware Cont...
- Comandos prácticos consola Windows (cmd)
- ¿Quiénes son los miembros del grupo Lapsus? El líd...
- Un ataque DDoS tumba la web del Congreso de los Di...
- Guía compra CPU: arquitecturas y equivalencias de ...
- Técnicas de intrusión hacking con vectores inicial...
- Los rusos se descargan masivamente la Wikipedia an...
- Microsoft confirma que fue hackeado por el grupo L...
- Actualizaciones de seguridad críticas para varios ...
- Anonymous hackea Nestlé y filtra 10 GB de datos co...
- El Apple M1 Ultra es casi 3 veces más grande que u...
- Grupo Lapsus publica un torrent con 37GB de codigo...
- Falso reinicio: Ataque NoReboot para mantener pers...
- Microsoft investiga un supuesto hackeo con robo de...
- Kit Phishing permite crear ventanas realistas de P...
- Twitter prepara «Circles», para mostrar tuits a co...
- Rusia podría quedarse sin espacio de almacenamient...
- Herramienta de Microsoft para escanear routers Mik...
- Un juez del Supremo de Brasil prohíbe el uso de Te...
- Vulnerabilidades críticas en los dispositivos Smar...
- Malware Ruso Cyclops Blink afecta a varios modelos...
- Enviar "fotopollas" será delito en el Reino Unido
- Video falso (deepfake) del presidente ucraniano pi...
- Ver las contraseñas guardadas en redes Wireless en...
- Cloudflare bloquea los servicios IPTV pirata en it...
- Nueva multa a Meta de 17 millones € por incumplimi...
- VirusTotal presenta extensión navegador VT4Browsers
- Transceptores SFP
- Elevación local de privilegios en el Kernel de Lin...
- Intel anuncia una inversión de 33 mil millones de ...
- Microsoft está probando de añadir anuncios en el E...
- Ucrania utiliza el reconocimiento facial en la gue...
- Alemania pide a sus empresas y usuarios desinstala...
- CaddyWiper es un nuevo malware destructivo dirigid...
- El grupo de ransomware Vice Society publica los da...
- Microsoft publica la API DirectStorage para PC, un...
- Conectar pendrive USB al teléfono móvil
- Anonymous hackea la filial alemana de la gran petr...
- Acusan a TP-Link de espiar a sus usuarios mediante...
- Disponible WifiSlax 3.0 Final 2022 para auditorías...
- La aduana de China captura a un hombre con 160 CPU...
- Procesadores Intel pierden hasta un 35% y AMD has...
- Un simulador nuclear 'online' se bloquea debido al...
- Hackean la cuenta Twitter de La Casa Real de España
- Top 10 de ataques al Directorio Activo de Windows
- La empresa Tarlogic denuncia la poca seguridad de ...
- Cómo acceder a la BIOS-UEFI según la marca del por...
- Ubisoft confirma un ciberataque y podría ser obra ...
- Funciones y trucos ocultos de Windows 11
- Google lanza las alertas de ataques aéreos para us...
- Rusia crea su propia Autoridad Certificadora (CA) ...
- La Fundación Wikimedia advierte sobre los peligros...
- Anonymous hackea al Roskomnadzor, el regulador que...
- ¿Qué es un trol de patentes de software?
- Nuevo vector de ataque permite amplificar los ataq...
- BHI (Spectre-BHB) es una nueva vulnerabilidad tipo...
- Apple M1 Ultra es el nuevo procesador de 20 núcleo...
- Twitter estrena web en la red Tor para combatir la...
- Grave vulnerabilidad en el kernel de Linux: Dirty ...
- 12VHPWR es un nuevo conector de hasta 600W para ta...
- Apple presenta el Mac Studio, un equipo mini de al...
- Apple Studio Display un Monitor 5K de 27″ a partir...
- Google compra Mandiant por 5.400 millones de dólar...
- Consiguen hackear Amazon Echo para hacer compras o...
- Anonymous hackea canales de televisión que sirven ...
- Mercado Libre también ha sido hackeado por LAPSUS$...
- Rusia podría permitir el software ilegal (pirata) ...
- Vulnerabilidad en cgroups v1 permite escapar de un...
- Aparecen los primeros malware con los certificados...
- Coinbase y Binance se niegan a expulsar a usuarios...
- Filtradas las credenciales de 71.355 empleados de ...
- Grupo Lapsus hackea Samsung y publica un torrent c...
- Bottles permite ejecutar software de Windows en Li...
- instalación y configuración de Docker en NAS QNAP ...
- IsaacWiper y HermeticWizard: un nuevo wiper y worm...
- Nuevo método ataque DrDDoS utilizando nuevo vector...
- EA elimina la selección Rusa y los equipos Rusos d...
- Miembro pro Ucraniano filtra chats internos, docum...
- Ciberataque detiene la producción del fabricante c...
- Google también veta el acceso a los canales de You...
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Miembro pro Ucraniano filtra chats internos, documentación, etc del grupo ruso ransomware Conti
Los registros de chat (jabber) pertenecientes al grupo de ransomware Conti se filtró en línea gracias a una aparente fuente interna, que afirma haberse opuesto al apoyo del grupo a la invasión rusa de Ucrania. Un miembro molesto, de la operación de ransomware Conti filtró más de 60,000 mensajes privados después de que el grupo se posicionara abiertamente del lado de Rusia por la invasión de Ucrania.
Los chats del grupo Conti revelan mucho sobre su estructura interna y jerarquía. Conti mantiene muchas de las mismas unidades comerciales que una empresa legítima de tamaño pequeño a mediano, incluido un departamento de Recursos Humanos que está a cargo de entrevistar constantemente a posibles nuevos empleados.
La fuga también se compartió también en VX-Underground, un grupo de investigación de malware que recopila muestras y datos de malware. El conjunto de datos filtrado tiene alrededor de 400 archivos que contienen decenas de miles de registros de chat internos del grupo Conti en su ruso nativo. Los archivos contienen aproximadamente un año de mensajes que datan de enero de 2021, unos seis meses después de que el grupo se formara por primera vez a mediados de 2020.
Los expertos en ransomware ya están estudiando detenidamente los archivos para obtener más información sobre las operaciones internas del grupo. El investigador de seguridad Bill Demirkapi tradujo los archivos al inglés.
De estos datos se puede obtener información de gran valor, cómo direcciones de Bitcoin, el modelo organizativo de la banda o guías sobre cómo realizar ataques.
Conti es un grupo de ransomware como servicio (RaaS), que permite a los afiliados alquilar el acceso a su infraestructura para lanzar ataques. Los expertos dicen que Conti tiene su sede en Rusia y puede tener vínculos con la inteligencia rusa.
Otros departamentos de Conti con sus propios presupuestos distintos, horarios de personal y liderazgo sénior incluyen:
- Desarrolladores: programadores contratados para escribir código malicioso e integrar tecnologías dispares.
- Testers: trabajadores a cargo de probar el malware Conti contra herramientas de seguridad y ofuscarlo.
- Administradores: trabajadores encargados de configurar servidores y cualquier otra infraestructura de ataque.
- Ingenieros en reversing: aquellos que pueden desensamblar código , estudiarlo, encontrar vulnerabilidades o debilidades.
- Penetration Testers/Hackers: aquellos en la primera línea que van contra los equipos de seguridad corporativos para robar datos y plantar ransomware.
A principios de esta semana, Conti dijo en una publicación de blog, informada por primera vez por Reuters y vista también por TechCrunch, que tenía "total apoyo" para la invasión rusa de la vecina Ucrania, y prometió tomar represalias contra la infraestructura crítica si Rusia es atacada con ataques cibernéticos o ataques militares. En una publicación actualizada, el grupo afirmó que no está aliado con ningún gobierno, pero reiteró: "Usaremos nuestros recursos para contraatacar si el bienestar y la seguridad de los ciudadanos pacíficos están en juego debido a la ciberagresión estadounidense".
Director ejecutivo de AdvIntel Vitali Kremezque ha estado rastreando la operación Conti/TrickBot durante los últimos años, también confirmó que los mensajes filtrados son válidos y se tomaron de un servidor de registro para el sistema de comunicación Jabber utilizado por la banda de ransomware.
En total, hay 393 archivos JSON filtrados que contienen un total de 60 694 mensajes desde el 21 de enero de 2021 hasta hoy.
Estas conversaciones contienen diversa información sobre las actividades del grupo, incluidas víctimas no denunciadas anteriormente, URL de fuga de datos privados, direcciones de bitcoin y discusiones sobre sus operaciones.
El grupo de ransomware Conti publicó una publicación de blog en su sitio web la semana pasada. La esencia de la publicación era que Conti apoyaba plenamente al gobierno ruso y lo que los medios rusos todavía llaman una "operación militar" en Ucrania. La publicación pro-rusa de Conti culminó con la amenaza de que si alguien "organizara un ataque cibernético o cualquier actividad de guerra contra Rusia", entonces el grupo Conti usaría "todos los recursos posibles para contraatacar las infraestructuras críticas de un enemigo".
Se ha culpado a Conti de los ataques de ransomware dirigidos a docenas de empresas, incluidas Fat Face y Shutterfly, así como a infraestructuras críticas, como centros de despacho de emergencia y redes de primeros auxilios. En mayo pasado, Conti desconectó las redes del servicio de atención médica irlandés, lo que obligó a un cierre nacional de los sistemas de TI que provocó graves retrasos en todo el país y le costó al gobierno más de U$S 100 millones en costos de recuperación.
Según ransomwhe.re, un sitio de seguimiento de ransomware colaborativo, Conti ha recaudado más de 30,1 millones de dólares en pagos de ransomware hasta la fecha. "La filtración es un golpe significativo para Conti, sobre todo porque sus afiliados y otros asociados habrán perdido la confianza en la operación", dijo Brett Callow, experto en ransomware y analista de amenazas de Emsisoft. "Sin duda se preguntarán cuándo se comprometió la operación, si la policía estuvo involucrada y si hay migas de pan que podrían llevarlos a ellos".
"Muchas operaciones de RaaS tienen conexiones con Ucrania, incluidas las que tienen su sede en Rusia. Por lo tanto, es un error táctico que una operación tome partido públicamente, ya que corre el riesgo de enojar a las personas que tienen conocimiento interno de sus operaciones", dijo Callow.
La filtración de los archivos de Conti es parte de un esfuerzo más amplio de los hacktivistas y aliados de seguridad, incluida la formación del "IT Army" de Ucrania, que tiene como objetivo los sitios, servicios e infraestructura rusos en respuesta a la invasión del Kremlin.
Panel de control de Conti
Entre el contenido de interés publicado por ContiLeaks se encuentra el código fuente del panel de administración de la banda y capturas de pantalla de servidores de almacenamiento. Un archivo protegido con contraseña resultó contener el código fuente para las funciones de cifrado, y descrifado y constructor del ransomware.
Los chats de Conti muestran que el grupo principalmente controla a sus víctimas (los bots infectados) a través de las plataformas Trickbot y Emotet Crimeware-as-a-Service, y que empleó a docenas de personas para probar, mantener y expandir continuamente esta infraestructura las 24 horas, los 7 días de la semana.
Los miembros de Conti se refieren a Emotet como "Booz" o "Buza", y es evidente al leer estos registros de chat que Buza tiene su propia gente con más de 50 desarrolladores, con la misma estructura organizativa que Conti.
- Según Mango, al 18 de julio de 2021, la pandilla Conti empleaba a 62 personas, en su mayoría desarrolladores de malware de bajo nivel y testers.
Conti Rocket Chat Leaks contiene un historial de chat de miembros de Conti que intercambian consejos sobre objetivos y llevan a cabo ataques a través del favorito de los delincuentes: Cobalt Strike, la herramienta legítima disponible comercialmente utilizada por los evaluadores de penetración de redes y por delincuentes para detectar vulnerabilidades.
Hablaron sobre estas técnicas:
- Enumeración de directorio activo
- Enumeración de bases de datos SQL a través de sqlcmd.
- Cómo obtener acceso a las copias de seguridad de Shadow Protect SPX (StorageCraft).
- Cómo crear volcados NTDS vs vssadmin
- Cómo abrir el nuevo puerto RDP 1350
Herramientas
- Cobalt Strike
- Metasploit
- PowerView
- ShareFinder
- AnyDesk
- Mimikatz
- Cracking
- Metasploit
- Network Pentesting
- Cobalt Strike
- PowerShell for Pentesters
- Windows Red Teaming
- WMI Attacks (and Defenses)
- SQL Server
- Active Directory
- Reverse Engineering
Zoom en los archivos filtrados
Entre proclamas en contra de la guerra y de apoyo a Ucrania, se han seguido sucediendo nuevas filtraciones. Algunas de ellas han creado un auténtico revuelo en redes sociales. Una carpeta con el nombre Zoom aparecía entre los archivos filtrados.
Matt Nagel, relaciones públicas de seguridad y privacidad de Zoom, desmentía poco después que la empresa se hubiese visto afectada por una brecha de seguridad relacionada con el ransomware de Conti
Fuentes:
https://blog.segu-info.com.ar/2022/03/chats-internos-del-ransomware-conti-se.html
Vía: TechCrunch
https://threatpost.com/conti-ransomware-decryptor-trickbot-source-code-leaked/178727/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.