Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Nuevo grupo de ransomware: RedAlert ataca servidores Windows, Linux VMware ESXi


El nuevo grupo ransomware 'RedAlert' (también conocida como 'N13V) cifra los servidores 'VMWare ESXi' de Windows y Linux en ataques a redes corporativas. MalwareHunterTeam informaba en su cuenta de Twitter sobre la operación de fuga de datos. El cifrado de Linux se crea para apuntar a los servidores VMware ESXi, con opciones de línea de comandos que permiten a los actores de amenazas apagar cualquier máquina virtual en ejecución antes de cifrar los archivos.




El cifrado de Linux se crea para apuntar a los servidores 'VMware ESxi', de esta manera, los ciberdelincuentes pueden apagar cualquier dispositivo en ejecución antes de cifrar los archivos.

Al ejecutar el ransomware con W, el cifrador de Linux apagará todas las máquinas virtuales VMware ESXi en ejecución mediante el siguiente comando 'esxcli':

Al cifrar archivos, el virus emplea el algoritmo de cifrado de clave pública NTRUEncryp, admitiendo varios 'Conjuntos de parámetros' que ofrecen diferentes niveles de seguridad. RedAlert tiene una opción de línea de comandos '-x' que realiza 'pruebas de rendimiento de criptografía asimétrica' para utilizar conjuntos de parámetros NTRUEncrypt. 

Bleeping Computer señala que "no está claro si hay una forma de forzar un conjunto de parámetros en particular al cifrar y/o si el ransomware seleccionará uno más eficiente".

Por otro lado, está la operación FiveHands. Al cifrar archivos, el ransomware tendrá como objetivo los archivos asociados con las máquinas virtuales VMware ESXi (los archivos de registro, los archivos de intercambio, los discos virtuales y los archivos de memoria).

En cada carpeta, el ransomware creará la nota de rescate 'HOW_TO_RESTORE' con una descripción de los datos robados y un enlace a un sitio de pago de rescate. Dicha web muestra la demanda y proporciona una forma de negociar con los ciberdelincuentes, no obstante, RedAlert acepta la criptomoneda Monero para efectuar el pago.

RedAlert lleva a cabo ataques de doble extorsión, es decir, se roban datos y se implementa el ransomware para cifrar dispositivos. 

  • Como casi todas las nuevas operaciones de ransomware dirigidas a empresas, RedAlert lleva a cabo ataques de doble extorsión, que es cuando se roban datos y luego se implementa ransomware para cifrar dispositivos.

Esta táctica proporciona dos métodos de extorsión, permitiendo a los actores la exigencia de un rescate para recibir un descifrador y la posibilidad de evitar la filtración de datos robados. Por consiguiente, cuando una víctima no paga una demanda de rescate, se publican los datos robados en un sitio de fuga de información para que cualquier persona pueda descargarlos.

Actualmente, el sitio onion de RedAlert contiene los datos de una sola organización francesa.

El sitio de pago Tor es similar a otros sitios de operación de ransomware, ya que muestra la demanda de rescate y proporciona una forma de negociar con los actores de amenazas.

Una característica interesante de RedAlert/N13V es la opción de línea de comandos ‘-x’ que realiza ‘pruebas de rendimiento de criptografía asimétrica’ utilizando estos diferentes conjuntos de parámetros NTRUEncrypt. Sin embargo, no está claro si hay una forma de forzar un conjunto de parámetros en particular al cifrar y/o si el ransomware seleccionará uno más eficiente.


Fuentes:
https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers/

https://id-ransomware.blogspot.com/2022/07/redalert-ransomware.html

https://www.20minutos.es/tecnologia/ciberseguridad/descubre-redalert-el-nuevo-ransomware-que-afecta-a-los-servidores-de-windows-y-linux-5026117/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.