Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1096
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
abril
(Total:
76
)
- El ransomware BlackCat
- ¿Qué es la extensión de un archivo en Windows?
- Telegram como sucursal y paraíso del ciber crimen
- 76 detenidos por estafar mediante SMS fraudulentos...
- Google consigue una orden judicial para desmantela...
- Microsoft comunica que ya no habrá más versiones d...
- Microsoft Edge filtra los sitios web que visitas a...
- Intel sufre las mayores pérdidas de su historia tr...
- Hackean un satélite de la Agencia Espacial Europea...
- Google añadirá cifrado de extremo a extremo a Auth...
- Hackean a Coca-Cola Femsa México
- Aumentan los ataques de ransomware a sistemas de v...
- Microsoft mejora Phone Link para iOS
- Plugins para administrar y securizar Kubernetes
- El FBI y la Policía Nacional España detiene en Mad...
- El Centro Europeo para la Transparencia Algorítmic...
- VirusTotal añade la inteligencia artificial a su m...
- Millones de ordenadores escolares ChromeBook dejan...
- La botnet Mirai utiliza routers vulnerables TP-Lin...
- Varios empleados de Google pidieron detener la int...
- Si tienes un dominio .net lo podrían confiscar sin...
- Un canal de TV argentino emite ‘Super Mario Bros. ...
- Google Authenticator ya permite guardar una copia ...
- Los grupos de ransomware más activos
- Ruso acusado de lavar dinero del grupo de ransomwa...
- Trucos para móviles Samsung
- Nueva inteligencia artificial crea modelos fictici...
- Servidores Microsoft SQL hackeados para implementa...
- El FBI advierte sobre el "Juicejacking", los riesg...
- Unrecord es el shooter FPS más realista que has visto
- Facebook pagará una multa millonaria a usuarios en...
- Ciberdelincuentes utilizan capturas de pantalla pa...
- El CEO de Google advierte: "la sociedad no está pr...
- Miles de datos internos y de exempleados de Telepi...
- Experta en inteligencia artificial que Google desp...
- El FBI y la Interpol no quieren que WhatsApp y otr...
- Roban coches con un Nokia 3310 y unos altavoces bl...
- ¿Qué es el Business Email Compromise?
- Mejores DNS: dns más seguros y privados
- Pegasus sigue siendo usando en México contra los d...
- Utilizan Google Drive para exfiltrar información r...
- Nuevos métodos de distribución del Malware QBot
- Afiliado del grupo ransomware BlackCat atacando Ve...
- Magi será el nuevo buscador de Google impulsado po...
- Estados Unidos debate condenar a 20 años de prisió...
- Cómo un grupo de gamers expuso una de las filtraci...
- Exfiltración de datos a través de PowerShell del g...
- Involucran Alcasec en el mayor hackeo a Telefónica...
- Google anuncia un fondo de asistencia legal para h...
- Investigaciones OSINT en la Dark Web
- Más de un millón de sitios WordPress infectados po...
- Intel y ARM anuncian un acuerdo para la fabricació...
- Nuevas funciones adicionales de seguridad para Wha...
- El Bitcoin consume como una ciudad de 8 millones d...
- ¿Era Steve Jobs el verdadero Satoshi Nakamoto, el ...
- Utilizan grave vulnerabilidad en iPhone Calendar p...
- 0-day en Windows es explotado por el ransomware No...
- Twitter ya no existe como compañía; ahora es X Corp
- Hyundai España sufre un ciberataque que compromete...
- Microsoft lleva cinco años ralentizando Firefox co...
- Empleados de Samsung filtraron información confide...
- El foro oficial de Kodi ha sido hackeado
- Empleados de Tesla compartieron vídeos íntimos de ...
- Un nuevo ransomware es capaz de cifrar 220 mil fic...
- Vulnerabilidad crítica en biblioteca VM2 de NodeJS
- Nueva York denuncia a Amazon por guardar datos bio...
- Marcas y modelos de discos duros: Seagate vs Weste...
- La IA puede descifrar la mayoría de contraseñas en...
- Fabricante MSI víctima de un ataque de ransomware ...
- El FBI desmantela Genesis Market, el mayor mercado...
- Archivos autoextraíbles SFX son utilizados para ej...
- El proyecto Tor presenta su nuevo navegador Mullvad
- Hackean Western Digital y todos sus servicios en ...
- Incidente de seguridad afecta a los clientes de Yo...
- Detenido Alcasec por hackear el Punto Neutro Judic...
- Italia bloquea ChatGPT por no respetar la protecci...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
-
Si tienes claro que buscas un AMD, pero no sabes cual… esta es tu comparativa. Cuando compramos CPU, debemos tener en cuenta la plataforma...
Afiliado del grupo ransomware BlackCat atacando Veritas Backup
Un afiliado del grupo de ransomware ALPHV/BlackCat, rastreado como UNC4466, fue observado explotando tres vulnerabilidades en la solución Veritas Backup para obtener acceso inicial a la red objetivo.
A diferencia de otros afiliados de ALPHV, UNC4466 no se basa en credenciales robadas para el acceso inicial a los entornos de las víctimas. Los investigadores de Mandiant observaron por primera vez a esta filial atacando problemas de Veritas el 22 de octubre de 2022.
A continuación se muestra la lista de fallos explotados por la filial de la banda de ransomware:
- CVE-2021-27876: comunicación entre un cliente y un Agente requiere una autenticación exitosa, que normalmente se completa a través de una comunicación TLS segura. Sin embargo, debido a una vulnerabilidad en el esquema de autenticación SHA, un atacante es capaz de obtener acceso no autorizado y completar el proceso de autenticación. Posteriormente, el cliente puede ejecutar comandos del protocolo de gestión de datos en la conexión autenticada. Mediante el uso de parámetros de entrada crafteados en uno de estos comandos, un atacante puede acceder a un archivo arbitrario en el sistema utilizando privilegios de Sistema. (CVSS: 8.1).
- CVE-2021-27877: un problema en Veritas Backup Exec anterior a 21.2. Se admiten varios esquemas de autenticación y SHA es uno de ellos. Este esquema de autenticación ya no se utiliza en las versiones actuales del producto, pero aún no se había desactivado. Un atacante podría explotar remotamente este esquema para obtener acceso no autorizado a un Agente y ejecutar comandos privilegiados. (CVSS: 8,2).
- CVE-2021-27878: un problema en Veritas Backup Exec anterior a 21.2. La comunicación entre un cliente y un Agente requiere una autenticación correcta, que normalmente se completa a través de una comunicación TLS segura. Sin embargo, debido a una vulnerabilidad en el esquema de autenticación SHA, un atacante puede obtener acceso no autorizado y completar el proceso de autenticación. Posteriormente, el cliente puede ejecutar comandos del protocolo de gestión de datos en la conexión autenticada. El atacante podría utilizar uno de estos comandos para ejecutar un comando arbitrario en el sistema utilizando privilegios del sistema. (CVSS: 8,8)
Los tres fallos se solucionaron con el lanzamiento de la versión 21.2 en marzo de 2021, pero muchos puntos finales de cara al público aún no se han actualizado. Los investigadores identificaron más de 8.500 instalaciones de instancias de Veritas Backup Exec expuestas actualmente a Internet, algunas de las cuales podrían seguir siendo vulnerables.
La explotación de estos fallos puede ser fácil utilizando Metasploit, que tiene un módulo específico para atacar estos problemas desde septiembre de 2022.
"A finales de 2022, UNC4466 obtuvo acceso a un servidor Windows expuesto a Internet que ejecutaba la versión 21.0 de Veritas Backup Exec utilizando el módulo Metasploit exploit/multi/veritas/beagent_sha_auth_rce. Poco después, se invocó el módulo de persistencia de Metasploit para mantener el acceso persistente al sistema durante el resto de la intrusión", dice el análisis publicado por Mandiant.
Una vez conseguido el acceso a la red del objetivo, el afiliado utilizó las utilidades legítimas Advanced IP Scanner y ADRecon de Famatech como parte de un reconocimiento interno.
A continuación, utilizó el servicio de Background Intelligent Transfer Service (BITS) para descargar herramientas adicionales como LaZagne, Ligolo, WinSW, RClone y, por último, el ransomware ALPHV.
El grupo UNC4466 utiliza túneles SOCKS5 para comunicarse con los sistemas comprometidos. La amenaza empleó dos herramientas distintas para ejecutar esta técnica, LIGOLO y RevSocks. El grupo recopiló credenciales en texto claro y material de credenciales utilizando varias herramientas de acceso a credenciales, como Mimikatz, LaZagne y NanoDump.
La amenaza evade la detección borrando los registros de eventos y desactiva la capacidad de supervisión en tiempo real de Microsoft Defender mediante el cmdlet Set-MpPrefernce.
powershell.exe Set-MpPreference -DisableRealtimeMonitoring 1 -ErrorAction SilentlyContinue
El informe incluye indicadores de compromiso (IoC) para esta amenaza.
Fuente: SecurityAffairs
Vía:
https://blog.segu-info.com.ar/2023/04/el-ransomware-afiliado-alphvblackcat.html
1 comentarios :
This is one of the information that helps us users to be more wary of these types of offenses
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.