Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
abril
(Total:
76
)
- El ransomware BlackCat
- ¿Qué es la extensión de un archivo en Windows?
- Telegram como sucursal y paraíso del ciber crimen
- 76 detenidos por estafar mediante SMS fraudulentos...
- Google consigue una orden judicial para desmantela...
- Microsoft comunica que ya no habrá más versiones d...
- Microsoft Edge filtra los sitios web que visitas a...
- Intel sufre las mayores pérdidas de su historia tr...
- Hackean un satélite de la Agencia Espacial Europea...
- Google añadirá cifrado de extremo a extremo a Auth...
- Hackean a Coca-Cola Femsa México
- Aumentan los ataques de ransomware a sistemas de v...
- Microsoft mejora Phone Link para iOS
- Plugins para administrar y securizar Kubernetes
- El FBI y la Policía Nacional España detiene en Mad...
- El Centro Europeo para la Transparencia Algorítmic...
- VirusTotal añade la inteligencia artificial a su m...
- Millones de ordenadores escolares ChromeBook dejan...
- La botnet Mirai utiliza routers vulnerables TP-Lin...
- Varios empleados de Google pidieron detener la int...
- Si tienes un dominio .net lo podrían confiscar sin...
- Un canal de TV argentino emite ‘Super Mario Bros. ...
- Google Authenticator ya permite guardar una copia ...
- Los grupos de ransomware más activos
- Ruso acusado de lavar dinero del grupo de ransomwa...
- Trucos para móviles Samsung
- Nueva inteligencia artificial crea modelos fictici...
- Servidores Microsoft SQL hackeados para implementa...
- El FBI advierte sobre el "Juicejacking", los riesg...
- Unrecord es el shooter FPS más realista que has visto
- Facebook pagará una multa millonaria a usuarios en...
- Ciberdelincuentes utilizan capturas de pantalla pa...
- El CEO de Google advierte: "la sociedad no está pr...
- Miles de datos internos y de exempleados de Telepi...
- Experta en inteligencia artificial que Google desp...
- El FBI y la Interpol no quieren que WhatsApp y otr...
- Roban coches con un Nokia 3310 y unos altavoces bl...
- ¿Qué es el Business Email Compromise?
- Mejores DNS: dns más seguros y privados
- Pegasus sigue siendo usando en México contra los d...
- Utilizan Google Drive para exfiltrar información r...
- Nuevos métodos de distribución del Malware QBot
- Afiliado del grupo ransomware BlackCat atacando Ve...
- Magi será el nuevo buscador de Google impulsado po...
- Estados Unidos debate condenar a 20 años de prisió...
- Cómo un grupo de gamers expuso una de las filtraci...
- Exfiltración de datos a través de PowerShell del g...
- Involucran Alcasec en el mayor hackeo a Telefónica...
- Google anuncia un fondo de asistencia legal para h...
- Investigaciones OSINT en la Dark Web
- Más de un millón de sitios WordPress infectados po...
- Intel y ARM anuncian un acuerdo para la fabricació...
- Nuevas funciones adicionales de seguridad para Wha...
- El Bitcoin consume como una ciudad de 8 millones d...
- ¿Era Steve Jobs el verdadero Satoshi Nakamoto, el ...
- Utilizan grave vulnerabilidad en iPhone Calendar p...
- 0-day en Windows es explotado por el ransomware No...
- Twitter ya no existe como compañía; ahora es X Corp
- Hyundai España sufre un ciberataque que compromete...
- Microsoft lleva cinco años ralentizando Firefox co...
- Empleados de Samsung filtraron información confide...
- El foro oficial de Kodi ha sido hackeado
- Empleados de Tesla compartieron vídeos íntimos de ...
- Un nuevo ransomware es capaz de cifrar 220 mil fic...
- Vulnerabilidad crítica en biblioteca VM2 de NodeJS
- Nueva York denuncia a Amazon por guardar datos bio...
- Marcas y modelos de discos duros: Seagate vs Weste...
- La IA puede descifrar la mayoría de contraseñas en...
- Fabricante MSI víctima de un ataque de ransomware ...
- El FBI desmantela Genesis Market, el mayor mercado...
- Archivos autoextraíbles SFX son utilizados para ej...
- El proyecto Tor presenta su nuevo navegador Mullvad
- Hackean Western Digital y todos sus servicios en ...
- Incidente de seguridad afecta a los clientes de Yo...
- Detenido Alcasec por hackear el Punto Neutro Judic...
- Italia bloquea ChatGPT por no respetar la protecci...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
El ransomware BlackCat
Ningún mercado acepta el vacío y esto también se aplica al ransomware. Después de que los grupos BlackMatter y REvil cesaran sus operaciones, la aparición de nuevos jugadores era solo cuestión de tiempo. Uno de ellos es el grupo ALPHV, también conocido como BlackCat, que en diciembre del año pasado publicó anuncios de sus servicios en foros de ciberdelincuentes, llamado XSS
BlackCat, también conocido como ALPHV, es una nueva versión del antiguo ransomware BlackMatter, en el que se ha reescrito todo su código en Rust, un lenguaje de programación más seguro, más sencillo de desarrollar, concurrente, multiplataforma y multiparadigma. Al igual que la gran mayoría del ransomware de la actualidad, el grupo detrás de BlackCat ofrece su herramienta como un servicio (RaaS). Varias empresas de seguridad han notificado que los dominios utilizados durante los ataques de BlackMatter se han visto reutilizados durante los ataques de BlackCat relacionando de forma directa a ambas familias. Durante el análisis de esta nueva familia se ha podido acceder a la plataforma donde los atacantes publican la información extraída durante el ataque. En ella, se pueden observar las diferentes empresas que se han visto afectadas debido a que no utilizan un dominio distinto por cada uno de los ataques. Las principales características de esta familia son: eliminación de las copias de seguridad locales, eliminación de los snapshots en sistemas ESXi, eliminación de los eventos del sistema, configuración en formato JSON cifrada con parte del parámetro "--access-token", propagación por la red, haciendo uso de PsExec y credenciales de administrador y uso combinado de los algoritmos Salsa20 y RSA, para la realización del cifrado de los ficheros.
BlackCat
A principios de diciembre de 2021, un nuevo grupo de ransomware comenzó a anunciar sus servicios en un foro clandestino ruso. Se presentaron como ALPHV, un grupo de Ransomware-as-a-Service (RaaS) de nueva generación. Poco después, mostraron sus actividades, infectando a innumerables víctimas corporativas en todo el mundo. El grupo también es conocido como BlackCat.
A diferencia de muchos agentes de ransomware, el malware BlackCat está escrito en el lenguaje de programación Rust. Rust es un lenguaje de programación multiparadigma compilado desarrollado por Mozilla Research. Está diseñado para ser «confiable, eficaz y productivo».
Gracias a las funciones avanzadas de compilación cruzada de Rust, BlackCat puede apuntar a sistemas Windows y Linux. En otras palabras, BlackCat marcó el comienzo de avances progresivos y un cambio en las tecnologías utilizadas para superar los desafíos del desarrollo de ransomware.
¿Sucesor de REvil y BlackMatter?
BlackCat se anuncia a sí mismo como el sucesor de notorios grupos de ransomware como BlackMatter y REvil. Los ciberdelincuentes declararon que resolvieron todos los errores y problemas en el desarrollo de ransomware y crearon el producto perfecto en términos de codificación e infraestructura.
Sin embargo, algunos investigadores ven al grupo no solo como los sucesores de los grupos BlackMatter y REvil, sino como un cambio de marca completo. Según Kaspersky, la telemetría sugiere que al menos algunos miembros del nuevo grupo BlackCat, tienen vínculos con el grupo BlackMatter, porque modificaron y reutilizaron una herramienta de exfiltración personalizada, llamada Fendr, y que solo se observó en la actividad de BlackMatter.
El arsenal de BlackCat consta de varios elementos. El primero es el cifrador del mismo nombre que está escrito en lenguaje Rust, gracias al cual los atacantes lograron crear una herramienta multiplataforma con versiones del malware que funcionan tanto en entornos Windows como Linux.
En segundo lugar, está la utilidad Fendr, que se utiliza para extraer datos de la infraestructura infectada. El uso de esta herramienta sugiere que BlackCat pueda ser simplemente un cambio de imagen de BlackMatter: el único grupo conocido que usaba esta herramienta, también conocido como ExMatter.
BlackCat también utiliza la herramienta PsExec para el movimiento lateral en la red de la víctima; Mimikatz, el conocido software de los ciberdelincuentes, y el software Nirsoft para extraer contraseñas de red.
Los ciberdelincuentes añadieron recientemente la capacidad de encontrar archivos con la siguiente lista de extensiones: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt y .dxf. Este tipo de archivos están relacionados con aplicaciones de diseño industrial y herramientas de acceso remoto, y esto puede significar que los creadores del malware se dirijan ahora a entornos industriales.
Amplia gama de herramientas de acceso remoto
Una vez que se hicieron con un ordenador interno, los atacantes instalaron varias utilidades de acceso remoto para disponer de métodos de respaldo para conectarse remotamente a las redes de los objetivos. Los atacantes utilizaron las herramientas comerciales AnyDesk y TeamViewer, y también instalaron una herramienta de acceso remoto de código abierto llamada nGrok.
Los atacantes también utilizaron comandos PowerShell para descargar y ejecutar balizas Cobalt Strike en algunas máquinas, y una herramienta llamada Brute Ratel, que es una suite de pentesting más reciente con características de acceso remoto similares a Cobalt Strike. Los atacantes habían instalado el binario de Brute Ratel como un servicio de Windows llamado wewe en al menos una máquina afectada.
La investigación de los casos de ransomware se complicó por el hecho de que algunas de las organizaciones atacadas ejecutaban servidores que habían sido comprometidos previamente utilizando la vulnerabilidad Log4j. Se descubrió que algunos servidores ejecutaban una variedad de criptomineros y otro malware que no estaba relacionado con el incidente del ransomware.
Para complicar el análisis, el propio binario del ransomware requiere que quien lo despliegue añada un “token de acceso” (una cadena hexadecimal de 64 bytes) a la línea de comandos que lanza el ejecutable, o de lo contrario no se ejecutará. Durante las ejecuciones de prueba del ransomware, éste intenta descubrir los recursos compartidos de red de Windows y copiarse a sí mismo en esas ubicaciones. Cuando se ejecutó en una máquina virtual de Windows, el ransomware montó varios recursos compartidos como nuevas letras de unidad y se duplicó a sí mismo en la raíz de esas unidades.
Además de pedir el rescate de los ordenadores de la red, los autores de la amenaza pasaron algún tiempo buscando, recopilando y luego exfiltrando grandes volúmenes de datos sensibles de los objetivos, subiéndolos al proveedor de almacenamiento en la nube Mega. Los atacantes utilizaron una herramienta de terceros llamada DirLister para crear una lista de directorios y archivos accesibles, o en algunos casos utilizaron un script de PowerShell de un conjunto de herramientas de pentester, llamado PowerView.ps1, para enumerar las máquinas de la red, y en algunos casos utilizaron una herramienta llamada LaZagne para extraer las contraseñas guardadas en varios dispositivos.
Una vez que los atacantes reunieron los archivos que planeaban exfiltrar, utilizaron la utilidad de compresión WinRAR para comprimir los archivos en archivos .rar. Utilizaron una herramienta llamada rsync para subir los datos robados desde algunas redes, pero también utilizaron el propio software MEGASync de Mega o, en algunos casos, sólo el navegador Chrome.
Durante el proceso de recopilación de datos, los atacantes ejecutaban varios scripts de PowerShell que podían encontrar y extraer las credenciales guardadas. Por ejemplo, un atacante en el ataque de febrero dejó un archivo llamado Veeam-Get-Creds.ps1, que puede extraer las contraseñas guardadas utilizadas por el software de Veeam para conectarse a hosts remotos.
Aparte del abuso de firewalls vulnerables como punto de entrada, y del hecho que los objetivos tenían muchas máquinas vulnerables dentro de su red, no había ninguna característica consistente de las víctimas que fueron atacadas. Dos de las empresas atacadas tienen su sede en Asia y una en Europa. El segmento de la industria en el que cada uno de los objetivos hace negocios es distinto de los demás.
Fuentes:
https://www.kaspersky.es/blog/black-cat-ransomware/27085/
https://news.sophos.com/es-419/2022/08/04/los-ataques-del-ransomware-blackcat-no-son-solo-un-subproducto-de-la-mala-suerte-2/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.