Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
abril
(Total:
76
)
- El ransomware BlackCat
- ¿Qué es la extensión de un archivo en Windows?
- Telegram como sucursal y paraíso del ciber crimen
- 76 detenidos por estafar mediante SMS fraudulentos...
- Google consigue una orden judicial para desmantela...
- Microsoft comunica que ya no habrá más versiones d...
- Microsoft Edge filtra los sitios web que visitas a...
- Intel sufre las mayores pérdidas de su historia tr...
- Hackean un satélite de la Agencia Espacial Europea...
- Google añadirá cifrado de extremo a extremo a Auth...
- Hackean a Coca-Cola Femsa México
- Aumentan los ataques de ransomware a sistemas de v...
- Microsoft mejora Phone Link para iOS
- Plugins para administrar y securizar Kubernetes
- El FBI y la Policía Nacional España detiene en Mad...
- El Centro Europeo para la Transparencia Algorítmic...
- VirusTotal añade la inteligencia artificial a su m...
- Millones de ordenadores escolares ChromeBook dejan...
- La botnet Mirai utiliza routers vulnerables TP-Lin...
- Varios empleados de Google pidieron detener la int...
- Si tienes un dominio .net lo podrían confiscar sin...
- Un canal de TV argentino emite ‘Super Mario Bros. ...
- Google Authenticator ya permite guardar una copia ...
- Los grupos de ransomware más activos
- Ruso acusado de lavar dinero del grupo de ransomwa...
- Trucos para móviles Samsung
- Nueva inteligencia artificial crea modelos fictici...
- Servidores Microsoft SQL hackeados para implementa...
- El FBI advierte sobre el "Juicejacking", los riesg...
- Unrecord es el shooter FPS más realista que has visto
- Facebook pagará una multa millonaria a usuarios en...
- Ciberdelincuentes utilizan capturas de pantalla pa...
- El CEO de Google advierte: "la sociedad no está pr...
- Miles de datos internos y de exempleados de Telepi...
- Experta en inteligencia artificial que Google desp...
- El FBI y la Interpol no quieren que WhatsApp y otr...
- Roban coches con un Nokia 3310 y unos altavoces bl...
- ¿Qué es el Business Email Compromise?
- Mejores DNS: dns más seguros y privados
- Pegasus sigue siendo usando en México contra los d...
- Utilizan Google Drive para exfiltrar información r...
- Nuevos métodos de distribución del Malware QBot
- Afiliado del grupo ransomware BlackCat atacando Ve...
- Magi será el nuevo buscador de Google impulsado po...
- Estados Unidos debate condenar a 20 años de prisió...
- Cómo un grupo de gamers expuso una de las filtraci...
- Exfiltración de datos a través de PowerShell del g...
- Involucran Alcasec en el mayor hackeo a Telefónica...
- Google anuncia un fondo de asistencia legal para h...
- Investigaciones OSINT en la Dark Web
- Más de un millón de sitios WordPress infectados po...
- Intel y ARM anuncian un acuerdo para la fabricació...
- Nuevas funciones adicionales de seguridad para Wha...
- El Bitcoin consume como una ciudad de 8 millones d...
- ¿Era Steve Jobs el verdadero Satoshi Nakamoto, el ...
- Utilizan grave vulnerabilidad en iPhone Calendar p...
- 0-day en Windows es explotado por el ransomware No...
- Twitter ya no existe como compañía; ahora es X Corp
- Hyundai España sufre un ciberataque que compromete...
- Microsoft lleva cinco años ralentizando Firefox co...
- Empleados de Samsung filtraron información confide...
- El foro oficial de Kodi ha sido hackeado
- Empleados de Tesla compartieron vídeos íntimos de ...
- Un nuevo ransomware es capaz de cifrar 220 mil fic...
- Vulnerabilidad crítica en biblioteca VM2 de NodeJS
- Nueva York denuncia a Amazon por guardar datos bio...
- Marcas y modelos de discos duros: Seagate vs Weste...
- La IA puede descifrar la mayoría de contraseñas en...
- Fabricante MSI víctima de un ataque de ransomware ...
- El FBI desmantela Genesis Market, el mayor mercado...
- Archivos autoextraíbles SFX son utilizados para ej...
- El proyecto Tor presenta su nuevo navegador Mullvad
- Hackean Western Digital y todos sus servicios en ...
- Incidente de seguridad afecta a los clientes de Yo...
- Detenido Alcasec por hackear el Punto Neutro Judic...
- Italia bloquea ChatGPT por no respetar la protecci...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Servidores Microsoft SQL hackeados para implementar Trigona ransomware
Los servidores MS-SQL están siendo hackeados a través de ataques de fuerza bruta o diccionario que aprovechan las credenciales de cuenta fáciles de adivinar.
- Los atacantes están hackeando servidores Microsoft SQL (MS-SQL) mal protegidos y expuestos internamente para implementar cargas útiles de ransomware Trigona y cifrar todos los archivos.
Después de conectarse a un servidor, los actores de amenazas implementan malware denominado CLR Shell por investigadores de seguridad de la firma surcoreana de ciberseguridad AhnLab, que detectaron los ataques.
Este malware se utiliza para recopilar información del sistema, alterar la configuración de la cuenta comprometida y escalar privilegios a LocalSystem explotando una vulnerabilidad en el servicio de inicio de sesión secundario de Windows (que será necesario para iniciar el ransomware como servicio).
«CLR Shell es un tipo de malware de ensamblaje CLR que recibe comandos de actores de amenazas y realiza comportamientos maliciosos, de manera similar a los WebShells de los servidores web», dice AhnLab.
En la siguiente etapa, los atacantes instalan y lanzan un malware dropper como el servicio svcservice.exe, que utilizan para lanzar el ransomware Trigona como svchost.exe.
También configuran el binario ransomware para que se inicie automáticamente en cada reinicio del sistema a través de una clave de ejecución automática de Windows para garantizar que los sistemas se cifren incluso después de un reinicio.
Antes de cifrar el sistema e implementar notas de rescate, el malware deshabilita la recuperación del sistema y elimina cualquier instantánea de volumen de Windows, lo que hace imposible la recuperación sin la clave de descifrado.
Descubierto por primera vez en octubre de 2022 por MalwareHunterTeam y analizado por BleepingComputer, la operación de ransomware Trigona es conocida por aceptar solo pagos de rescate en la criptomoneda Monero de víctimas de todo el mundo.
Trigona cifra todos los archivos en los dispositivos de las víctimas, excepto aquellos en carpetas específicas, incluidos los directorios de Windows y Archivos de programa. Antes del cifrado, la pandilla también afirma robar documentos confidenciales que se agregarán a su sitio de fugas de la web oscura.
Además, el ransomware cambia el nombre de los archivos cifrados agregando la extensión ._locked e incrusta la clave de descifrado cifrada, el ID de campaña y el ID de la víctima (nombre de la empresa) en cada archivo bloqueado.
También crea notas de rescate llamadas «how_to_decrypt.hta» en cada carpeta con información sobre el ataque, un enlace al sitio web de negociación de Trigona Tor y un enlace que contiene la clave de autorización necesaria para iniciar sesión en el sitio de negociación.
La pandilla de ransomware Trigona ha estado detrás de un flujo constante de ataques, con al menos 190 presentaciones a la plataforma ID Ransomware desde principios de año.
Fuentes:
https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-to-deploy-trigona-ransomware/
https://blog.underc0de.org/servidores-microsoft-sql-hackeados-para-implementar-trigona-ransomware/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.