Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
junio
(Total:
114
)
- Listas IPTV para tener 10.000 canales gratis en tu...
- Windows 10 tendrá 5 años más de actualizaciones de...
- Dos detenidos por hackear más de 100 organismos de...
- Proveedor de Internet infecta a sus propios usuari...
- UEFI, la versión mejorada de la BIOS
- YouTube negocia con la industria musical para gene...
- Moto Tag: el nuevo AirTag de Motorola es el mejor ...
- Ataque a la cadena de suministro: más de 100.000 s...
- Plugins oficiales de WordPress contienen puerta tr...
- SUPERSEGA: el proyecto español de una consola capa...
- La DGT de España obligará a partir de julio a mont...
- Julian Assange, fundador de Wikileaks, queda en li...
- El grupo de ransomware LockBit ataca a la Reserva ...
- ¿Qué son los bots OTP y cómo funcionan para saltar...
- Vulnerabilidad crítica de Microsoft Outlook sin in...
- Europa acusa a Microsoft de infringir las normas a...
- Meta y Apple estarían negociando una alianza en in...
- Google prepara chatbots de IA basados en celebrida...
- Microsoft elimina la guía de cómo convertir cuenta...
- New+, la nueva función de PowerToys
- Europa acusa a Apple de violar la DMA y abre una i...
- Desarrollador logra ejecutar Blender, una potente ...
- SELKS 10: la distribución especializada en la segu...
- Apple sufre un hackeo de 3 programas internos por ...
- Dell intentó obligar a sus empleados a volver a la...
- Un ataque de ransomware retrasa la operación de cá...
- ¿Qué ha sido de los fundadores de WhatsApp, Jan Ko...
- VMware publica parches para tres vulnerabilidades ...
- Instagram muestra contenido para adultos a menores
- Claude 3.5 Sonnet: la nueva IA superior a GPT-4o ...
- Estados Unidos prohíbe Kaspersky por motivos de se...
- La IA puede ayudar a detectar el párkinson 7 años ...
- Europa quiere escanear todos tus mensajes, fotos y...
- Nvidia supera a Microsoft y se convierte en la emp...
- Las nuevas Copilot+ PC son incapaces de ejecutar l...
- Ilya Sutskever, cofundador de OpenAI, anuncia una ...
- Características avanzadas de SpanningTree: PortFas...
- Android hará más segura la instalación de APKs
- Vulnerabilidades en terminales biométricos
- Malware muestra errores falsos para que ejecutes s...
- NVIDIA AI Workbench, crear y probar aplicaciones g...
- China ya tiene su Terminator, un comandante milita...
- El grupo Amper victima del grupo de ransomware Bla...
- El primer conector óptico PCI-Express 7.0 alcanza ...
- El switch de red más pequeño y barato del mundo cr...
- Florida usa drones para eliminar mosquitos
- Cómo robaron datos de Ticketmaster y el Banco Sant...
- Adobe se enfrenta a una multa millonaria por impon...
- Puerta trasera en algunos routers D-Link
- MySpeed: monitorizar conexión a internet
- Google crea nuevas reglas para garantizar que los ...
- YouTube lanza su propia versión de las "notas de l...
- Nueva oleada de SMS falsos de la DGT por multas im...
- El robo de cuentas de WhatsApp crece casi un 700% ...
- Descubierta la geolocalización de visitantes de la...
- Qué es un condensador y cuál es su función en la p...
- Una vecina de Barcelona le da 695.000€ a un timado...
- AlmaLinux anuncia soporte oficial para Raspberry Pi 5
- systemd 256 llega con run0, el ‘clon’ de sudo que ...
- Vulnerabilidad path traversal en SolarWinds Serv-U...
- Crean una IA capaz de traducir los ladridos de tu ...
- Cómo evitar que Meta use tus datos de Instagram y ...
- Parche urgente de Microsoft para driver WiFi que p...
- Troyano "stealer" instalados a través de falsos KM...
- Stable Diffusion presenta una IA tan ligera que pu...
- MediaTek estaría trabajando en un chipset con IA p...
- Exempleados de SpaceX demandan a Elon Musk por aco...
- Cómo proteger correctamente el envío del DNI en Es...
- Recursos y páginas de Inteligencia Artificial para...
- Photopea es la alternativa gratuita desde el naveg...
- ¿Cómo afecta la temperatura de funcionamiento a la...
- Los datos privados robados a Carrefour propician e...
- Elon Musk elimina de X (Twitter) los "Me Gusta" po...
- Microsoft añadirá obligatoriamente 2FA a partir de...
- Vulnerabilidad crítica y exploit para Veeam Backup...
- Apple se niega a pagar a Kaspersky la recompensa p...
- Adobe Photoshop pide acceso a todo el contenido in...
- Apple se asocia con OpenAI para ofrecer IA en sus ...
- El histórico reproductor Winamp ya tiene una edici...
- Apple presenta un gestor de contraseñas llamado Pa...
- Vulnerabilidad en PHP (modo CGI) para Windows
- Roban 270GB de código fuente del The New York Times
- Estafa de la videollamada por WhatsApp compartiend...
- Actualización automática y forzosa BIOS defectuosa...
- Detenido en Murcia un ciberdepredador sexual de ni...
- Crean la impresora 3D más pequeña del mundo del ta...
- TotalRecall extrae los datos recopilados por Windo...
- Programas de Linux para recuperar datos y reparar ...
- Ponen a la venta datos de 27.000 clientes de El Co...
- YouTube te lleva directamente al final del video ...
- Parrot 6.1 llega con soporte para la Raspberry Pi ...
- El FBI recupera 7.000 claves de cifrado del ransom...
- Elon Musk permitirá contenido para adultos en Twitter
- Kali Linux 2024.2 llega con GNOME 46 y nuevas herr...
- Vulnerabilidad 0-day en TikTok permite secuestro d...
- La IA llega a las PowerToys de Windows con el "peg...
- Napster cumple 25 años, la primera red P2P cambió ...
- Un ataque de ransomware paraliza hospitales de Lon...
- Detenido el secuestrador de cuentas de WhatsApp, “...
- Filtración de datos en Heineken afecta a 9.000 emp...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
El grupo Amper victima del grupo de ransomware Black Basta con 650GB datos privados robados
La empresa española de ingeniería y tecnología para los sectores de la defensa, la seguridad, la energía y las telecomunicaciones Amper ha sufrido un ciberataque en el que los ciberdelicuentes se habrían apoderado de 650 gigas de datos relativos a proyectos, usuarios y también de sus empleados (nóminas y datos financieros).
Empresa de ingeniería y tecnología para la defensa, la seguridad, la energía y las telecomunicaciones
Si bien Amper todavía no ha confirmado la magnitud del ciberataque, este habría sido perpetrado por el grupo organizado de ciberdelincuentes conocido como Black Basta, nombre por el que se conoce también a su propio 'ransomware'.
“Emergió por primera vez en la primavera de 2022, operando bajo el modelo de 'ransomware' como servicio (RaaS). Esta organización rápidamente se estableció como uno de los actores de amenaza más destacados en el ámbito del RaaS a nivel mundial”, según la información facilitada por el Instituto Nacional de Ciberseguridad de España (Incibe) en su web.
Más de 500 organizaciones en todo el mundo, desde pequeñas empresas hasta grandes corporaciones, han sido afectadas por Black Basta, que ha demostrado ser una amenaza significativa. El alcance del ataque ha generado inquietud y ha cuestionado la solidez de nuestra infraestructura digital.
Su capacidad para eludir las defensas tradicionales y el cifrado de datos críticos hace que Black Basta sea particularmente preocupante en comparación con otros ramsomware.
Las cadenas de ataques que han involucrado ransomware se han apoyado en herramientas como el escáner de red SoftPerfect, BITSAdmin, balizas de Cobalt Strike, ConnectWise ScreenConnect y PsExec para el movimiento lateral, así como en Mimikatz para la escalada de privilegios y RClone para la filtración de datos previa al cifrado.
Además, se han utilizado otros métodos para obtener privilegios elevados, como la explotación de vulnerabilidades de seguridad como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 y CVE-2021-42287) y PrintNightmare (CVE-2021-34527).
Infección y propagación
Black Basta empleaba técnicas de phishing para infiltrarse en las redes de sus objetivos, aprovechando métodos que evitan la detección por parte de soluciones antivirus, como el envío de correos electrónicos que incitan a las víctimas a descargar un archivo ZIP que contenía una imagen ISO, una estrategia diseñada para eludir los mecanismos de seguridad, ya que los archivos ISO no son comúnmente bloqueados o marcados como peligrosos por los sistemas de seguridad. El proceso de infección se sirve de diferentes métodos y vulnerabilidades para llevarse a cabo:
- Acceso inicial con Qakbot (CVE-2022-30190): en el escenario típico observado en sistemas Windows, la imagen ISO contiene una DLL maliciosa infectada con Qakbot, un troyano bien conocido, también identificado como Qbot o Pinkslipbot. Algunas muestras de IOC revelaron un hijacking del proceso de la calculadora de Windows (calc.exe). Este método podría permitir a los atacantes ejecutar código malicioso en el sistema de la víctima con una apariencia de legitimidad, reduciendo las posibilidades de detección. Una vez que la víctima lo instala en el sistema, el malware es capaz de realizar diferentes acciones maliciosas, como monitorizar, registrar pulsaciones de teclas, recolectar credenciales de acceso y propagarse a otros sistemas de la red mediante técnicas de movimiento lateral. Una vez dentro del sistema, utiliza nombres engañosos dentro de la unidad raíz como “C:\Dell” o “C:\Intel” para desplegar parte del arsenal malicioso.
- Escalada de privilegios (CVE-2020-1472, CVE-2021-42287 y CVE-2021-34527): El escaneo de redes se lleva a cabo utilizando herramientas como SoftPerfect, netscan.exe y los servicios WMI, para identificar y deshabilitar diferentes productos de seguridad. Una vez que Black Basta infecta un sistema, inicia su fase de propagación, realizando un análisis detallado de la red mediante el uso de comandos como net view, arp, ipconfig o netstat para mapear los potenciales objetivos adicionales. Posteriormente, se sirve de herramientas de extracción de credenciales, como Mimikatz para adquirir contraseñas y hashes NTLM, lo que le permite realizar una escalada de privilegios.
Vinculan al Ransomware Black Basta con los ciberdelincuentes rusos FIN7
Se han encontrado evidencias para relacionar al conocido ransomware Black Basta con los ciberdelincuentes rusos FIN7 (también conocido como Carbanak).
Por parte de SentinelLab, han realizado diferentes análisis a varias de las herramientas personalizadas utilizadas por este grupo de ciberdelincuentes que podrían enlazarlos, indicando que podrían trabajar juntos o compartir integrantes.
El ransomware Black Basta apareció en abril de 2022 aproximadamente y rápidamente comenzaron a hacerse nombre y realizar multitud de ataques exitosos contra diferentes compañías, lo que nos deja claro lo organizados que pueden llegar a estar.
En el informe completo de SentinelLabs podemos ver un análisis en profundidad de este grupo, así como sus herramientas, las cuales nos podrían indicar que fueron desarrolladas por uno o varios integrantes de FIN7.
En múltiples incidentes de Black Basta, los ciberdelincuentes hicieron uso de una herramienta para eliminar la seguridad personalizada. Esta herramienta se utilizó en incidentes después de que Black Basta apareciese, por lo que es muy probable que pertenezca a este grupo.
Indican desde la investigación de SentinelLab que todo esto les llevó a otra herramienta personalizada «WindefCheck.exe«, empaquetado con UPX que si lo desempaquetamos muestra un binario compilado en Visual Basic el cual simplemente mostraría una interfaz gráfica, clonando a la de seguridad de Windows, la cual mostrará que todos los sistemas están protegidos (cuando esto no es real al estar los sistemas deshabilitados).
El análisis de esta herramienta les llevó a obtener más muestras
empaquetadas con un empaquetador desconocido e identificando una de
ellas cómo el backdoor BIRDDOG (también conocido como SocksBot) y conectándose a un servidor C2 en la dirección IP 45[.]67[.]229[.]148
. Este backdoor ha sido utilizado en múltiples ocasiones por el grupo FIN7.
Además, se observa que la dirección IP antes descrita está alojada en «pq.hosting», el proveedor de hosting elegido por FIN7.
A raíz de este descubrimiento se descubrieron otras muestras, las cuales después de desempaquetarlas se conectaban al dominio «jardinoks.com«.
Evalúan que es probable que el ciberdelincuente que desarrolla herramientas utilizadas por Black Basta sea el mismo con acceso al código fuente del empaquetador desconocido utilizado en las operaciones de FIN7, estableciendo así una conexión entre Black Basta y FIN7.
Black Basta cifra los datos de las víctimas mediante una combinación de ChaCha20 y RSA-4096. La clave de cifrado es generada utilizando la función de C++ rand_s, resultando en una salida hexadecimal aleatoria. Antes de comenzar todo el proceso, se iniciará el sistema en modo seguro para, a continuación, comenzar a cifrar todos los archivos del dispositivo. Para acelerar el proceso y mejorar su eficiencia, el ransomware cifra los primeros fragmentos de 64 bytes, quedando 128 bytes de datos sin cifrar. Una vez terminado, el archivo cambia su extensión a ‘.basta’, modificando automáticamente el icono del mismo.
Precisamente una de las vulnerabilidades antiguas del mecanismo de cifrado empleado por el ransomware Black Basta es una implementación defectuosa del algoritmo ChaCha, específicamente en la gestión del flujo de claves para la operación XOR en segmentos de 64 bytes de los datos objetivo, hasta el punto de que se ha desarrollado una herramienta de descifrado ‘Black Basta Buster’, que consiste en varios scripts de Python, aunque la recuperación de archivos no siempre es posible.
Fuentes:
https://www.securityartwork.es/2024/05/20/ransomware-black-basta/
https://www.incibe.es/incibe-cert/blog/black-basta-acciones-de-respuesta-y-recuperacion
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.