Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
976
)
-
▼
septiembre
(Total:
50
)
- Estafadores bancarios ya usan IA para replicar la ...
- Infostealers evitan las nuevas defensas contra el ...
- Multa a Meta por almacenar millones de contraseñas...
- Microsoft bloqueará keyloggers en Windows, aunque ...
- Una vulnerabilidad en el portal y APIs de KIA perm...
- Intel localiza la raíz de los fallos de estabilida...
- El Proyecto Tor y Tails se fusionan: «unidos por l...
- Múltiples vulnerabilidades en OpenPrinting CUPS
- Orion: las primeras gafas de realidad aumentada de...
- Meta presenta Llama 3.2, su IA de código abierto c...
- Ordenan a Google que desinstale de forma remota la...
- Disney abandona Slack tras haber sufrido un hackeo...
- Google Earth y Maps se actualiza para poder retroc...
- Vulnerabilidad crítica en GNU/Linux en espera de d...
- Google TV Streamer, análisis: el sucesor del Chrom...
- Ransomware RansomHub
- Cómo convertir una partición de Windows de MBR a G...
- Explotan vulnerabilidad Zero-Day en Windows ya par...
- Un malware chino ha infectado 2.000 dispositivos e...
- Operación Kaerb: cae red criminal de phishing en A...
- Repsol sufre un ciberataque a con filtración de su...
- Un padre instala una cámara en la cabeza de su hij...
- Ransomware llamado "Hazard" ha llamado la atención...
- PKfail compromete la seguridad de Secure Boot en P...
- YouTube anuncia novedades, incluyendo comunidades ...
- Lynx Ransomware activo en Latinoamérica
- Explosión simultánea de centenares de 'buscas' de ...
- Microsoft publica Office LTSC 2024
- Google One Lite: de 15GB a 30GB por menos dinero
- Google Photos: convertir fotos y vídeos a calidad ...
- Arrestado adolescente de 17 años involucrado en el...
- Fortinet confirma robo de 440 GB de datos
- Signal vs. Session vs. Telegram vs. WhatsApp. ¿Cuá...
- Una vulnerabilidad SQLi compromete la seguridad de...
- Mitigar ataques DDoS en un servidor web usando Fai...
- Avis sufre un ciberataque que expone información p...
- El Tribunal de la UE confirma una multa de 2.424 m...
- Autopsy: herramienta forense
- Google leerá los mensajes SMS recibidos para entre...
- 50 años de SQL
- Vulnerabilidad crítica en el complemento LiteSpeed...
- Telegram permitirá reportar conversaciones con con...
- Acusan a un productor musical de utilizar cancione...
- Mejores herramientas para redactar textos con inte...
- El Nothing Phone (2a) Plus llega a España con un p...
- Acer presenta una nueva consola portátil, la Nitro...
- Bluetooth 6 ya es oficial, trae mejoras de eficien...
- Troyano NGate de Android clona datos NFC de tarjet...
- Microsoft Recall no podrá ser desinstalado de Wind...
- Una empresa socia de Facebook admite que pueden es...
-
▼
septiembre
(Total:
50
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un grupo de investigadores en ciberseguridad ha descubierto una campaña masiva que se aprovecha de configuraciones inseguras de Git , esté e...
-
Un Actor de Amenazas que opera bajo el nombre de usuario Nam3L3ss ha explotado una vulnerabilidad crítica en MOVEit de 2023, un software ...
Ransomware RansomHub
Los actores de amenazas vinculados al grupo de ransomware RansomHub han cifrado y exfiltrado datos de al menos 210 víctimas desde su inicio en febrero de 2024.
Las víctimas abarcan varios sectores, incluidos agua y aguas residuales, tecnología de la información, servicios e instalaciones gubernamentales, atención médica y salud pública, servicios de emergencia, alimentación y agricultura, servicios financieros, instalaciones comerciales, manufactura crítica, transporte e infraestructura crítica de comunicaciones.
RansomHub salió a la luz por primera vez en 2020 y es una plataforma de ransomware como servicio (RaaS) descendiente de Cyclops y Knight. Esta operación ha atraído a afiliados de alto perfil de otras variantes destacadas como LockBit y ALPHV (también conocido como BlackCat) tras una reciente ola acciones legales.
ZeroFox, en un análisis publicado a finales del mes pasado, dijo que la actividad de RansomHub está en una trayectoria ascendente, representando aproximadamente el 2% de todos los ataques en el primer trimestre de 2024; 5,1% en el segundo trimestre; y 14,2% en lo que va del tercer trimestre. "Aproximadamente el 34% de los ataques de RansomHub se han dirigido a organizaciones en Europa, en comparación con el 25% en todo el panorama de amenazas", señaló la compañía.
Se sabe que el grupo emplea el modelo de doble extorsión para exfiltrar datos y cifrar sistemas con el fin de extorsionar a las víctimas, a quienes se les anima a contactar a los operadores a través de una URL única .onion. Las empresas objetivo que se niegan a aceptar la demanda de rescate publican su información en el sitio de filtración de datos durante entre tres y 90 días.
El acceso inicial a los entornos de las víctimas se facilita mediante la explotación de vulnerabilidades de seguridad conocidas en Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997), y Fortinet FortiClientEMS (CVE-2023-48788), entre otros.
A este paso le siguen los afiliados que realizan reconocimientos y escaneos de red utilizando programas como AngryIPScanner, Nmap y otros métodos LotL. Los ataques de RansomHub implican además desactivar el software antivirus utilizando herramientas personalizadas para pasar desapercibido.
"Después del acceso inicial, los afiliados de RansomHub se crean cuentas de usuario para persistencia, reactivan cuentas deshabilitadas y utilizaron Mimikatz en sistemas Windows para recopilar credenciales [T1003] y escalar privilegios a SYSTEM", se lee en el aviso del gobierno de EE.UU.
Se ha observado que este grupo de ciberdelincuentes utiliza herramientas diseñada para finalizar el software de detección y respuesta de puntos finales (EDR) en hosts comprometidos, uniéndose a otros programas similares como AuKill (también conocido como AvNeutralizer) y Terminator.
"Luego, los afiliados se mueven lateralmente dentro de la red a través de métodos que incluyen el Protocolo de escritorio remoto (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit u otros métodos de comando y control (C2) ampliamente utilizados".
Otro aspecto notable de los ataques RansomHub es el uso de cifrado intermitente para acelerar el proceso, con filtración de datos observada a través de herramientas como PuTTY, repositorios S3 de Amazon AWS, solicitudes HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit y otros métodos.
Fuente: THN
Vía:
https://blog.segu-info.com.ar/2024/09/ransomhub-activo-en-america-latina.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.