Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1091
)
-
▼
noviembre
(Total:
96
)
- Australia prohíbe el uso de las redes sociales a m...
- Una cámara de seguridad capta como un robot con In...
- WebTunnels de Tor: otra forma de evitar la censura
- Bootkitty: primer Bootkit UEFI para Linux
- elementary OS 8 con más seguridad, mejor gestión m...
- La botnet Matrix realiza ataques DDoS masivos expl...
- Un profesor suspende a dos alumnos por usar la IA,...
- Artistas filtran Sora, el generador de vídeos de O...
- TikTok bloqueará los filtros de belleza a los adol...
- ¿Qué ocurre con el dominio geográfico de un país c...
- Un nuevo ciberataque de ransomware al CSIC en Espa...
- FreeCAD 1.0, primera versión «completa» de esta al...
- Grupo ruso RomCom realiza ciberataques en España y...
- Detectan un malware que utiliza un driver de Avast
- Investigadores hacen jailbreak a robots para causa...
- Tiny11 Core 24H2, Windows 11 compacto y sin bloatw...
- Suecia apostó en 2009 por sustituir libros por ord...
- Meta cierra 2 millones de cuentas ligadas a estafa...
- Análisis técnico del keylogger e infostealer HawkEye
- Vulnerabilidades graves en Winzip y 7-Zip
- Fallo en el diseño de la VPN de Fortinet oculta at...
- Cómo instalar Pi.Alert en una Raspberry Pi
- Espías rusos saltaron de una red a otra a través d...
- WhatsApp activa la transcripción de audios para fa...
- Un chaval de 13 años crea una criptomoneda y logra...
- Cómo pasar tus contactos de X / Twitter a Bluesky
- Listado de comandos en Windows 10 - 11
- Un fan de Interstellar crea un TARS en miniatura y...
- El Departamento de Justicia de EE.UU. dice que Goo...
- El Constitucional de España absuelve finalmente a ...
- Vulnerabilidad crítica de Laravel
- Nuevo ransomware Helldown
- Vulnerabilidad Crítica en Routers D-Link Fuera de ...
- Microsoft presenta Windows 365 Link, su Mini-PC pa...
- Aprovechan servidores Jupyter mal configurados par...
- Apple soluciona dos vulnerabilidades Zero-Days en ...
- Microsoft prepara un ordenador cuántico de uso com...
- IA logra operar sin intervención humana
- 12 aplicaciones de Android graban conversaciones s...
- Next SBC, el espectacular mini PC que te cabe en l...
- El chatbot Gemini de Google le responde a un usuar...
- Alemania y Finlandia denuncian el corte del cable ...
- Una vulnerabilidad en el complemento SSL de WordPr...
- EE.UU. quiere obligar a Google a vender Chrome por...
- ¿Qué significa PON, GPON, XG-PON, 10G-EPON…?
- Comandos de Docker básicos y avanzados
- Memorias DIMM vs UDIMM vs CUDIMM vs RDIMM vs SODIMM
- Microsoft confirma que está creando una IA con 100...
- AsusWRT 4.0 - 5.0 (Firmware 3.0.0.6)
- Qué es LLaMA, cómo funciona y cómo se puede probar...
- Qué placa base elegir: Guía de compras para Intel ...
- Las mejores distribuciones de Linux para usuarios ...
- Llega a España el malware ToxicPanda: un troyano b...
- Extraen datos de casi 500 millones de usuarios de ...
- La Guardia Civil desactiva Cristal Azul, el canal ...
- Google presenta dos funciones seguridad para Andro...
- OPNsense: un router y firewall gratuito
- El SSD más rápido del mundo con 60 TB con una velo...
- Guía de compra de todas las RaspBerry Pi
- Qué es una NPU, cómo funciona y por qué es importa...
- El peligro de los dominio .zip
- AMD despedirá al 4 % de su plantilla para centrars...
- Informe dark web de Google
- Apple Maps sin conexión: cómo descargar mapas y us...
- Hachazos y amputaciones por el Wifi: violenta trif...
- VMware Workstation y Fusion ahora son gratis
- Aprovechan el calor de la PS5 para mantener la piz...
- Guía compra AMD Ryzen 3, Ryzen 5, Ryzen 7 y Ryzen 9
- 50 cosas que puedes pedirle a Alexa y no conocías
- Mover archivos más rápido en Windows con "Enviar a"
- La Comisión Europea pide a Apple que elimine el ge...
- Grabar pantalla en macOS
- Apple presenta Share Item Location, la función par...
- Microsoft cambiará actualizaciones de Windows para...
- D-Link no solucionará una vulnerabilidad crítica q...
- Polvo cerámico mejora hasta un 72% el rendimiento ...
- Concatenación de ficheros comprimidos para infecta...
- Filtran datos de empleados de Amazon, McDonald's, ...
- El código IUA escrito en la roseta de fibra óptica...
- Fibra luminosa, descubierta por accidente, podría ...
- Canadá prohíbe el uso de TikTok
- Google tumbó la web de este matrimonio por hacerle...
- Visualizar con Grafana los eventos del IDS/IPS Sur...
- China está usando la IA de Meta para fines militares
- Multa de 85 millones a Telefónica en Estados Unido...
- Vulnerabilidad API de la web de Kia permitió a ata...
- Google revela el primer fallo de seguridad descubi...
- La IA llega a Paint y Notepad en Windows 11
- Alemania redacta una ley para proteger a los inves...
- Microsoft ralentizó el Panel de Control de Windows...
- Guías Equivalencias de procesadores Intel y AMD [G...
- Roban 15 mil credenciales en Git y hay 10 mil repo...
- Publican información del creador del infostealer "...
- Vulnerabilidad RCE en MS SharePoint explotada acti...
- Panel de Control Grafana para el WAF de Apache-Ngi...
- Cómo visualizar los registros de Apache/Nginx en m...
- ► septiembre (Total: 50 )
-
▼
noviembre
(Total:
96
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
-
Los servidores MS-SQL están siendo hackeados a través de ataques de fuerza bruta o diccionario que aprovechan las credenciales de cuenta f...
Nuevo ransomware Helldown
Investigadores en ciberseguridad han identificado una variante para Linux de un ransomware relativamente nuevo llamado Helldown, lo cual indica que los ciberdelincuentes están diversificando sus métodos de ataque. Según un informe de Sekoia Helldown utiliza un ransomware para Windows basado en el código de LockBit 3.0. Este desarrollo reciente apunta a que el grupo podría estar ajustando sus tácticas para atacar infraestructuras virtualizadas mediante VMware, aprovechando vulnerabilidades en sistemas ESX.
Este ransomware fue mencionado públicamente por primera vez a mediados de agosto de 2024 por Halcyon, que lo describió como una amenaza agresiva especializada en infiltrarse en redes aprovechando fallas de seguridad. Entre los sectores más impactados por este grupo se encuentran servicios de TI, telecomunicaciones, manufactura y salud.
Al igual que otros grupos de ransomware, Helldown recurre a estrategias de doble extorsión. Esto implica el uso de sitios web para filtrar información robada como forma de presionar a las víctimas a pagar el rescate, bajo la amenaza de exponer información sensible. Hasta el momento, se estima que han sido atacadas al menos 31 empresas en solo tres meses.
Un análisis realizado por Truesec, publicado a principios de noviembre, desglosó las tácticas de Helldown, destacando que los atacantes han utilizado firewalls Zyxel expuestos a internet para obtener acceso inicial. A continuación avanzan con actividades como asegurar persistencia en el sistema, recolectar credenciales, mapear redes, evadir defensas y moverse lateralmente para finalmente desplegar el ransomware.
La variante para Windows de Helldown lleva a cabo múltiples acciones antes de cifrar y exfiltrar los datos. Los ciberdelincuentes aprovechan la vulnerabilidad CVE-2024-42057, un fallo de inyección de comandos en la VPN IPSec, que permite a los atacantes ejecutar comandos del sistema operativo con un nombre de usuario falso. Estas acciones incluyen eliminar las copias shadow del sistema, finalizar procesos asociados a bases de datos y aplicaciones de Microsoft Office y finalmente borrar el propio ransomware para ocultar sus rastros. Así mismo, deja una nota de rescate y apaga la máquina infectada.
Por otro lado, la versión para Linux carece de mecanismos avanzados de ofuscación y anti-depuración. Sin embargo, presenta funciones específicas diseñadas para localizar y cifrar archivos, precedidas por la identificación y eliminación de máquinas virtuales activas. El análisis de esta variante no detectó evidencia de comunicación de red ni claves de cifrado predefinidas, lo que plantea interrogantes sobre cómo los atacantes podrían proporcionar herramientas de descifrado a las víctimas.
Apagar las máquinas virtuales antes del cifrado permite al ransomware modificar directamente los archivos de imagen, pero un análisis detallado, tanto estático como dinámico, muestra que aunque esta funcionalidad está presente en el código de Helldown, no se activa realmente. Eso sugiere que el ransomware aún no es muy avanzado y posiblemente está en una etapa de desarrollo.
Síntesis de las TTP utilizadas por Helldown – Sekoia
Se ha identificado que los artefactos de Windows de Helldown presentan comportamientos similares a los de DarkRace, un ransomware que apareció en mayo de 2023 basado en el código de LockBit 3.0 y que posteriormente se renombró como DoNex. En julio de 2024, Avast lanzó una herramienta para descifrar los archivos encriptados por DoNex.
“Ambos códigos derivan de LokBit 3.0, dado el historial de cambios de marca de DarkRace y DoNex, así como las similitudes con Helldown, es posible que este sea otro caso de rebranding, sin embargo, esta conexión no puede ser confirmada en este momento”, dijo Sekoia.
Más información:
- New “Helldown” ransomware variant expands attack to VMware and linux systems. https://thehackernews.com/2024/11/new-helldown-ransomware-expands-attacks.html
- “Helldown” ransomware attacks expand to linux and VMware. https://www.neowin.net/news/helldown-ransomware-attacks-expand-to-linux-and-vmware/
- Helldown ransomware expands to target VMware and linux systems. https://www.infosecurity-magazine.com/news/helldown-ransomware-target-vmware/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.