Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
157
)
-
▼
enero
(Total:
157
)
-
Parece un inocente PDF, pero es una estafa bancari...
-
DeepSeek tendrá un clon «100% abierto» desarrollad...
-
¿Qué son los tokens en el contexto de los LLM?
-
¿Qué es el destilado de una LLM?
-
Se saltan el sistema de cifrado BitLocker de Windo...
-
Facebook bloquea cualquier tema de Linux de Distro...
-
Ramsomware Makop y Lynx
-
NVIDIA pide explicaciones a Super Micro por vender...
-
Investigadores canadienses afirman que un ajuste d...
-
Vulnerabilidad crítica en Cacti (SNMP)
-
FARM discos duros Seagate
-
DeepSeek habría sido entrenada con datos robados a...
-
Alibaba presenta Qwen2.5-Max, su poderosa IA
-
Huawei dice tener un chip para IA igual de potente...
-
El fabricante de móviles Oppo es víctima de una gr...
-
DeepSeek puede crear malware para robar tarjetas d...
-
Historia del fabricante Asus
-
Instalar DeepSeek (destilado) con Ollama en tu ord...
-
Lossless Scaling: ¿Qué es y cómo funciona?
-
Una hora de anuncios para ver un simple vídeo de Y...
-
Herramientas gratuitas para transcribir de audio a...
-
OpenAI Operator: el agente de IA que automatiza ta...
-
DeepSeek Janus-Pro-7B, otro modelo de IA multimoda...
-
DeepSeek es víctima de un ataque DDoS
-
NVIDIA DLSS 4 (Tecnología de Escalado de nvidia)
-
Sony abandona los discos Blu-Ray grabables, MiniDi...
-
Vulnerabilidad en el framework Llama Stack de Meta...
-
PayPal pagará 2 millones de dólares por la filtrac...
-
DeepSeek, la herramienta china que revoluciona la ...
-
119 vulnerabilidades de seguridad en implementacio...
-
Cómo bloquear y demorar bots IA de Scraping web
-
Oracle, en negociaciones con ByteDance para compra...
-
Descubren que Elon Musk hacía trampas en los juego...
-
Por ser cliente de Movistar en España tienes grati...
-
HDMI 2.2 VS DisplayPort 2.1
-
Filtrados datos personales de asegurados de Asisa
-
Los fallos que cometió Ulbricht para ser detenido:...
-
Instagram desata las críticas de los usuarios espa...
-
Donald Trump indulta a Ross Ulbricht, creador del ...
-
Alia, la IA del Gobierno Español, es un desastre: ...
-
Stargate, un proyecto de Estados Unidos para inver...
-
Ataques del ransomware BlackBasta mediante Microso...
-
El mayor ataque DDoS registrado alcanzó 5,6Tb/s me...
-
Tras el éxito de Doom en documentos PDF, ahora tam...
-
Cae una banda de ciberestafadores que enviaba hast...
-
Cómo desactivar el Antimalware Service Executable ...
-
Herramienta Restablecer Windows
-
Seagate llega a los 36 TB con sus nuevos discos du...
-
YST (‘Yo soy tú’, como se autodenominó irónicament...
-
¿Qué es la pipeline?
-
Una chica de 28 años se enamora de ChatGPT
-
Copilot+ ya permite la búsqueda local
-
DORA: la normativa europea que obliga a los bancos...
-
Apple desactiva funciones de Apple Intelligence po...
-
La empresa de hosting GoDaddy, obligada a reforzar...
-
Domina los ficheros PDF con dos servicios Docker
-
OpenAI desarrolla una IA para prolongar la vida hu...
-
TikTok cierra en Estados Unidos
-
Vulnerabilidad permite eludir UEFI Secure Boot
-
Normativa Drones España 2025
-
Robados los datos personales de 97.000 aspirantes ...
-
¿Cómo volar un dron de noche? Esta es la normativa...
-
Expuestas 15.000 configuraciones robadas de FortiG...
-
Filtración masiva en China expone 1.500 millones d...
-
Un ciberataque expone la identidad de 160.000 guar...
-
La Policía de España advierte sobre una nueva técn...
-
Microsoft estrena protección del administrador de ...
-
Windows 11 con sólo 184 MB de RAM
-
Evilginx 3 para ataques man-in-the-middle mediante...
-
Cómo Barcelona se convirtió en un centro de empres...
-
El Gobierno de España anuncia la creación de un Ce...
-
RDP Bitmap Forensics para investigaciones DFIR
-
Más de 660.000 servidores Rsync expuestos a ataque...
-
El FBI elimina el malware chino PlugX en 4.250 ord...
-
Hiren's BootCD PE con Windows 11
-
Las chicas del ENIAC y las programadoras de los Co...
-
Trucos de Windows 11
-
Millones de cuentas vulnerables por fallo en OAuth...
-
Si no actualizas a Windows 11, no podrás usar Offi...
-
Jugar al DOOM dentro de un archivo PDF
-
Los mejores procesadores para jugar en 2025, ¿cuán...
-
"Explotación masiva" de los firewalls de Fortinet ...
-
Cómo funciona la sincronización en el almacenamien...
-
Parallels ya permite emular Windows y Linux las Ma...
-
Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
-
Roban información con Infostealer Lumma mediante t...
-
Cómo compartir contraseñas en Google Chrome con "M...
-
El arquitecto jefe de Xeon cambia de Intel a Qualc...
-
Hackean cuentas de Path of Exile 2 tras robar una ...
-
Microsoft consigue que su IA se vuelva experta en ...
-
Cómo instalar Stremio en Raspberry Pi para conecta...
-
"Free our Feeds" quiere evitar que los millonarios...
-
Otra Botnet Mirai para realizar ataques DDoS
-
Telegram comienza a colaborar con las autoridades ...
-
Múltiples vulnerabilidades críticas en productos S...
-
La historia del trabajador número 8 de Apple que l...
-
Descubren cómo hackear el controlador USB-C del iP...
-
¿A qué temperatura empieza la CPU a envejecer?
-
Xiaomi presenta Redmi Note 14
-
La IA comenzará a subtitular los vídeos en VLC
-
-
▼
enero
(Total:
157
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Cómo instalar DeepSeek en tu ordenador , para poder utilizarlo cuando quieras. Hay varias maneras de hacerlo, pero nosotros vamos a intentar... -
Si eres un usuario de Windows 10 y tu dispositivo está trabajando lento, entonces, es el antimalware service executable que tiene un consum... -
Primero llegó a través de los clientes de Movistar con un deco UHD, pero a partir de hoy, tienen la oportunidad de tener gratis durante 12 ...
Ramsomware Makop y Lynx
En funcionamiento desde 2020, la banda de ransomware Makop está clasificada como una banda de ransomware de nivel B. A pesar de su baja clasificación, esta amenaza ha atacado con éxito a empresas de Europa e Italia con su arsenal híbrido de herramientas de software desarrolladas a medida y comerciales.
Ransomware MAKOP
Los operadores del ransomware Makop comenzaron su negocio delictivo en 2020, aprovechando una nueva variante del famoso ransomware Phobos. La mayoría de las intrusiones son manejadas por "delincuentes que utilizan el teclado", con herramientas conocidas y a medida.
Makop es una rama de la variante del ransomware Phobos y opera bajo una estructura de afiliados. Se ha informado de que el ransomware Makop está atacando activamente a organizaciones América Latina, incluidos sectores críticos. El ransomware Makop cifra los archivos en los sistemas de la víctima y solicita el pago de un rescate en bitcoins.
Los archivos cifrados por Makop suelen tener la extensión ".makop" o ".mkp" y no se conocen herramientas de descifrado gratuitas capaces de descifrar archivos cifrados.
El ransomware Makop aprovecha diferentes técnicas para ingresar a las redes de las organizaciones e inyectar la carga útil. Los vectores de ataque más comunes incluyen la explotación de sistemas expuestos a Internet que han expuesto servicios RDP no seguros, correos electrónicos de phishing que contienen archivos adjuntos maliciosos (que a menudo utilizan extensiones de archivo inusuales para evitar los análisis de correo electrónico), sitios web de torrents, anuncios maliciosos, etc.
Según el investigador de seguridad Luca Mella, se ha descubierto que la banda de ransomware Makop utiliza un conjunto de herramientas desarrolladas a medida en sus campañas. Entre ellas se encuentra una herramienta llamada ARestore que se creó en 2020 y está parcialmente ofuscada.
Esta herramienta genera listas de nombres de usuario y contraseñas potenciales de Windows locales y las prueba localmente. La APT la utiliza después de la fase de acceso inicial de su cadena de ataque.
Además, los operadores aprovechan otros ensamblajes .NET personalizados, como PuffedUp, para lograr etapas posteriores de la cadena de ataque. Esta herramienta en particular está diseñada para garantizar la persistencia después del acceso inicial. Se basa en un archivo de configuración de texto ubicado en la misma carpeta, que contiene una o más cadenas de 42 caracteres que se colocarán en el portapapeles del usuario.
Además, la banda de ransomware también está utilizando herramientas de código abierto y freeware disponibles en el mercado para realizar movimientos laterales y descubrimiento de sistemas.
Junto con el abuso de herramientas Microsoft SysInternal como PsExec y otras herramientas de código abierto conocidas como Putty y Mimikatz, Makop ha abusado de software aún más peculiar. Los atacantes utilizaron recientemente PowerShell, NLBrute, Advanced Port Scanner y la herramienta Windows Everything.
Otra herramienta única utilizada por el grupo incluye una herramienta de administración del sistema llamada YDArk, una herramienta de código abierto.
El equipo de seguridad de Lifars ha profundizado mucho en los detalles técnicos de Makop y aquí se pueden encontrar algunos IOC relacionados a este ransomware.
Ransomware LYNX
Se ha descubierto que el grupo de ransomware como servicio (RaaS) Lynx opera una plataforma altamente organizada, con un programa de afiliados estructurado y métodos de cifrado robustos.
El panel de afiliados de Lynx está organizado en varias secciones, que incluyen "Noticias", "Empresas", "Chats", "Información" y "Filtraciones". Este diseño permite a los afiliados configurar perfiles de víctimas, generar muestras de ransomware personalizadas y administrar cronogramas de fugas de datos dentro de una interfaz fácil de usar.
Los afiliados reciben una participación del 80% de las ganancias del rescate, manejan todas las negociaciones y mantienen el control sobre la billetera del rescate. Lynx también ofrece servicios adicionales, como un centro de llamadas para acosar a las víctimas y soluciones de almacenamiento avanzadas para afiliados de alto rendimiento.
El grupo también proporciona un "Archivo todo en uno" que contiene binarios para entornos Windows, Linux y ESXi, que cubren una variedad de arquitecturas, incluidas ARM, MIPS y PPC. Este enfoque de múltiples arquitecturas garantiza una amplia compatibilidad y maximiza el impacto de los ataques en diversas redes.
Lynx ha introducido recientemente múltiples modos de cifrado: "rápido", "medio", "lento" y "completo", lo que permite a los afiliados equilibrar la velocidad y la profundidad del cifrado de archivos. El ransomware emplea algoritmos de cifrado robustos, incluidos Curve25519 Donna y AES-128.
El grupo recluta activamente equipos de pruebas de penetración experimentados a través de foros clandestinos, haciendo hincapié en un estricto proceso de verificación. No se dirigen a entidades responsables del sustento de civiles, como instituciones de salud, organismos gubernamentales, iglesias u organizaciones sin fines de lucro.
Lynx emplea tácticas de doble extorsión, cifrando los datos de las víctimas y amenazando con filtrarlos en su sitio de filtración dedicado (DLS) si no se pagan los rescates. El DLS sirve como plataforma donde los atacantes publican anuncios sobre ataques y divulgan datos filtrados de sus víctimas.
"Un análisis en profundidad reveló una superposición significativa de código con el ransomware INC [...]. Esto indica claramente que Lynx puede haber comprado o adaptado el código fuente del ransomware INC, lo que le permite aprovechar las capacidades de malware existentes. Para las organizaciones, esto subraya la importancia de actualizar continuamente los procedimientos de respuesta a incidentes, invertir en inteligencia de amenazas en tiempo real y fomentar una cultura de
Fuente: HeimdalSecurity
https://blog.segu-info.com.ar/2025/01/ramsomware-makop-y-lynx-activos-en.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.