Tecnología

La semana en ransomware – 18 de junio de 2021

Secuestro de datos

En comparación con las últimas semanas, ha sido una semana relativamente tranquila sin ataques de ransomware que causen una interrupción generalizada.

Fue una buena semana para las fuerzas del orden, con la policía ucraniana arrestando a miembros de la banda de ransomware Clop y Policía de Corea del Sur arresta reparación de ordenadores que instala ransomware.

También vimos algunas investigaciones interesantes publicadas en LockBit y el infierno ransomware, así como un descifrador actualizado de Avaddon Ransomware que puede descifrar los archivos de más víctimas.

Finalmente, el presidente Biden se reunió con el presidente ruso Putin para discutir los recientes ciberataques. Si algo cambia desde esa reunión es demasiado pronto para saberlo.

Los colaboradores y aquellos que proporcionaron nueva información e historias sobre ransomware esta semana incluyen: @DanielGallagher, @malwareforme, @PolarToffee, @fwosar, @Dormirordenador, @LawrenceAbrams, @serghei, @VK_Intel, @struppigel, @demonios335, @malwrhunteequipo, @CuatroOctetos, @Ionut_Ilascu, @jorntvdw, @Seifreed, @TrendMicroRSRCH, @IntelAdvanced, @y_advintel, @ZeroLogon, @campuscodi, @GrujaRS, @emsisoft, @ LittleRedBean2,, @PogoWasRight, @ chum1ng0, @PRODAFT, @Secureworks, y @ValeryMarchive.

14 de junio de 2021

REvil ransomware golpea a contratista de armas nucleares de EE. UU.

El contratista estadounidense de armas nucleares Sol Oriens ha sufrido un ciberataque presuntamente a manos de la banda de ransomware REvil, que afirma estar subastando datos robados durante el ataque.

Los líderes del G7 piden a Rusia que cace a las bandas de ransomware dentro de sus fronteras

Los líderes del G7 (Grupo de los 7) han pedido a Rusia que interrumpa urgentemente las bandas de ransomware que se cree que operan dentro de sus fronteras, luego de una serie de ataques dirigidos a organizaciones de sectores críticos en todo el mundo.

Fujifilm reanuda las operaciones normales después del ataque de ransomware

El conglomerado multinacional japonés Fujifilm dice que ha reanudado las operaciones comerciales y de clientes normales luego de un ataque de ransomware que lo obligó a cerrar toda la red el 4 de junio.

Teóricamente intocable, pero aún así derrotado con Avaddon

Las razones de la desaparición de Avaddon se desconocen en este momento. Quizás la presión internacional se había vuelto demasiado fuerte para los operadores. A menos que algunos errores hayan comenzado a mostrarse demasiado.

15 de junio de 2021

La salida de Avaddon ransomware arroja luz sobre el panorama de las víctimas

Un nuevo informe analiza las claves de descifrado de ransomware Avaddon recientemente lanzadas para arrojar luz sobre los tipos de víctimas objetivo de los actores de amenazas y los ingresos potenciales que generaron a lo largo de su operación.

Código fuente de Paradise Ransomware lanzado en un foro de piratería

El código fuente completo para Paradise Ransomware se ha publicado en un foro de piratería que permite a cualquier posible ciberdelincuente desarrollar su propia operación de ransomware personalizada.

Lanzamiento del descifrador Avaddon actualizado

Emsisoft lanzó un descifrador Avaddon actualizado para ayudar a más víctimas.

Los operadores de Hades Ransomware utilizan tácticas e infraestructura distintivas

Hades ransomware ha estado en escena desde diciembre de 2020, pero ha habido informes públicos limitados sobre el grupo de amenazas que lo opera. Los compromisos de respuesta a incidentes (IR) de Secureworks® en el primer trimestre de 2021 proporcionaron a los investigadores de Secureworks Counter Threat Unit ™ (CTU) una visión única del uso del grupo de tácticas, técnicas y procedimientos distintivos (TTP).

16 de junio de 2021

Ucrania arresta a miembros de la banda de ransomware Clop y confisca servidores

La policía ucraniana arrestó a los ciberdelincuentes asociados con la banda de ransomware Clop y cerró la infraestructura utilizada en los ataques dirigidos a víctimas en todo el mundo desde al menos 2019.

La policía de Corea del Sur arresta a los reparadores de ordenadores que fabricaron y distribuyeron ransomware

Las autoridades surcoreanas han presentado hoy cargos contra nueve empleados de una empresa local de reparación de ordenadores por crear e instalar ransomware en las ordenadores de sus clientes.

MA: UMass Lowell cerró debido a un incidente de ciberseguridad

La Universidad de Massachusetts Lowell (UMass Lowell) ha sufrido una brecha de seguridad cibernética que ha provocado el cierre de escuelas durante los últimos dos días. El incidente se anunció por primera vez el 15 de junio como un «corte de TI»:

SCOOP: UnitingCare pagó cientos de miles de dólares a REvil por la clave de descifrado y la eliminación de archivos

El 25 de abril, UnitingCare Queensland (UCQ) fue víctima de un ataque de ransomware que afectó a varios hospitales y centros de atención de ancianos de Queensland. Al día siguiente, publicaron un aviso en su sitio web informando a la gente sobre lo que estaba sucediendo y su impacto. Y el 5 de mayo, publicaron una segunda actualización en la que revelaron que eran los actores de amenazas REvil (Sodinokibi) quienes los habían atacado. Esa actualización describió los pasos que habían tomado desde el incidente para recuperar y restaurar servicios de manera segura.

17 de junio de 2021

Carnival Cruise se ve afectado por una violación de datos y advierte sobre el riesgo de uso indebido de datos

En diciembre de 2020, Carnival fue golpeado por un segundo ataque de ransomware (no revelado previamente) con «fases de investigación y remediación» aún en curso, según un Formulario 10-Q presentado ante la SEC en abril de 2021.

18 de junio de 2021

Una pandilla falsa de DarkSide apunta a la industria energética y alimentaria en correos electrónicos de extorsión

Los actores de amenazas se hacen pasar por la ahora extinta operación DarkSide Ransomware en correos electrónicos falsos de extorsión enviados a empresas de los sectores de energía y alimentos.

Análisis en profundidad de LockBit RaaS

El equipo de inteligencia de amenazas de PRODAFT (PTI) ha publicado este informe para proporcionar un conocimiento profundo sobre los actores de amenazas que operan el ransomware LockBit. El equipo de PTI ha logrado extraer herramientas de descifrado para la mayoría de las víctimas que fueron afectadas por LockBit. Todos los afiliados del grupo de ransomware, incluido el desarrollador, también fueron identificados durante la investigación del equipo de PTI. Este informe responde preguntas como: ¿Cómo seleccionan sus objetivos? ¿Cuántos objetivos traspasaron? ¿Cómo funciona la red? ¿Quiénes son los afiliados?

Nueva variante STOP Ransomware

GrujaRS encontró una nueva variante STOP ransomware que agrega el .iqll extensión a archivos cifrados.

Nueva variante STOP Ransomware

LittleRedBean Encontró una nueva variante de ransomware STOP que agrega la extensión .sspq a los archivos cifrados.

¡Eso es todo por esta semana! ¡Espero que todos tengan un buen fin de semana!

Leave a Comment

You may also like

Más