Señales tempranas de un ataque de ransomware

Las técnicas Living off the Land (LOTL) suelen ser utilizadas por las bandas de ransomware para, mediante el uso de herramientas legítimas, evadir la detección y robar datos. El uso de herramientas legítimas les es útil para no ser detectadas en las primeras etapas del ataque y poder moverse en la red de la víctima. De acuerdo con los expertos de Malwarebytes, cuando la organización se da cuenta de que está siendo atacada por las bandas de ransomware, para entonces ya el malware ha sido instalado y los ciberdelincuentes ya han robado y cifrado los datos. Los expertos del equipo Leer más…

Desmantelan la plataforma del ransomware LockBit

La plataforma de operación del ransomware LockBit ha sido desmantelada por la Agencia Nacional contra el Crimen (NCA) del gobierno británico. LockBit tiene unos 4 años que está operando bajo el esquema de Ransomware como Servicio, atacando con ransomware a miles de víctimas en todo el mundo, obteniendo miles de millones de libras, dólares y euros, por pagos de rescate y de recuperación. Los ciberdelincuentes detrás de LockBit son considerados como el grupo de delitos cibernéticos más dañino del mundo. La NCA tomó el control de la plataforma LockBit, a la que infiltró, obteniendo el código fuente de dicha plataforma Leer más…

Avast actualiza el descifrador para el ransomware Babuk

Avast ha publicado una versión actualizada de la herramienta de descifrado para el ransomware Babuk. Babuk es un ransomware descubierto en 2021, cuyo código fuente fue publicado en un foro de piratería de habla rusa junto con 14 claves privadas (una para cada víctima) necesarias para descifrar los archivos cifrados por el ransomware. Para la actualización del descifrador Avast Babuk, Avast ha contado con la cooperación de Cisco Talos y de la policía holandesa. La actualización incluye ahora la capacidad para restaurar archivos cifrados por la variante Babuk llamada Tortilla. Según Cisco Talos, en la campaña Tortilla de Babuk se utiliza Leer más…

LockBit 3.0, ransomware que configura su comportamiento en el equipo víctima

La Oficina Federal de Investigaciones (FBI), la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC), de los Estados Unidos han publicado el aviso de ciberseguridad conjunto (CSA) #StopRansomware: LockBit 3.0. El CSA detalla los Indicadores de Compromiso (IOC) así como las tácticas, técnicas y procedimientos para ayudar a las organizaciones a protegerse contra el ransomware, y que las investigaciones del FBI correlacionaron con el ransomware LockBit 3.0 en marzo de 2023. LockBit 3.0 trabaja en el modelo de afiliados de Ransomware-as-a-Service (RaaS), desde enero de 2020. También conocido como Leer más…

CISA publica script para recuperar archivos bloqueados por el ransomware ESXiArgs

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos ha publicado un script de recuperación de máquinas virtuales VMware ESXi bloqueadas por el ransomware ESXiArgs. El ransomware ESXiArgs cifra los archivos de configuración en servidores VMware ESXi sin parches, dejando inutilizables las máquinas virtuales. Se aprovecha de una vulnerabilidad de ejecución remota de código en el servicio OpenSLP. CISA recomienda a las organizaciones afectadas por ESXiArgs que evalúen la secuencia de comandos y la orientación proporcionadas en el archivo LÉAME del script de recuperación para determinar si es adecuado para intentar recuperar el acceso a los Leer más…

Desmantelan infraestructura del ransomware Hive

El Departamento de Justicia de los Estados Unidos anunció el desmantelamiento del grupo de ciberdelincuentes detrás del ransomware Hive, en una operación coordinada con las fuerzas del orden alemanas (la Policía Criminal Federal Alemana y el Cuartel General de Policía de Reutlingen-CID Esslingen) y la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos. Las fuerzas del orden tomaron el control de los servidores y sitios web que usa Hive para comunicarse con sus miembros, interrumpiendo la capacidad de Hive para atacar y extorsionar a las víctimas. Con más de 1,500 víctimas en más de 80 países de Leer más…

Análisis Microsoft de técnicas del ransomware para Mac

Con el objetivo de comprender las amenazas de Mac y mejorar la protección, el equipo de Inteligencia de Amenazas de Microsoft presentó un reporte de análisis de las familias de ransomware KeRanger, FileCoder, MacRansom y EvilQuest que fallaron en ataques a dispositivos macOS. De acuerdo con el análisis, el vector inicial del ransomware para Mac generalmente se basa en métodos asistidos por el usuario, como descargar y ejecutar aplicaciones falsas o troyanizadas. También puede llegar como una carga útil de segunda etapa lanzada o descargada por otro malware o como parte de un ataque a la cadena de suministro. Una Leer más…

Policía holandesa engaña a ciberdelincuentes del ransomware DeadBolt y obtiene 150 llaves de descifrado

La policía holandesa engañó a los ciberlincuentes detrás del ransomware DeadBolt para que liberaran 150 llaves de descifrado sin pago de por medio. La acción de la policía fue gracias a que la empresa de ciberseguridad Responders.NU les compartió que era posible cancelar una transacción de Bitcoin no confirmada antes de que se realizara el pago, pero después de que se liberara la llave de descifrado. Con dicho método los policías recibieron la llave de descifrado y pasarla a las víctimas. El método lo repitieron 150 veces antes de que los ciberdelincuentes desconectaran su sistema de entrega de llaves de Leer más…