Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Las bandas de ransomware utilizan la fama de LockBit para intimidar a las víctimas en los últimos ataques
  • Tecnología

Las bandas de ransomware utilizan la fama de LockBit para intimidar a las víctimas en los últimos ataques

teknomers 23 de Ekim de 2024 (Last updated: 23 de Ekim de 2024) 6 minutes read
Las bandas de ransomware utilizan la fama de LockBit para


Se ha observado que los actores de amenazas abusan de la función de aceleración de transferencia de Amazon S3 (Servicio de almacenamiento simple) como parte de ataques de ransomware diseñados para exfiltrar datos de las víctimas y cargarlos en depósitos de S3 bajo su control.

“Se intentó disfrazar el ransomware Golang como el famoso ransomware LockBit”, afirman los investigadores de Trend Micro Jaromir Horejsi y Nitesh Surana dicho. “Sin embargo, ese no es el caso, y el atacante sólo parece estar aprovechando la notoriedad de LockBit para apretar aún más el lazo sobre sus víctimas”.

Se ha descubierto que los artefactos de ransomware incorporan credenciales de Amazon Web Services (AWS) codificadas para facilitar la filtración de datos a la nube, una señal de que los adversarios están utilizando cada vez más a los proveedores de servicios de nube populares para esquemas maliciosos.

Se presume que la cuenta de AWS utilizada en la campaña es propia o está comprometida. Tras una divulgación responsable al equipo de seguridad de AWS, las claves de acceso y las cuentas de AWS identificadas se suspendieron.

Trend Micro dijo que detectó más de 30 muestras con los ID de clave de acceso de AWS y las claves de acceso secretas integradas, lo que indica un desarrollo activo. El ransomware es capaz de atacar sistemas Windows y macOS.

No se sabe exactamente cómo se entrega el ransomware multiplataforma a un host de destino, pero una vez que se ejecuta, obtiene el identificador único universal (UUID) de la máquina y lleva a cabo una serie de pasos para generar la clave maestra necesaria para cifrar los archivos.

Ciberseguridad

El paso de inicialización es seguido por el atacante que enumera los directorios raíz y cifra los archivos que coinciden con una lista específica de extensiones, no sin antes filtrarlos a AWS a través de S3 Transfer Acceleration (S3TA) para una transferencia de datos más rápida.

“Después del cifrado, el nombre del archivo cambia según el siguiente formato: ..abcd”, dijeron los investigadores. “Por ejemplo, el archivo text.txt pasó a llamarse text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd”.

En la etapa final, el ransomware cambia el fondo de pantalla del dispositivo para mostrar una imagen que menciona LockBit 2.0 en un probable intento de obligar a las víctimas a pagar.

“Los actores de amenazas también podrían disfrazar su muestra de ransomware como otra variante más conocida públicamente, y no es difícil ver por qué: la infamia de los ataques de ransomware de alto perfil presiona aún más a las víctimas para que sigan las órdenes del atacante”, dijeron los investigadores.

El desarrollo se produce cuando Gen Digital lanzó un descifrador para una variante del ransomware Mallox que se detectó en estado salvaje desde enero de 2023 hasta febrero de 2024 aprovechando una falla en el esquema criptográfico.

ransomware

“Las víctimas del ransomware pueden restaurar sus archivos de forma gratuita si fueron atacadas por esta variante particular de Mallox”, afirma el investigador Ladislav Zezula dicho. “La falla criptográfica se solucionó alrededor de marzo de 2024, por lo que ya no es posible descifrar datos cifrados por las versiones posteriores del ransomware Mallox”.

Cabe mencionar que se descubrió que una filial de la operación Mallox, también conocida como TargetCompany, utilizaba una versión ligeramente modificada del ransomware Kryptina, con nombre en código Mallox v1.0, para violar los sistemas Linux.

“Las variantes de Mallox derivadas de Kryptina son específicas para afiliados y están separadas de otras variantes de Mallox para Linux que han surgido desde entonces, una indicación de cómo el panorama del ransomware ha evolucionado hasta convertirse en una colección compleja de conjuntos de herramientas de polinización cruzada y bases de código no lineales”. El investigador de SentinelOne, Jim Walter. anotado a finales del mes pasado.

ransomware continúa ser una amenaza importante, con 1.255 ataques reclamados en el tercer trimestre de 2024, frente a 1.325 en el trimestre anterior, según el análisis de Symantec de datos extraídos de sitios de fuga de ransomware.

Microsoft, en su Informe de Defensa Digital para el período de un año comprendido entre junio de 2023 y junio de 2024, dicho observó un aumento de 2,75 veces año tras año en encuentros vinculados a ransomware operados por humanos, mientras que el porcentaje de ataques que alcanzan la fase de cifrado real se ha triplicado en los últimos dos años.

Algunos de los principales beneficiarios del declive de LockBit luego de una operación internacional de aplicación de la ley dirigida a su infraestructura en febrero de 2024 fueron RansomHub, Qilin (también conocido como Agenda) y Akira, el último de los cuales volvió a recurrir a tácticas de doble extorsión después de coquetear brevemente con la exfiltración de datos. y ataques de extorsión solo a principios de 2024.

“Durante este período, comenzamos a ver a los operadores de ransomware como servicio (RaaS) de Akira desarrollando una variante Rust de su cifrado ESXi, basándose iterativamente en las funciones de la carga útil mientras se alejaban de C++ y experimentaban con diferentes técnicas de programación”, Talos dicho.

Ciberseguridad

Los ataques que involucran a Akira también han aprovechado las credenciales de VPN comprometidas y las fallas de seguridad recientemente reveladas para infiltrarse en las redes, así como escalar privilegios y moverse lateralmente dentro de entornos comprometidos como parte de los esfuerzos diseñados para establecer un punto de apoyo más profundo.

Algunas de las vulnerabilidades explotadas por los afiliados de Akira se enumeran a continuación:

“A lo largo de 2024, Akira se ha centrado en un número significativo de víctimas, con una clara preferencia por organizaciones de los sectores de fabricación y de servicios profesionales, científicos y técnicos”, dijeron los investigadores de Talos James Nutland y Michael Szeliga.

“Es posible que Akira esté pasando del uso de la variante Akira v2 basada en Rust y regresando a TTP anteriores utilizando cifradores de Windows y Linux escritos en C++”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Haaland brilla en el festival de tiro del ManCity
Next: Accidente en la A28 cerca de De Punt, la entrada vuelve a estar abierta

Related Stories

Sony lo anuncia oficialmente: la fin de los juegos de
  • Tecnología

Sony lo anuncia oficialmente: la fin de los juegos de PlayStation en disco ocurrirá en 2028.

teknomers 1 de Temmuz de 2026
Los primeros kits de memoria AMD EXPO ULL son exorbitantes,
  • Tecnología

Los primeros kits de memoria AMD EXPO ULL son exorbitantes, incluso en el contexto actual

teknomers 1 de Temmuz de 2026
Este ventilador de techo conectado que se ve en todas
  • Tecnología

Este ventilador de techo conectado que se ve en todas las redes sociales está a 84,99€ en Teknomers

teknomers 1 de Temmuz de 2026

You May Have Missed

Isabelle Adjani, reevaluada por fraude fiscal agravado, ve su pena
  • Entretenimiento

Isabelle Adjani, reevaluada por fraude fiscal agravado, ve su pena reducida en apelación

teknomers 1 de Temmuz de 2026
Mujeres y niños víctimas de violencia: abogados y cuidadores unen
  • salud

Mujeres y niños víctimas de violencia: abogados y cuidadores unen fuerzas para brindarles mejor apoyo

teknomers 1 de Temmuz de 2026
  • Deporte

Cómo Arteta, Alonso e Iraola comenzaron en el mismo club de la infancia

teknomers 1 de Temmuz de 2026
  • General

Noticias de Negocios en Vivo, Noticias del Mercado de Valores – Lee las Últimas Noticias Financieras, IPO, Noticias de Fondos Mutuos

teknomers 1 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.