Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El malware basado en Python impulsa el ransomware RansomHub para explotar las fallas de la red
  • Tecnología

El malware basado en Python impulsa el ransomware RansomHub para explotar las fallas de la red

teknomers 16 de Ocak de 2025 (Last updated: 16 de Ocak de 2025) 5 minutes read
El malware basado en Python impulsa el ransomware RansomHub para


16 de enero de 2025Ravie LakshmananSeguridad de terminales/ransomware

Los investigadores de ciberseguridad detallaron un ataque que involucró a un actor de amenazas que utilizó una puerta trasera basada en Python para mantener el acceso persistente a los puntos finales comprometidos y luego aprovechó este acceso para implementar el ransomware RansomHub en toda la red objetivo.

De acuerdo a Seguridad de GuidePointse dice que el acceso inicial fue facilitado mediante un malware JavaScript descargado llamado SocGholish (también conocido como FakeUpdates), que se sabe que es repartido a través de campañas encubiertas que engañan a los usuarios desprevenidos para que descarguen actualizaciones falsas del navegador web.

Estos ataques comúnmente involucrar el uso de sitios web legítimos pero infectados a los que se redirige a las víctimas desde los resultados de los motores de búsqueda utilizando técnicas de optimización de motores de búsqueda (SEO) de sombrero negro. Tras la ejecución, SocGholish establece contacto con un servidor controlado por un atacante para recuperar cargas útiles secundarias.

Ciberseguridad

Tan recientemente como el año pasado, las campañas de SocGholish han dirigido Sitios de WordPress que dependen de versiones obsoletas de complementos de SEO populares como Yoast (CVE-2024-4984puntuación CVSS: 6,4) y Rank Math PRO (CVE-2024-3665puntuación CVSS: 6,4) para acceso inicial.

En el incidente investigado por GuidePoint Security, se descubrió que la puerta trasera de Python se había eliminado unos 20 minutos después de la infección inicial a través de SocGholish. Luego, el actor de amenazas procedió a entregar la puerta trasera a otras máquinas ubicadas en la misma red durante el movimiento lateral a través de sesiones RDP.

“Funcionalmente, el script es un proxy inverso que se conecta a una dirección IP codificada. Una vez que el script ha pasado el protocolo de enlace inicial de comando y control (C2), establece un túnel que se basa en gran medida en el protocolo SOCKS5”. dijo el investigador de seguridad Andrew Nelson.

“Este túnel permite al actor de amenazas moverse lateralmente en la red comprometida utilizando el sistema de la víctima como proxy”.

El script Python, cuya versión anterior fue documentado por ReliaQuest en febrero de 2024, ha sido detectado en estado salvaje desde principios de diciembre de 2023, mientras sufre “cambios a nivel de superficie” que tienen como objetivo mejorar los métodos de ofuscación utilizados para evitar la detección.

GuidePoint también señaló que el script decodificado está pulido y bien escrito, lo que indica que el autor del malware es meticuloso a la hora de mantener un código Python altamente legible y comprobable o depende de herramientas de inteligencia artificial (IA) para ayudar con la tarea de codificación.

“Con la excepción de la ofuscación de variables locales, el código se divide en clases distintas con nombres de métodos y variables altamente descriptivos”, añadió Nelson. “Cada método también tiene un alto grado de manejo de errores y mensajes de depuración detallados”.

La puerta trasera basada en Python está lejos de ser el único precursor detectado en los ataques de ransomware. Como destacó Halcyon a principios de este mes, algunas de las otras herramientas desplegado antes de la implementación del ransomware se incluyen los responsables de:

  • Deshabilitar las soluciones de detección y respuesta de endpoints (EDR) mediante EDRSilencer y Backstab
  • Robar credenciales usando LaZagne
  • Comprometer cuentas de correo electrónico mediante credenciales de fuerza bruta usando MailBruter
  • Mantener un acceso sigiloso y entregar cargas útiles adicionales utilizando Sirefef y Mediyes

También se han observado campañas de ransomware dirigidas a depósitos de Amazon S3 aprovechando el cifrado del lado del servidor de Amazon Web Services con claves proporcionadas por el cliente (SSE-C) para cifrar los datos de la víctima. La actividad se ha atribuido a un actor de amenazas denominado Codefinger.

Además de impedir la recuperación sin la clave generada, los ataques emplean tácticas de rescate urgentes en las que los archivos se marcan para su eliminación en un plazo de siete días a través de la API de gestión del ciclo de vida de objetos de S3 para presionar a las víctimas para que paguen.

Ciberseguridad

“El actor de amenazas Codefinger abusa de las claves de AWS divulgadas públicamente con permisos para escribir y leer objetos S3”, Halcyon dicho. “Al utilizar los servicios nativos de AWS, logran el cifrado de una manera segura e irrecuperable sin su cooperación”.

El desarrollo se produce cuando SlashNext dijo que ha sido testigo de un aumento en las campañas de phishing “rápidas” que imitan la técnica de bombardeo de correo electrónico del equipo de ransomware Black Basta para inundar las bandejas de entrada de las víctimas con más de 1,100 mensajes legítimos relacionados con boletines informativos o avisos de pago.

“Luego, cuando la gente se siente abrumada, los atacantes atacan a través de llamadas telefónicas o mensajes de Microsoft Teams, haciéndose pasar por soporte técnico de la empresa con una solución simple”, dijo la compañía. dicho.

“Hablan con confianza para ganarse la confianza, indicando a los usuarios que instalen software de acceso remoto como TeamViewer o AnyDesk. Una vez que el software está en un dispositivo, los atacantes se introducen silenciosamente. Desde allí, pueden difundir programas dañinos o infiltrarse en otras áreas del sistema. red, despejando el camino directo a los datos confidenciales”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Sophie Hilbrand recibe un puñetazo verbal: “¡Solo preocúpate de ti misma!”
Next: 112 blogs | Incendio de chimenea en casa • Coche completamente quemado

Related Stories

¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software
  • Tecnología

¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software a menos de 22€ lo soluciona de por vida.

teknomers 10 de Temmuz de 2026
Volotea aumentaba el precio de los billetes después de la
  • Tecnología

Volotea aumentaba el precio de los billetes después de la compra, una práctica que ha disparado la represión de fraudes.

teknomers 10 de Temmuz de 2026
IA generativa: el boicot ante los límites del sector
  • Tecnología

IA generativa: el boicot ante los límites del sector

teknomers 10 de Temmuz de 2026

You May Have Missed

  • Deporte

Rumores del fútbol: Salah, Olise, Adeyemi, Geertruida, Alvarez, Palhinha

teknomers 10 de Temmuz de 2026
  • General

« Estoy en la cima de la lista desde hace tiempo, así es la vida »: ¿realmente Irán busca asesinar a Donald Trump?

teknomers 10 de Temmuz de 2026
  • General

¿Cubrir la tabla de planchar con papel de aluminio? La razón que ahorra tiempo podría sorprenderte.

teknomers 10 de Temmuz de 2026
España-Bélgica: Fabian Ruiz, noveno goleador parisino en la Copa del
  • Deporte

España-Bélgica: Fabian Ruiz, noveno goleador parisino en la Copa del Mundo, el PSG mejora su récord

teknomers 10 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.