Se estima que los actores de amenazas detr\u00e1s del ransomware Play han afectado a aproximadamente 300 entidades en octubre de 2023, seg\u00fan un nuevo aviso conjunto de ciberseguridad de Australia y EE. UU.<\/p>\n
“Los actores del ransomware Play emplean un modelo de doble extorsi\u00f3n, cifrando sistemas despu\u00e9s de exfiltrar datos y han impactado a una amplia gama de empresas y organizaciones de infraestructura cr\u00edtica en Am\u00e9rica del Norte, Am\u00e9rica del Sur, Europa y Australia”, dijeron las autoridades. dicho<\/a>.<\/p>\n Play, tambi\u00e9n llamado Balloonfly y PlayCrypt, surgi\u00f3 en 2022, explotando fallas de seguridad en los servidores Microsoft Exchange (CVE-2022-41040 y CVE-2022-41082) y dispositivos Fortinet (CVE-2018-13379 y CVE-2020-12812) para violar las empresas. e implementar malware de cifrado de archivos.<\/p>\n Vale la pena se\u00f1alar que los ataques de ransomware explotan cada vez m\u00e1s las vulnerabilidades en lugar de utilizar correos electr\u00f3nicos de phishing como vectores de infecci\u00f3n iniciales, pasando de casi cero en la segunda mitad de 2022 a casi un tercio en la primera mitad de 2023, seg\u00fan datos de Corvus<\/a>.<\/p>\n Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad<\/p>\n <\/a> <\/p>\n Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes. <\/p>\n \u00danete ahora<\/a> <\/section>\n La empresa de ciberseguridad Adlumin, en un informe publicado el mes pasado, revel\u00f3 que Play se ofrece a otros actores de amenazas “como un servicio”, completando su transformaci\u00f3n en una operaci\u00f3n de ransomware como servicio (RaaS).<\/p>\n Los ataques de ransomware orquestados por el grupo se caracterizan por el uso de herramientas p\u00fablicas y personalizadas como AdFind para ejecutar consultas de Active Directory, GMER, IOBit y PowerTool para desactivar el software antivirus, y Grixba para enumerar informaci\u00f3n de red y recopilar informaci\u00f3n sobre software de respaldo y control remoto. herramientas de administraci\u00f3n instaladas en una m\u00e1quina.<\/p>\n Tambi\u00e9n se ha observado que los actores de amenazas llevan a cabo movimientos laterales y pasos de exfiltraci\u00f3n y cifrado de datos, confiando en Cobalt Strike, SystemBC y Mimikatz para la post-explotaci\u00f3n.<\/p>\n “El grupo de ransomware Play utiliza un modelo de doble extorsi\u00f3n, cifrando los sistemas despu\u00e9s de extraer datos”, dijeron las agencias. “Las notas de rescate no incluyen una demanda de rescate inicial ni instrucciones de pago; m\u00e1s bien, se indica a las v\u00edctimas que se comuniquen con los actores de la amenaza por correo electr\u00f3nico”.<\/p>\n Seg\u00fan las estad\u00edsticas recopiladas por Malwarebytes<\/a>Se dice que Play se cobr\u00f3 casi 40 v\u00edctimas solo en noviembre de 2023, pero est\u00e1 muy por detr\u00e1s de sus pares. BloquearBit<\/a> y Gato negro<\/a> (tambi\u00e9n conocido como ALPHV y Noberus).<\/p>\n La alerta llega d\u00edas despu\u00e9s de que las agencias gubernamentales de EE. UU. publicaran un bolet\u00edn actualizado sobre el grupo Karakurt, conocido por evitar los ataques basados \u200b\u200ben cifrado en favor de la pura extorsi\u00f3n despu\u00e9s de obtener acceso inicial a las redes mediante la compra de credenciales de inicio de sesi\u00f3n robadas, intermediarios de intrusi\u00f3n (tambi\u00e9n conocidos como intermediarios de acceso inicial). ), phishing y fallas de seguridad conocidas.<\/p>\n “Las v\u00edctimas de Karakurt no han informado sobre el cifrado de m\u00e1quinas o archivos comprometidos; m\u00e1s bien, los actores de Karakurt han afirmado haber robado datos y amenazado con subastarlos o liberarlos al p\u00fablico a menos que reciban el pago del rescate exigido”, dijo el gobierno. dicho<\/a>.<\/p>\n Los acontecimientos tambi\u00e9n se producen en medio especulaciones<\/a> que el ransomware BlackCat puede haber sido el objetivo de una operaci\u00f3n policial despu\u00e9s de que sus portales de filtraci\u00f3n en la web oscura estuvieran fuera de l\u00ednea durante cinco d\u00edas. Sin embargo, el colectivo de delitos electr\u00f3nicos atribuy\u00f3 la interrupci\u00f3n a una falla de hardware.<\/p>\n Es m\u00e1s, otro grupo incipiente de ransomware conocido como NoEscape supuestamente tiene sac\u00f3 una estafa de salida<\/a>efectivamente “robando los pagos de rescate y cerrando los paneles web y los sitios de fuga de datos del grupo”, lo que llev\u00f3 a otras pandillas como LockBit a reclutar a sus antiguos afiliados.<\/p>\n No es sorprendente que el panorama del ransomware evolucione y cambie constantemente, ya sea debido a la presi\u00f3n externa de las fuerzas del orden. Esto se evidencia a\u00fan m\u00e1s en la colaboraci\u00f3n entre las bandas de ransomware BianLian, White Rabbit y Mario en una campa\u00f1a de extorsi\u00f3n conjunta dirigida a empresas de servicios financieros que cotizan en bolsa.<\/p>\n “Estas campa\u00f1as cooperativas de rescate son poco comunes, pero posiblemente se est\u00e9n volviendo m\u00e1s comunes debido a la participaci\u00f3n de corredores de acceso inicial (IAB) que colaboran con m\u00faltiples grupos en la web oscura”, Resecurity dicho<\/a> en un informe publicado la semana pasada.<\/p>\n “Otro factor que puede estar conduciendo a una mayor colaboraci\u00f3n son las intervenciones policiales que crean redes de di\u00e1spora cibercriminal. Los participantes desplazados de estas redes de actores de amenazas pueden estar m\u00e1s dispuestos a colaborar con sus rivales”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/El-ransomware-de-doble-extorsion-ataca-a-300-organizaciones-en.jpg\")
<\/a><\/center><\/div>\n