{"id":1158660,"date":"2024-01-29T21:27:35","date_gmt":"2024-01-29T21:27:35","guid":{"rendered":"https:\/\/teknomers.com\/es\/albabat-kasseika-kuiper-nuevas-bandas-de-ransomware-surgen-con-rust-y-golang\/"},"modified":"2024-01-29T21:27:39","modified_gmt":"2024-01-29T21:27:39","slug":"albabat-kasseika-kuiper-nuevas-bandas-de-ransomware-surgen-con-rust-y-golang","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/albabat-kasseika-kuiper-nuevas-bandas-de-ransomware-surgen-con-rust-y-golang\/","title":{"rendered":"Albabat, Kasseika, Kuiper: nuevas bandas de ransomware surgen con Rust y Golang"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">29 de enero de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Ransomware\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Albabat-Kasseika-Kuiper-nuevas-bandas-de-ransomware-surgen-con-Rust.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han detectado en la naturaleza otra variante de la familia de ransomware Phobos conocida como <strong>Fausto<\/strong>.<\/p>\n<p>Fortinet FortiGuard Labs, que detall\u00f3 la \u00faltima versi\u00f3n del ransomware, dijo que se propaga mediante una infecci\u00f3n que entrega un documento de Microsoft Excel (.XLAM) que contiene un script VBA.<\/p>\n<p>&#8220;Los atacantes utilizaron el servicio Gitea para almacenar varios archivos codificados en Base64, cada uno con un binario malicioso&#8221;, dijo la investigadora de seguridad Cara Lin. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/phobos-ransomware-variant-launches-attack-faust\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico publicado la semana pasada.  &#8220;Cuando estos archivos se inyectan en la memoria de un sistema, inician un ataque de cifrado de archivos&#8221;.<\/p>\n<p>Faust es la \u00faltima incorporaci\u00f3n a varias variantes de ransomware de la familia Phobos, incluidos Eking, Eight, Elbie, Devos y 8Base.  Vale la pena se\u00f1alar que Fausto fue documentado previamente por Cisco Talos en noviembre de 2023.<\/p>\n<p>La firma de ciberseguridad describi\u00f3 la variante como activa desde 2022 y &#8220;no se dirige a industrias o regiones espec\u00edficas&#8221;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Los-ataques-DDoS-a-la-industria-de-servicios-medioambientales-aumentaran.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La cadena de ataque comienza con un documento XLAM que, cuando se abre, descarga datos codificados en Base64 de Gitea para guardar un archivo XLSX inofensivo, al mismo tiempo que recupera sigilosamente un ejecutable que se hace pasar por un actualizador del software AVG AntiVirus (&#8220;AVG Updater. exe&#8221;).<\/p>\n<p>El binario, por su parte, funciona como un descargador para buscar e iniciar otro ejecutable llamado &#8220;SmartScreen Defender Windows.exe&#8221; para iniciar su proceso de cifrado empleando un ataque sin archivos para implementar el c\u00f3digo shell malicioso.<\/p>\n<p>&#8220;La variante Faust exhibe la capacidad de mantener la persistencia en un entorno y crea m\u00faltiples subprocesos para una ejecuci\u00f3n eficiente&#8221;, dijo Lin.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Albabat-Kasseika-Kuiper-nuevas-bandas-de-ransomware-surgen-con-Rust.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Albabat-Kasseika-Kuiper-nuevas-bandas-de-ransomware-surgen-con-Rust.jpg\" alt=\"La seguridad cibern\u00e9tica\" border=\"0\" data-original-height=\"215\" data-original-width=\"728\" title=\"La seguridad cibern\u00e9tica\"\/><\/a><\/div>\n<p>El desarrollo se produce cuando nuevas familias de ransomware como <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/ransomware-roundup-albabat\" target=\"_blank\">Albabat<\/a> (tambi\u00e9n conocido como Murci\u00e9lago Blanco), Kasseika, <a rel=\"nofollow noopener\" href=\"https:\/\/stairwell.com\/resources\/kuiper-ransomware-analysis-stairwells-technical-report\/\" target=\"_blank\">Kuiper<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/60440\/\" target=\"_blank\">mimus<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/coinmonks\/older-leaks-re-surfaces-lockbit-imitator-on-surface-web-2c85229a3cf7\" target=\"_blank\">SIN NOMBRE<\/a> han ganado terreno, siendo el primero un malware basado en Rust que se distribuye en forma de software fraudulento, como una herramienta falsa de activaci\u00f3n digital de Windows 10 y un programa de trampas para el juego Counter-Strike 2.<\/p>\n<p>Trellix, que examin\u00f3 las versiones de Kuiper para Windows, Linux y macOS a principios de este mes, atribuy\u00f3 el ransomware basado en Golang a un actor de amenazas llamado RobinHood, quien lo anunci\u00f3 por primera vez en foros clandestinos en septiembre de 2023.<\/p>\n<p>&#8220;La naturaleza centrada en la concurrencia de Golang beneficia al actor de amenazas aqu\u00ed, evitando condiciones de carrera y otros problemas comunes cuando se trata de m\u00faltiples hilos, que de otro modo habr\u00edan sido (casi) seguros&#8221;, dijo el investigador de seguridad Max Kersten. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trellix.com\/about\/newsroom\/stories\/research\/the-evolution-of-the-kuiper-ransomware\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706563653_893_Albabat-Kasseika-Kuiper-nuevas-bandas-de-ransomware-surgen-con-Rust.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706563653_893_Albabat-Kasseika-Kuiper-nuevas-bandas-de-ransomware-surgen-con-Rust.jpg\" alt=\"La seguridad cibern\u00e9tica\" border=\"0\" data-original-height=\"298\" data-original-width=\"728\" title=\"La seguridad cibern\u00e9tica\"\/><\/a><\/div>\n<p>&#8220;Otro factor que aprovecha el ransomware Kuiper, que tambi\u00e9n es una raz\u00f3n para la creciente popularidad de Golang, son las capacidades multiplataforma del lenguaje para crear compilaciones para una variedad de plataformas. Esta flexibilidad permite a los atacantes adaptar su c\u00f3digo con poco esfuerzo, especialmente desde el La mayor parte del c\u00f3digo base (es decir, la actividad relacionada con el cifrado) es Golang puro y no requiere reescritura para una plataforma diferente&#8221;.<\/p>\n<p>NONAME tambi\u00e9n destaca por el hecho de que su sitio de filtraci\u00f3n de datos imita al del grupo LockBit, lo que plantea la posibilidad de que sea otro LockBit o que recopile bases de datos filtradas compartidas por LockBit en el portal oficial de filtraci\u00f3n, investigador. <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/RakeshKrish12\" target=\"_blank\">Rakesh Krishnan<\/a> se\u00f1al\u00f3.<\/p>\n<p>Los hallazgos siguen un <a rel=\"nofollow noopener\" href=\"https:\/\/www.intrinsec.com\/threeam-ransomware\/\" target=\"_blank\">informe<\/a> de la empresa francesa de ciberseguridad Intrinsec que conect\u00f3 el naciente ransomware 3AM (tambi\u00e9n escrito ThreeAM) con el ransomware Royal\/BlackSuit, que, a su vez, surgi\u00f3 tras el cierre del sindicato de cibercrimen Conti en mayo de 2022.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Nuevo-JinxLoader-dirigido-a-usuarios-con-malware-Formbook-y-XLoader.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los v\u00ednculos surgen de una &#8220;superposici\u00f3n significativa&#8221; en t\u00e1cticas y canales de comunicaci\u00f3n entre el ransomware 3 AM y la &#8220;infraestructura compartida del ex nexo Conti-Ryuk-TrickBot&#8221;.<\/p>\n<p>Eso no es todo.  Se ha observado que los actores de ransomware utilizan una vez m\u00e1s TeamViewer como vector de acceso inicial para violar los entornos de destino e intentar implementar cifrados basados \u200b\u200ben el generador de ransomware LockBit, que <a rel=\"nofollow noopener\" href=\"https:\/\/www.huntress.com\/blog\/ransomware-deployment-attempts-via-teamviewer\" target=\"_blank\">filtrado<\/a> en septiembre de 2022.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706563655_626_Albabat-Kasseika-Kuiper-nuevas-bandas-de-ransomware-surgen-con-Rust.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1706563655_626_Albabat-Kasseika-Kuiper-nuevas-bandas-de-ransomware-surgen-con-Rust.jpg\" alt=\"La seguridad cibern\u00e9tica\" border=\"0\" data-original-height=\"414\" data-original-width=\"728\" title=\"La seguridad cibern\u00e9tica\"\/><\/a><\/div>\n<p>&#8220;Los actores de amenazas buscan cualquier medio disponible de acceso a puntos finales individuales para causar estragos y posiblemente extender su alcance m\u00e1s all\u00e1 de la infraestructura&#8221;, dijo la firma de ciberseguridad Huntress. <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.vmware.com\/security\/2022\/10\/lockbit-3-0-also-known-as-lockbit-black.html\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>En las \u00faltimas semanas, LockBit 3.0 tambi\u00e9n se ha distribuido en forma de archivos de Microsoft Word disfrazados de curr\u00edculums dirigidos a entidades en Corea del Sur, seg\u00fan el Centro de Inteligencia de Seguridad AhnLab (<a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/60633\/\" target=\"_blank\">UN SEGUNDO<\/a>).<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/albabat-kasseika-kuiper-new-ransomware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80229 de enero de 2024\ue804Sala de redacci\u00f3nRansomware\/malware Los investigadores de ciberseguridad han detectado en la naturaleza otra variante<\/p>\n","protected":false},"author":1,"featured_media":1158661,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,228007,4661,8019,4664,99,4662,78625,227186,117661,4668,201033,4654,201031,4659,4653,4655,2498,4883,6562,4666,4665,201032,21313,4660],"class_list":["post-1158660","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-albabat","tag-ataques-ciberneticos","tag-bandas","tag-como-hackear","tag-con","tag-filtracion-de-datos","tag-golang","tag-kasseika","tag-kuiper","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevas","tag-ransomware","tag-rust","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-surgen","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1158660","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1158660"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1158660\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1158661"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1158660"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1158660"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1158660"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}