{"id":1218751,"date":"2024-03-06T07:36:41","date_gmt":"2024-03-06T07:36:41","guid":{"rendered":"https:\/\/teknomers.com\/es\/alerta-ghostsec-y-stormous-lanzan-ataques-conjuntos-de-ransomware-en-mas-de-15-paises\/"},"modified":"2024-03-06T07:36:45","modified_gmt":"2024-03-06T07:36:45","slug":"alerta-ghostsec-y-stormous-lanzan-ataques-conjuntos-de-ransomware-en-mas-de-15-paises","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/alerta-ghostsec-y-stormous-lanzan-ataques-conjuntos-de-ransomware-en-mas-de-15-paises\/","title":{"rendered":"Alerta: GhostSec y Stormous lanzan ataques conjuntos de ransomware en m\u00e1s de 15 pa\u00edses"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

El grupo de cibercrimen llamado GhostSec ha sido vinculado a una variante Golang de una familia de ransomware llamada casillero fantasma<\/strong>.<\/p>\n

“Los grupos de ransomware TheGhostSec y Stormous est\u00e1n llevando a cabo conjuntamente ataques de ransomware de doble extorsi\u00f3n en varios sectores comerciales verticales en varios pa\u00edses”, Chetan Raghuprasad, investigador de Cisco Talos. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

“GhostLocker y Stormous ransomware han iniciado un nuevo programa de ransomware como servicio (RaaS) STMX_GhostLocker, que ofrece varias opciones para sus afiliados”.<\/p>\n

Los ataques organizados por el grupo han tenido como objetivo v\u00edctimas en Cuba, Argentina, Polonia, China, L\u00edbano, Israel, Uzbekist\u00e1n, India, Sud\u00e1frica, Brasil, Marruecos, Qatar, Turkiye, Egipto, Vietnam, Tailandia e Indonesia.<\/p>\n

Algunas de las verticales comerciales m\u00e1s afectadas incluyen tecnolog\u00eda, educaci\u00f3n, manufactura, gobierno, transporte, energ\u00eda, m\u00e9dico-legal, bienes ra\u00edces y telecomunicaciones.<\/p>\n

GhostSec \u2013 no confundir con Grupo de seguridad fantasma<\/a> (que tambi\u00e9n se llama GhostSec) \u2013 es parte de una coalici\u00f3n llamada Las cinco familias<\/a>que tambi\u00e9n incluye ThreatSec, Stormous, Blackforums y SiegedSec.<\/p>\n

\"La<\/a><\/center><\/div>\n

Se form\u00f3 en agosto de 2023 para “establecer una mejor unidad y conexiones para todos en el mundo subterr\u00e1neo de Internet, para expandir y hacer crecer nuestro trabajo y operaciones”.<\/p>\n

A finales del a\u00f1o pasado, el grupo contra el cibercrimen aventurado<\/a> en ransomware como servicio (RaaS) con GhostLocker, ofreci\u00e9ndolo a otros actores por 269,99 d\u00f3lares al mes. Poco despu\u00e9s, el grupo de ransomware Stormous anunci\u00f3 que utilizar\u00e1 ransomware basado en Python en sus ataques.<\/p>\n

Los \u00faltimos hallazgos de Talos muestran que los dos grupos se han unido no solo para atacar una amplia gama de sectores, sino tambi\u00e9n para lanzar una versi\u00f3n actualizada de GhostLocker en noviembre de 2023, as\u00ed como para iniciar un nuevo programa RaaS en 2024 llamado STMX_GhostLocker.<\/p>\n

“El nuevo programa se compone de tres categor\u00edas de servicios para los afiliados: pago, gratuito y otra para personas sin programa que s\u00f3lo quieren vender o publicar datos en su blog (servicio PYV)”, explic\u00f3 Raghuprasad.<\/p>\n

STMX_GhostLocker, que viene con su propio sitio de filtraci\u00f3n en la web oscura, enumera no menos de seis v\u00edctimas de India, Uzbekist\u00e1n, Indonesia, Polonia, Tailandia y Argentina.<\/p>\n

GhostLocker 2.0 (tambi\u00e9n conocido como GhostLocker V2) est\u00e1 escrito en Go y se ha anunciado como totalmente efectivo y que ofrece capacidades r\u00e1pidas de cifrado\/descifrado. Tambi\u00e9n viene con una nota de rescate renovada que insta a las v\u00edctimas a ponerse en contacto con ellos dentro de los siete d\u00edas o corren el riesgo de que se filtren sus datos robados.<\/p>\n

El esquema RaaS tambi\u00e9n permite a los afiliados rastrear sus operaciones, monitorear el estado de cifrado y los pagos a trav\u00e9s de un panel web. Tambi\u00e9n cuentan con un constructor que permite configurar la carga \u00fatil del casillero seg\u00fan sus preferencias, incluidos los directorios a cifrar y los procesos y servicios a finalizar antes de comenzar el proceso de cifrado.<\/p>\n

Una vez implementado, el ransomware establece conexi\u00f3n con un panel de comando y control (C2) y contin\u00faa con la rutina de cifrado, no sin antes eliminar los procesos o servicios definidos y filtrar archivos que coincidan con una lista espec\u00edfica de extensiones.<\/p>\n

\"La<\/a><\/center><\/div>\n

Talos dijo que descubri\u00f3 dos nuevas herramientas probablemente utilizadas por GhostSec para comprometer sitios leg\u00edtimos. “Uno de ellos es el ‘conjunto de herramientas GhostSec Deep Scan’ para escanear sitios web leg\u00edtimos de forma recursiva, y otro es una herramienta de pirateo para realizar ataques de secuencias de comandos entre sitios (XSS) llamada ‘GhostPresser'”, dijo Raghuprasad.<\/p>\n

GhostPresser est\u00e1 dise\u00f1ado principalmente para ingresar a sitios de WordPress, permitiendo a los actores de amenazas alterar la configuraci\u00f3n del sitio, agregar nuevos complementos y usuarios, e incluso instalar nuevos temas, lo que demuestra el compromiso de GhostSec con la evoluci\u00f3n de su arsenal.<\/p>\n

“El propio grupo ha afirmado que lo han utilizado en ataques a las v\u00edctimas, pero no tenemos ninguna manera de validar ninguna de esas afirmaciones. Esta herramienta probablemente ser\u00eda utilizada por los operadores de ransomware por una variedad de razones”, dijo Talos. Las noticias de los piratas inform\u00e1ticos.<\/p>\n

“La herramienta de escaneo profundo podr\u00eda aprovecharse para buscar formas de ingresar a las redes de las v\u00edctimas y la herramienta GhostPresser, adem\u00e1s de comprometer los sitios web de las v\u00edctimas, podr\u00eda usarse para preparar cargas \u00fatiles para su distribuci\u00f3n, si no quisieran utilizar la infraestructura del actor”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n