Los actores de amenazas detr\u00e1s de un ataque de ransomware Qilin observado recientemente han robado credenciales almacenadas en los navegadores Google Chrome en un peque\u00f1o conjunto de puntos finales comprometidos.<\/p>\n
El uso de recolecci\u00f3n de credenciales en conexi\u00f3n con una infecci\u00f3n de ransomware marca un giro inusual y que podr\u00eda tener consecuencias en cadena, dijo la firma de ciberseguridad Sophos en un informe del jueves.<\/p>\n
El ataque, detectado en julio de 2024, implic\u00f3 la infiltraci\u00f3n en la red objetivo a trav\u00e9s de credenciales comprometidas para un portal VPN que carec\u00eda de autenticaci\u00f3n multifactor (MFA), y los actores de la amenaza realizaron acciones posteriores a la explotaci\u00f3n 18 d\u00edas despu\u00e9s de que tuvo lugar el acceso inicial.<\/p>\n
“Una vez que el atacante lleg\u00f3 al controlador de dominio en cuesti\u00f3n, edit\u00f3 la pol\u00edtica de dominio predeterminada para introducir un objeto de pol\u00edtica de grupo (GPO) basado en el inicio de sesi\u00f3n que conten\u00eda dos elementos”, dijeron los investigadores Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia y Robert Weiland. dicho<\/a>.<\/p>\n El primero de ellos es un script de PowerShell llamado “IPScanner.ps1” que est\u00e1 dise\u00f1ado para recopilar datos de credenciales almacenados en el navegador Chrome. El segundo elemento es un script por lotes (“logon.bat”) que se comunica con los comandos para ejecutar el primer script.<\/p>\n “El atacante dej\u00f3 este GPO activo en la red durante m\u00e1s de tres d\u00edas”, agregaron los investigadores.<\/p>\n “Esto proporcion\u00f3 una amplia oportunidad para que los usuarios iniciaran sesi\u00f3n en sus dispositivos y, sin saberlo, activaran el script de recolecci\u00f3n de credenciales en sus sistemas. Nuevamente, dado que todo esto se hizo mediante un GPO de inicio de sesi\u00f3n, cada usuario experimentar\u00eda esta suplantaci\u00f3n de credenciales cada vez que iniciara sesi\u00f3n”.<\/p>\n Luego, los atacantes extrajeron las credenciales robadas y tomaron medidas para borrar la evidencia de la actividad antes de cifrar los archivos y colocar la nota de rescate en cada directorio del sistema.<\/p>\n El robo de credenciales almacenadas en el navegador Chrome significa que los usuarios afectados ahora deben cambiar sus combinaciones de nombre de usuario y contrase\u00f1a para cada sitio de terceros.<\/p>\n “Como era de esperar, los grupos de ransomware contin\u00faan cambiando de t\u00e1ctica y ampliando su repertorio de t\u00e9cnicas”, dijeron los investigadores.<\/p>\n “Si ellos u otros atacantes han decidido tambi\u00e9n extraer credenciales almacenadas en los puntos finales (que podr\u00edan abrir la puerta a un objetivo posterior o grandes cantidades de informaci\u00f3n sobre objetivos de alto valor que se pueden explotar por otros medios), es posible que se haya abierto un nuevo y oscuro cap\u00edtulo en la historia actual del cibercrimen”.<\/p>\n El desarrollo se produce en un momento en que grupos de ransomware como El libertador loco<\/a> y Imitar<\/a> Se han observado ataques que utilizan solicitudes AnyDesk no solicitadas para la exfiltraci\u00f3n de datos y que aprovechan servidores Microsoft SQL expuestos a Internet para el acceso inicial, respectivamente.<\/p>\n Los ataques de Mad Liberator se caracterizan adem\u00e1s por el abuso por parte de los actores de amenazas del acceso para transferir y ejecutar un binario llamado “Microsoft Windows Update” que muestra una pantalla de presentaci\u00f3n falsa de Windows Update a la v\u00edctima para dar la impresi\u00f3n de que se est\u00e1n instalando actualizaciones de software mientras se saquean los datos.<\/p>\n El Abuso de herramientas leg\u00edtimas de escritorio remoto<\/a>a diferencia del malware personalizado, ofrece a los atacantes el disfraz perfecto para camuflar sus actividades maliciosas a simple vista, lo que les permite mezclarse con el tr\u00e1fico normal de la red y evadir la detecci\u00f3n.<\/p>\n El ransomware sigue siendo una actividad rentable para los ciberdelincuentes a pesar de una serie de acciones de aplicaci\u00f3n de la ley, y se prev\u00e9 que 2024 sea el a\u00f1o de mayores ingresos hasta la fecha. El a\u00f1o tambi\u00e9n vio el El pago m\u00e1s grande por ransomware<\/a> alguna vez registrado en aproximadamente $ 75 millones al grupo de ransomware Dark Angels.<\/p>\n “El pago de rescate medio por las cepas de ransomware m\u00e1s severas se ha disparado desde poco menos de 200.000 d\u00f3lares a principios de 2023 a 1,5 millones de d\u00f3lares a mediados de junio de 2024, lo que sugiere que estas cepas est\u00e1n priorizando el ataque a empresas m\u00e1s grandes y proveedores de infraestructura cr\u00edtica que pueden tener m\u00e1s probabilidades de pagar rescates elevados debido a sus bolsillos profundos y su importancia sist\u00e9mica”, afirma la firma de an\u00e1lisis blockchain Chainalysis dicho<\/a>.<\/p>\n Se estima que las v\u00edctimas de ransomware pagaron 459,8 millones de d\u00f3lares a los cibercriminales en el primer semestre del a\u00f1o, frente a los 449,1 millones de d\u00f3lares del a\u00f1o anterior. Sin embargo, el total de eventos de pago de ransomware medidos en cadena ha disminuido un 27,29 % interanual, lo que indica una ca\u00edda en las tasas de pago.<\/p>\n Adem\u00e1s, los grupos de amenaza de habla rusa contabilizado<\/a> al menos el 69% de todos los ingresos en criptomonedas vinculados al ransomware durante el a\u00f1o anterior, superando los 500 millones de d\u00f3lares.<\/p>\n Seg\u00fan los datos compartidos por NCC Group, el n\u00famero de ataques de ransomware observados en julio de 2024 aument\u00f3 mes a mes de 331 a 395, pero por debajo de los 502 registrados el a\u00f1o pasado. Las familias de ransomware m\u00e1s activas fueron RansomHub, LockBit y Akira. Los sectores que fueron atacados con mayor frecuencia incluyen el industrial, el de consumo c\u00edclico y el hotelero y el de entretenimiento.<\/p>\n Las organizaciones industriales son una objetivo lucrativo para grupos de ransomware<\/a> debido a la naturaleza cr\u00edtica de sus operaciones y al alto impacto de las interrupciones, lo que aumenta la probabilidad de que las v\u00edctimas puedan pagar el monto del rescate exigido por los atacantes. <\/p>\n “Los delincuentes se concentran donde pueden causar m\u00e1s dolor y perturbaciones, por lo que el p\u00fablico exigir\u00e1 resoluciones r\u00e1pidas y, esperan, pagos de rescate para restablecer los servicios m\u00e1s r\u00e1pidamente”. dicho<\/a> Chester Wisniewski, director global de tecnolog\u00eda de campo en Sophos.<\/p>\n “Esto convierte a las empresas de servicios p\u00fablicos en objetivos principales de los ataques de ransomware. Debido a las funciones esenciales que brindan, la sociedad moderna exige que se recuperen r\u00e1pidamente y con una interrupci\u00f3n m\u00ednima”.<\/p>\n Los ataques de ransomware dirigidos al sector casi se duplicaron en el segundo trimestre de 2024 en comparaci\u00f3n con el primer trimestre, de 169 a 312 incidentes por a\u00f1o. Dragos<\/a>La mayor\u00eda de los ataques se produjeron en Am\u00e9rica del Norte (187), seguida de Europa (82), Asia (29) y Am\u00e9rica del Sur (6).<\/p>\n “Los actores de ransomware est\u00e1n programando estrat\u00e9gicamente sus ataques para que coincidan con los per\u00edodos pico de vacaciones en algunas regiones para maximizar las interrupciones y presionar a las organizaciones para que paguen”, NCC Group dicho<\/a>.<\/p>\n Malwarebytes, en su propio informe sobre el estado del ransomware en 2024, Destacado<\/a> tres tendencias en t\u00e1cticas de ransomware durante el a\u00f1o pasado, incluido un aumento en los ataques durante los fines de semana y las primeras horas de la ma\u00f1ana entre la 1 a. m. y las 5 a. m., y una reducci\u00f3n en el tiempo desde el acceso inicial hasta el cifrado.<\/p>\n Otro cambio notable es la mayor explotaci\u00f3n de los servicios de borde y la focalizaci\u00f3n en las peque\u00f1as y medianas empresas, WithSecure dicho<\/a>adem\u00e1s, el desmantelamiento de LockBit y ALPHV (tambi\u00e9n conocido como BlackCat) ha provocado una erosi\u00f3n de la confianza dentro de la comunidad cibercriminal, lo que ha provocado que los afiliados se alejen de las principales marcas.<\/p>\n De hecho, Coveware dicho<\/a> M\u00e1s del 10% de los incidentes manejados por la empresa en el segundo trimestre de 2024 no ten\u00edan ninguna afiliaci\u00f3n, lo que significa que fueron “atribuidos a atacantes que operaban deliberadamente de forma independiente de una marca espec\u00edfica y lo que normalmente llamamos ‘lobos solitarios'”.<\/p>\n “Los continuos cierres de foros y mercados de cibercriminales acortaron el ciclo de vida de los sitios delictivos, ya que los administradores de los sitios intentan evitar llamar la atenci\u00f3n de las fuerzas del orden”, dijo Europol. dicho<\/a> en una evaluaci\u00f3n publicada el mes pasado.<\/p>\n “Esta incertidumbre, combinada con un aumento de las estafas de salida, ha contribuido a la continua fragmentaci\u00f3n de los mercados delictivos. Las recientes operaciones de LE y la filtraci\u00f3n de c\u00f3digos fuente de ransomware (por ejemplo, Conti, LockBit y HelloKitty) han provocado una fragmentaci\u00f3n de los grupos de ransomware activos y las variantes disponibles”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Nuevo-ataque-del-ransomware-Qilin-usa-credenciales-de-VPN-y.png\")
<\/a><\/center><\/div>\nTendencias en constante evoluci\u00f3n en el ransomware<\/h2>\n
<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n<\/a><\/div>\n