{"id":1344106,"date":"2024-09-02T16:08:22","date_gmt":"2024-09-02T16:08:22","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-de-ransomware-ransomhub-ataca-a-210-victimas-en-sectores-criticos\/"},"modified":"2024-09-02T16:08:26","modified_gmt":"2024-09-02T16:08:26","slug":"el-grupo-de-ransomware-ransomhub-ataca-a-210-victimas-en-sectores-criticos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-de-ransomware-ransomhub-ataca-a-210-victimas-en-sectores-criticos\/","title":{"rendered":"El grupo de ransomware RansomHub ataca a 210 v\u00edctimas en sectores cr\u00edticos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/El-grupo-de-ransomware-RansomHub-ataca-a-210-victimas-en.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los actores de amenazas vinculados al grupo de ransomware RansomHub cifraron y exfiltraron datos de al menos 210 v\u00edctimas desde su creaci\u00f3n en febrero de 2024, dijo el gobierno de Estados Unidos.<\/p>\n<p>Las v\u00edctimas pertenecen a diversos sectores, incluidos el agua y las aguas residuales, la tecnolog\u00eda de la informaci\u00f3n, los servicios e instalaciones gubernamentales, la atenci\u00f3n sanitaria y la salud p\u00fablica, los servicios de emergencia, la alimentaci\u00f3n y la agricultura, los servicios financieros, las instalaciones comerciales, la fabricaci\u00f3n cr\u00edtica, el transporte y la infraestructura cr\u00edtica de comunicaciones.<\/p>\n<p>&#8220;RansomHub es una variante de ransomware como servicio, anteriormente conocida como Cyclops y Knight, que se ha establecido como un modelo de servicio eficiente y exitoso (recientemente atrajo a afiliados de alto perfil de otras variantes prominentes como LockBit y ALPHV)&#8221;, dijeron agencias gubernamentales. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/08\/29\/cisa-and-partners-release-advisory-ransomhub-ransomware\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Una variante de ransomware como servicio (RaaS) descendiente de Cyclops y Knight, la operaci\u00f3n de delito electr\u00f3nico ha atra\u00eddo afiliados de alto perfil de otras variantes prominentes como LockBit y ALPHV (tambi\u00e9n conocido como BlackCat) luego de una reciente ola de acciones de aplicaci\u00f3n de la ley.<\/p>\n<p>ZeroFox, en un an\u00e1lisis publicado a fines del mes pasado, dijo que la actividad de RansomHub como proporci\u00f3n de toda la actividad de ransomware observada por el proveedor de ciberseguridad est\u00e1 en una trayectoria ascendente, representando aproximadamente el 2% de todos los ataques en el primer trimestre de 2024, el 5,1% en el segundo trimestre y el 14,2% hasta ahora en el tercer trimestre.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-c-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Aproximadamente el 34% de los ataques de RansomHub se han dirigido a organizaciones en Europa, en comparaci\u00f3n con el 25% en todo el panorama de amenazas&#8221;, dijo la empresa. <a rel=\"nofollow noopener\" href=\"https:\/\/www.zerofox.com\/blog\/ransomhub-extortion-attacks-on-sharp-upward-trajectory\/\" target=\"_blank\">anotado<\/a>.<\/p>\n<p>Se sabe que el grupo emplea el modelo de doble extorsi\u00f3n para extraer datos y cifrar sistemas con el fin de extorsionar a las v\u00edctimas, a las que se les insta a ponerse en contacto con los operadores a trav\u00e9s de una URL exclusiva .onion. Las empresas atacadas que se niegan a acceder a la exigencia de rescate ven su informaci\u00f3n publicada en el sitio de filtraci\u00f3n de datos durante un per\u00edodo de entre tres y 90 d\u00edas.<\/p>\n<p>El acceso inicial a los entornos de las v\u00edctimas se facilita explotando vulnerabilidades de seguridad conocidas en Apache ActiveMQ (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-46604\" target=\"_blank\">CVE-2023-46604<\/a>), Centro de datos y servidor Atlassian Confluence (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-22515\" target=\"_blank\">CVE-2023-22515<\/a>), Citrix ADC (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-3519\" target=\"_blank\">CVE-2023-3519<\/a>), F5 BIG-IP (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-46747\" target=\"_blank\">CVE-2023-46747<\/a>), Fortinet FortiOS (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-27997\" target=\"_blank\">CVE-2023-27997<\/a>) y Fortinet FortiClientEMS (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-48788\" target=\"_blank\">CVE-2023-48788<\/a>) dispositivos, entre otros.<\/p>\n<p>Este paso es seguido por la realizaci\u00f3n de reconocimiento y escaneo de la red por parte de los afiliados mediante programas como AngryIPScanner, Nmap y otros m\u00e9todos de &#8220;living off-the-land&#8221; (LotL). Los ataques de RansomHub tambi\u00e9n implican la desactivaci\u00f3n del software antivirus mediante herramientas personalizadas para pasar desapercibidos.<\/p>\n<p>&#8220;Tras el acceso inicial, los afiliados de RansomHub crearon cuentas de usuario para persistencia, volvieron a habilitar cuentas deshabilitadas y usaron Mimikatz en sistemas Windows para recopilar credenciales. [T1003] y escalar privilegios al SISTEMA&#8221;, se lee en el aviso del gobierno estadounidense.<\/p>\n<p>&#8220;Los afiliados luego se movieron lateralmente dentro de la red a trav\u00e9s de m\u00e9todos que inclu\u00edan el Protocolo de Escritorio Remoto (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit u otros m\u00e9todos de comando y control (C2) ampliamente utilizados&#8221;.<\/p>\n<p>Otro aspecto notable de los ataques de RansomHub es el uso de cifrado intermitente para acelerar el proceso, con exfiltraci\u00f3n de datos observada a trav\u00e9s de herramientas como PuTTY, buckets de Amazon AWS S3, solicitudes HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit y otros m\u00e9todos.<\/p>\n<p>El desarrollo se produce cuando la Unidad 42 de Palo Alto Networks desvel\u00f3 las t\u00e1cticas asociadas con el ransomware ShinyHunters, al que rastrea como Bling Libra, destacando su cambio hacia la extorsi\u00f3n de las v\u00edctimas en lugar de su t\u00e1ctica tradicional de vender o publicar datos robados. El actor de amenazas <a rel=\"nofollow noopener\" href=\"https:\/\/www.wired.com\/story\/shinyhunters-hacking-group-data-breach-spree\/\" target=\"_blank\">Sali\u00f3 a la luz por primera vez<\/a> en 2020.<\/p>\n<p>&#8220;El grupo adquiere credenciales leg\u00edtimas, provenientes de repositorios p\u00fablicos, para obtener acceso inicial al entorno de Amazon Web Services (AWS) de una organizaci\u00f3n&#8221;, dijeron los investigadores de seguridad Margaret Zimmermann y Chandni Vaya. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/shinyhunters-ransomware-extortion\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Si bien los permisos asociados con las credenciales comprometidas limitaron el impacto de la violaci\u00f3n, Bling Libra se infiltr\u00f3 en el entorno de AWS de la organizaci\u00f3n y realiz\u00f3 operaciones de reconocimiento. El grupo de actores de amenazas utiliz\u00f3 herramientas como Amazon Simple Storage Service (S3) Browser y WinSCP para recopilar informaci\u00f3n sobre las configuraciones de los buckets de S3, acceder a los objetos de S3 y eliminar datos&#8221;.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Tambi\u00e9n sigue una evoluci\u00f3n significativa en los ataques de ransomware, que han ido m\u00e1s all\u00e1 del cifrado de archivos para emplear estrategias de extorsi\u00f3n complejas y multifac\u00e9ticas, empleando incluso esquemas de extorsi\u00f3n triples y cu\u00e1druples, seg\u00fan SOCRadar.<\/p>\n<p>&#8220;La triple extorsi\u00f3n aumenta la apuesta, amenazando con medios adicionales de interrupci\u00f3n m\u00e1s all\u00e1 del cifrado y la exfiltraci\u00f3n&#8221;, dijo la empresa. <a rel=\"nofollow noopener\" href=\"https:\/\/socradar.io\/the-ransomware-playbook-evolving-threats-and-defense-strategies-for-2024\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Esto podr\u00eda implicar llevar a cabo un ataque DDoS contra los sistemas de la v\u00edctima o extender amenazas directas a los clientes, proveedores u otros asociados de la v\u00edctima para causar m\u00e1s da\u00f1o operativo y de reputaci\u00f3n a aquellos que finalmente son el objetivo del plan de extorsi\u00f3n&#8221;.<\/p>\n<p>La extorsi\u00f3n cu\u00e1druple aumenta la apuesta al contactar a terceros que tienen relaciones comerciales con las v\u00edctimas y extorsionarlos, o amenazar a las v\u00edctimas con exponer datos de terceros para aumentar a\u00fan m\u00e1s la presi\u00f3n sobre la v\u00edctima para que pague.<\/p>\n<p>La naturaleza lucrativa de los modelos RaaS ha impulsado un aumento de nuevas variantes de ransomware como <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/allarich-ransomware\" target=\"_blank\">Allarich<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/new-file-less-ransomware-variant-cronus-discovered\" target=\"_blank\">Cronos<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/cybervolk-ransomware\" target=\"_blank\">CiberVolk<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/datablack-ransomware\" target=\"_blank\">Datos negros<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/blog\/deathgrip-raas-small-time-threat-actors-aim-high-with-lockbit-yashma-builders\/\" target=\"_blank\">Agarre mortal<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/hawk-eye-ransomware\" target=\"_blank\">Ojo de halc\u00f3n<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/insom-ransomware\" target=\"_blank\">Insom<\/a>Tambi\u00e9n ha llevado a los actores del Estado-naci\u00f3n iran\u00ed a <a rel=\"nofollow noopener\" href=\"https:\/\/www.tenable.com\/blog\/aa24-241a-joint-cybersecurity-advisory-on-iran-based-cyber-actors-targeting-us-organizations\" target=\"_blank\">colaborar<\/a> con grupos conocidos como NoEscape, RansomHouse y BlackCat a cambio de una parte de las ganancias il\u00edcitas.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/ransomhub-ransomware-group-targets-210.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los actores de amenazas vinculados al grupo de ransomware RansomHub cifraron y exfiltraron datos de al menos 210<\/p>\n","protected":false},"author":1,"featured_media":1344107,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4397,4661,4664,6215,2386,4667,239182,4654,239508,4658,4659,4653,243018,4883,37406,246983,4665,246984,1759,246982,239484],"class_list":["post-1344106","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataca","tag-ataques-ciberneticos","tag-como-hackear","tag-criticos","tag-grupo","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-ransomhub","tag-ransomware","tag-sectores","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-victimas","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1344106","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1344106"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1344106\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1344107"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1344106"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1344106"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1344106"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}