{"id":1403610,"date":"2024-10-19T09:42:36","date_gmt":"2024-10-19T09:42:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/crypt-ghouls-apunta-a-empresas-rusas-con-ataques-lockbit-3-0-y-babuk-ransomware\/"},"modified":"2024-10-19T09:42:42","modified_gmt":"2024-10-19T09:42:42","slug":"crypt-ghouls-apunta-a-empresas-rusas-con-ataques-lockbit-3-0-y-babuk-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/crypt-ghouls-apunta-a-empresas-rusas-con-ataques-lockbit-3-0-y-babuk-ransomware\/","title":{"rendered":"Crypt Ghouls apunta a empresas rusas con ataques LockBit 3.0 y Babuk Ransomware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 de octubre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad de la red\/violaci\u00f3n de datos<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Crypt-Ghouls-apunta-a-empresas-rusas-con-ataques-LockBit-30.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Un actor de amenazas incipiente conocido como <strong>Demonios de la cripta<\/strong> se ha relacionado con una serie de ataques cibern\u00e9ticos dirigidos a empresas y agencias gubernamentales rusas con ransomware con el doble objetivo de interrumpir las operaciones comerciales y las ganancias financieras.<\/p>\n<p>&#8220;El grupo analizado tiene un conjunto de herramientas que incluye utilidades como Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec y otras&#8221;, Kaspersky <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/crypt-ghouls-hacktivists-tools-overlap-analysis\/114217\/\" target=\"_blank\">dicho<\/a>. &#8220;Como carga \u00fatil final, el grupo utiliz\u00f3 los conocidos ransomware LockBit 3.0 y Babuk&#8221;.<\/p>\n<p>Las v\u00edctimas de los ataques maliciosos abarcan agencias gubernamentales, as\u00ed como empresas mineras, energ\u00e9ticas, financieras y minoristas ubicadas en Rusia.<\/p>\n<p>El proveedor ruso de ciberseguridad dijo que pudo identificar el vector de intrusi\u00f3n inicial solo en dos casos, en los que los actores de la amenaza aprovecharon las credenciales de inicio de sesi\u00f3n de un contratista para conectarse a los sistemas internos a trav\u00e9s de VPN.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/saas-security-2024-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727895757_55_Aplicaciones-comerciales-falsas-se-dirigen-a-victimas-en-todo-el.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Se dice que las conexiones VPN se originaron a partir de direcciones IP asociadas con la red de un proveedor de hosting ruso y la red de un contratista, lo que indica un intento de pasar desapercibido al convertir en armas las relaciones de confianza. Se cree que las redes de los contratistas se violan mediante servicios VPN o fallas de seguridad sin parches.<\/p>\n<p>A la fase de acceso inicial le sucede el uso de las utilidades NSSM y Localtonet para mantener el acceso remoto, con la explotaci\u00f3n posterior facilitada por herramientas como las siguientes:<\/p>\n<ul>\n<li>XenAllPasswordPro para recopilar datos de autenticaci\u00f3n<\/li>\n<li>Puerta trasera CobInt<\/li>\n<li>Mimikatz para extraer las credenciales de las v\u00edctimas<\/li>\n<li>dumper.ps1 para volcar tickets de Kerberos del cach\u00e9 LSA<\/li>\n<li>MiniDump para extraer las credenciales de inicio de sesi\u00f3n de la memoria de lsass.exe<\/li>\n<li>cmd.exe para copiar las credenciales almacenadas en los navegadores Google Chrome y Microsoft Edge<\/li>\n<li>PingCastle para reconocimiento de redes<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/poweradminllc\/PAExec\" target=\"_blank\">PAExec<\/a> para ejecutar comandos remotos<\/li>\n<li>Cualquier escritorio y <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/RedTeamPentesting\/resocks\" target=\"_blank\">calcetines<\/a> Proxy SOCKS5 para acceso remoto<\/li>\n<\/ul>\n<p>Los ataques terminan con el cifrado de los datos del sistema utilizando versiones disponibles p\u00fablicamente de LockBit 3.0 para Windows y Babuk para Linux\/ESXi, al mismo tiempo que se toman medidas para cifrar los datos presentes en la Papelera de reciclaje para inhibir la recuperaci\u00f3n.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-storytime-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727886513_963_CeranaKeeper-vinculada-a-China-apunta-al-sudeste-asiatico-con-filtracion.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Los atacantes dejan una nota de rescate con un enlace que contiene su identificaci\u00f3n en el servicio de mensajer\u00eda Session para contacto futuro&#8221;, dijo Kaspersky. &#8220;Se conectar\u00edan al servidor ESXi a trav\u00e9s de SSH, cargar\u00edan Babuk e iniciar\u00edan el proceso de cifrado de los archivos dentro de las m\u00e1quinas virtuales&#8221;.<\/p>\n<p>La elecci\u00f3n de herramientas e infraestructura de Crypt Ghouls en estos ataques se superpone con campa\u00f1as similares realizadas por otros grupos dirigidos a Rusia en los \u00faltimos meses, incluidos MorLock, BlackJack, Twelve, Shedding Zmiy (tambi\u00e9n conocido como ExCobalt).<\/p>\n<p>&#8220;Los ciberdelincuentes est\u00e1n aprovechando credenciales comprometidas, que a menudo pertenecen a subcontratistas, y herramientas populares de c\u00f3digo abierto&#8221;, afirm\u00f3 la empresa. &#8220;El conjunto de herramientas compartido utilizado en los ataques a Rusia hace que sea dif\u00edcil identificar los grupos hacktivistas espec\u00edficos involucrados&#8221;.<\/p>\n<p>&#8220;Esto sugiere que los actores actuales no s\u00f3lo comparten conocimientos sino tambi\u00e9n sus herramientas. Todo esto s\u00f3lo hace que sea m\u00e1s dif\u00edcil identificar actores maliciosos espec\u00edficos detr\u00e1s de la ola de ataques dirigidos a organizaciones rusas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/10\/crypt-ghouls-targets-russian-firms-with.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 de octubre de 2024\ue804Ravie LakshmananSeguridad de la red\/violaci\u00f3n de datos Un actor de amenazas incipiente conocido como<\/p>\n","protected":false},"author":1,"featured_media":1403611,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2490,2346,4661,162027,4664,99,258721,3581,258722,201033,75193,4654,201031,4659,4653,4655,4883,1351,246983,255454,246984,201032,246982,4660],"class_list":["post-1403610","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apunta","tag-ataques","tag-ataques-ciberneticos","tag-babuk","tag-como-hackear","tag-con","tag-crypt","tag-empresas","tag-ghouls","tag-las-noticias-de-los-piratas-informaticos","tag-lockbit","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ransomware","tag-rusas","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1403610","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1403610"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1403610\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1403611"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1403610"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1403610"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1403610"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}