{"id":1410173,"date":"2024-10-23T23:25:37","date_gmt":"2024-10-23T23:25:37","guid":{"rendered":"https:\/\/teknomers.com\/es\/las-bandas-de-ransomware-utilizan-la-fama-de-lockbit-para-intimidar-a-las-victimas-en-los-ultimos-ataques\/"},"modified":"2024-10-23T23:25:42","modified_gmt":"2024-10-23T23:25:42","slug":"las-bandas-de-ransomware-utilizan-la-fama-de-lockbit-para-intimidar-a-las-victimas-en-los-ultimos-ataques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/las-bandas-de-ransomware-utilizan-la-fama-de-lockbit-para-intimidar-a-las-victimas-en-los-ultimos-ataques\/","title":{"rendered":"Las bandas de ransomware utilizan la fama de LockBit para intimidar a las v\u00edctimas en los \u00faltimos ataques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Las-bandas-de-ransomware-utilizan-la-fama-de-LockBit-para.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se ha observado que los actores de amenazas abusan de la funci\u00f3n de aceleraci\u00f3n de transferencia de Amazon S3 (Servicio de almacenamiento simple) como parte de ataques de ransomware dise\u00f1ados para exfiltrar datos de las v\u00edctimas y cargarlos en dep\u00f3sitos de S3 bajo su control.<\/p>\n<p>&#8220;Se intent\u00f3 disfrazar el ransomware Golang como el famoso ransomware LockBit&#8221;, afirman los investigadores de Trend Micro Jaromir Horejsi y Nitesh Surana <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/j\/fake-lockbit-real-damage-ransomware-samples-abuse-aws-s3-to-stea.html\" target=\"_blank\">dicho<\/a>. &#8220;Sin embargo, ese no es el caso, y el atacante s\u00f3lo parece estar aprovechando la notoriedad de LockBit para apretar a\u00fan m\u00e1s el lazo sobre sus v\u00edctimas&#8221;.<\/p>\n<p>Se ha descubierto que los artefactos de ransomware incorporan credenciales de Amazon Web Services (AWS) codificadas para facilitar la filtraci\u00f3n de datos a la nube, una se\u00f1al de que los adversarios est\u00e1n utilizando cada vez m\u00e1s a los proveedores de servicios de nube populares para esquemas maliciosos.<\/p>\n<p>Se presume que la cuenta de AWS utilizada en la campa\u00f1a es propia o est\u00e1 comprometida. Tras una divulgaci\u00f3n responsable al equipo de seguridad de AWS, las claves de acceso y las cuentas de AWS identificadas se suspendieron.<\/p>\n<p>Trend Micro dijo que detect\u00f3 m\u00e1s de 30 muestras con los ID de clave de acceso de AWS y las claves de acceso secretas integradas, lo que indica un desarrollo activo. El ransomware es capaz de atacar sistemas Windows y macOS.<\/p>\n<p>No se sabe exactamente c\u00f3mo se entrega el ransomware multiplataforma a un host de destino, pero una vez que se ejecuta, obtiene el identificador \u00fanico universal (UUID) de la m\u00e1quina y lleva a cabo una serie de pasos para generar la clave maestra necesaria para cifrar los archivos.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/saas-security-2024-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727895757_55_Aplicaciones-comerciales-falsas-se-dirigen-a-victimas-en-todo-el.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El paso de inicializaci\u00f3n es seguido por el atacante que enumera los directorios ra\u00edz y cifra los archivos que coinciden con una lista espec\u00edfica de extensiones, no sin antes filtrarlos a AWS a trav\u00e9s de S3 Transfer Acceleration (<a rel=\"nofollow noopener\" href=\"https:\/\/aws.amazon.com\/s3\/transfer-acceleration\/\" target=\"_blank\">S3TA<\/a>) para una transferencia de datos m\u00e1s r\u00e1pida.<\/p>\n<p>&#8220;Despu\u00e9s del cifrado, el nombre del archivo cambia seg\u00fan el siguiente formato: <original file=\"\" name=\"\">.<initialization vector=\"\">.abcd&#8221;, dijeron los investigadores. &#8220;Por ejemplo, el archivo text.txt pas\u00f3 a llamarse text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd&#8221;.<\/initialization><\/original><\/p>\n<p>En la etapa final, el ransomware cambia el fondo de pantalla del dispositivo para mostrar una imagen que menciona LockBit 2.0 en un probable intento de obligar a las v\u00edctimas a pagar.<\/p>\n<p>&#8220;Los actores de amenazas tambi\u00e9n podr\u00edan disfrazar su muestra de ransomware como otra variante m\u00e1s conocida p\u00fablicamente, y no es dif\u00edcil ver por qu\u00e9: la infamia de los ataques de ransomware de alto perfil presiona a\u00fan m\u00e1s a las v\u00edctimas para que sigan las \u00f3rdenes del atacante&#8221;, dijeron los investigadores.<\/p>\n<p>El desarrollo se produce cuando Gen Digital lanz\u00f3 un descifrador para una variante del ransomware Mallox que se detect\u00f3 en estado salvaje desde enero de 2023 hasta febrero de 2024 aprovechando una falla en el esquema criptogr\u00e1fico.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1729725936_648_Las-bandas-de-ransomware-utilizan-la-fama-de-LockBit-para.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1729725936_648_Las-bandas-de-ransomware-utilizan-la-fama-de-LockBit-para.png\" alt=\"ransomware\" border=\"0\" data-original-height=\"1119\" data-original-width=\"1407\" title=\"ransomware\"\/><\/a><\/div>\n<p>&#8220;Las v\u00edctimas del ransomware pueden restaurar sus archivos de forma gratuita si fueron atacadas por esta variante particular de Mallox&#8221;, afirma el investigador Ladislav Zezula <a rel=\"nofollow noopener\" href=\"https:\/\/www.gendigital.com\/blog\/news\/innovation\/decrypted-mallox-ransomware\" target=\"_blank\">dicho<\/a>. &#8220;La falla criptogr\u00e1fica se solucion\u00f3 alrededor de marzo de 2024, por lo que ya no es posible descifrar datos cifrados por las versiones posteriores del ransomware Mallox&#8221;.<\/p>\n<p>Cabe mencionar que se descubri\u00f3 que una filial de la operaci\u00f3n Mallox, tambi\u00e9n conocida como TargetCompany, utilizaba una versi\u00f3n ligeramente modificada del ransomware Kryptina, con nombre en c\u00f3digo Mallox v1.0, para violar los sistemas Linux.<\/p>\n<p>&#8220;Las variantes de Mallox derivadas de Kryptina son espec\u00edficas para afiliados y est\u00e1n separadas de otras variantes de Mallox para Linux que han surgido desde entonces, una indicaci\u00f3n de c\u00f3mo el panorama del ransomware ha evolucionado hasta convertirse en una colecci\u00f3n compleja de conjuntos de herramientas de polinizaci\u00f3n cruzada y bases de c\u00f3digo no lineales&#8221;. El investigador de SentinelOne, Jim Walter. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/kryptina-raas-from-unsellable-cast-off-to-enterprise-ransomware\/\" target=\"_blank\">anotado<\/a> a finales del mes pasado.<\/p>\n<p>ransomware <a rel=\"nofollow noopener\" href=\"https:\/\/www.security.com\/threat-intelligence\/ransomware-threat-level-remains-high\" target=\"_blank\">contin\u00faa<\/a> ser una amenaza importante, con 1.255 ataques reclamados en el tercer trimestre de 2024, frente a 1.325 en el trimestre anterior, seg\u00fan el an\u00e1lisis de Symantec de datos extra\u00eddos de sitios de fuga de ransomware.<\/p>\n<p>Microsoft, en su Informe de Defensa Digital para el per\u00edodo de un a\u00f1o comprendido entre junio de 2023 y junio de 2024, <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/security-insider\/intelligence-reports\/microsoft-digital-defense-report-2024\" target=\"_blank\">dicho<\/a> observ\u00f3 un aumento de 2,75 veces a\u00f1o tras a\u00f1o en encuentros vinculados a ransomware operados por humanos, mientras que el porcentaje de ataques que alcanzan la fase de cifrado real se ha triplicado en los \u00faltimos dos a\u00f1os.<\/p>\n<p>Algunos de los principales beneficiarios del declive de LockBit luego de una operaci\u00f3n internacional de aplicaci\u00f3n de la ley dirigida a su infraestructura en febrero de 2024 fueron RansomHub, Qilin (tambi\u00e9n conocido como Agenda) y Akira, el \u00faltimo de los cuales volvi\u00f3 a recurrir a t\u00e1cticas de doble extorsi\u00f3n despu\u00e9s de coquetear brevemente con la exfiltraci\u00f3n de datos. y ataques de extorsi\u00f3n solo a principios de 2024. <\/p>\n<p>&#8220;Durante este per\u00edodo, comenzamos a ver a los operadores de ransomware como servicio (RaaS) de Akira desarrollando una variante Rust de su cifrado ESXi, bas\u00e1ndose iterativamente en las funciones de la carga \u00fatil mientras se alejaban de C++ y experimentaban con diferentes t\u00e9cnicas de programaci\u00f3n&#8221;, Talos <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/akira-ransomware-continues-to-evolve\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-storytime-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727886513_963_CeranaKeeper-vinculada-a-China-apunta-al-sudeste-asiatico-con-filtracion.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los ataques que involucran a Akira tambi\u00e9n han aprovechado las credenciales de VPN comprometidas y las fallas de seguridad recientemente reveladas para infiltrarse en las redes, as\u00ed como escalar privilegios y moverse lateralmente dentro de entornos comprometidos como parte de los esfuerzos dise\u00f1ados para establecer un punto de apoyo m\u00e1s profundo.<\/p>\n<p>Algunas de las vulnerabilidades explotadas por los afiliados de Akira se enumeran a continuaci\u00f3n:<\/p>\n<p>&#8220;A lo largo de 2024, Akira se ha centrado en un n\u00famero significativo de v\u00edctimas, con una clara preferencia por organizaciones de los sectores de fabricaci\u00f3n y de servicios profesionales, cient\u00edficos y t\u00e9cnicos&#8221;, dijeron los investigadores de Talos James Nutland y Michael Szeliga.<\/p>\n<p>&#8220;Es posible que Akira est\u00e9 pasando del uso de la variante Akira v2 basada en Rust y regresando a TTP anteriores utilizando cifradores de Windows y Linux escritos en C++&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/10\/ransomware-gangs-use-lockbits-fame-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado que los actores de amenazas abusan de la funci\u00f3n de aceleraci\u00f3n de transferencia de Amazon<\/p>\n","protected":false},"author":1,"featured_media":1410174,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,8019,4664,12357,29658,246,201033,75193,36,4654,201031,4659,4653,4655,18,4883,246983,4665,246984,201032,1426,10365,1759,246982,4660],"class_list":["post-1410173","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-bandas","tag-como-hackear","tag-fama","tag-intimidar","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-lockbit","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-ransomware","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-ultimos","tag-utilizan","tag-victimas","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1410173","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1410173"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1410173\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1410174"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1410173"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1410173"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1410173"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}