{"id":1534386,"date":"2025-01-16T08:02:48","date_gmt":"2025-01-16T08:02:48","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-basado-en-python-impulsa-el-ransomware-ransomhub-para-explotar-las-fallas-de-la-red\/"},"modified":"2025-01-16T08:02:53","modified_gmt":"2025-01-16T08:02:53","slug":"el-malware-basado-en-python-impulsa-el-ransomware-ransomhub-para-explotar-las-fallas-de-la-red","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-basado-en-python-impulsa-el-ransomware-ransomhub-para-explotar-las-fallas-de-la-red\/","title":{"rendered":"El malware basado en Python impulsa el ransomware RansomHub para explotar las fallas de la red"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 de enero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad de terminales\/ransomware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/El-malware-basado-en-Python-impulsa-el-ransomware-RansomHub-para.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad detallaron un ataque que involucr\u00f3 a un actor de amenazas que utiliz\u00f3 una puerta trasera basada en Python para mantener el acceso persistente a los puntos finales comprometidos y luego aprovech\u00f3 este acceso para implementar el ransomware RansomHub en toda la red objetivo.<\/p>\n<p>De acuerdo a <a rel=\"noopener nofollow\" href=\"https:\/\/www.guidepointsecurity.com\/blog\/ransomhub-affiliate-leverage-python-based-backdoor\/\" target=\"_blank\">Seguridad de GuidePoint<\/a>se dice que el acceso inicial fue facilitado mediante un malware JavaScript descargado llamado SocGholish (tambi\u00e9n conocido como FakeUpdates), que se sabe que es <a rel=\"noopener nofollow\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/part-1-socgholish-very-real-threat-very-fake-update\" target=\"_blank\">repartido<\/a> a trav\u00e9s de campa\u00f1as encubiertas que enga\u00f1an a los usuarios desprevenidos para que descarguen actualizaciones falsas del navegador web.<\/p>\n<p>Estos ataques com\u00fanmente <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sucuri.net\/2024\/06\/socgholish-malware.html\" target=\"_blank\">involucrar<\/a> el uso de sitios web leg\u00edtimos pero infectados a los que se redirige a las v\u00edctimas desde los resultados de los motores de b\u00fasqueda utilizando t\u00e9cnicas de optimizaci\u00f3n de motores de b\u00fasqueda (SEO) de sombrero negro. Tras la ejecuci\u00f3n, SocGholish establece contacto con un servidor controlado por un atacante para recuperar cargas \u00fatiles secundarias.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Tan recientemente como el a\u00f1o pasado, las campa\u00f1as de SocGholish han <a rel=\"noopener nofollow\" href=\"https:\/\/mediatrust.com\/blog\/socgholish-driveby-download-compromised-landing-page\/\" target=\"_blank\">dirigido<\/a> Sitios de WordPress que dependen de versiones obsoletas de complementos de SEO populares como Yoast (<a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-4984\" target=\"_blank\">CVE-2024-4984<\/a>puntuaci\u00f3n CVSS: 6,4) y Rank Math PRO (<a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-3665\" target=\"_blank\">CVE-2024-3665<\/a>puntuaci\u00f3n CVSS: 6,4) para acceso inicial.<\/p>\n<p>En el incidente investigado por GuidePoint Security, se descubri\u00f3 que la puerta trasera de Python se hab\u00eda eliminado unos 20 minutos despu\u00e9s de la infecci\u00f3n inicial a trav\u00e9s de SocGholish. Luego, el actor de amenazas procedi\u00f3 a entregar la puerta trasera a otras m\u00e1quinas ubicadas en la misma red durante el movimiento lateral a trav\u00e9s de sesiones RDP.<\/p>\n<p>&#8220;Funcionalmente, el script es un proxy inverso que se conecta a una direcci\u00f3n IP codificada. Una vez que el script ha pasado el protocolo de enlace inicial de comando y control (C2), establece un t\u00fanel que se basa en gran medida en el protocolo SOCKS5&#8221;. dijo el investigador de seguridad Andrew Nelson.<\/p>\n<p>&#8220;Este t\u00fanel permite al actor de amenazas moverse lateralmente en la red comprometida utilizando el sistema de la v\u00edctima como proxy&#8221;.<\/p>\n<p>El script Python, cuya versi\u00f3n anterior fue <a rel=\"noopener nofollow\" href=\"https:\/\/www.reliaquest.com\/blog\/new-python-socgholish-infection-chain\/\" target=\"_blank\">documentado<\/a> por ReliaQuest en febrero de 2024, ha sido detectado en estado salvaje desde principios de diciembre de 2023, mientras sufre &#8220;cambios a nivel de superficie&#8221; que tienen como objetivo mejorar los m\u00e9todos de ofuscaci\u00f3n utilizados para evitar la detecci\u00f3n.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1737014568_943_El-malware-basado-en-Python-impulsa-el-ransomware-RansomHub-para.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1737014568_943_El-malware-basado-en-Python-impulsa-el-ransomware-RansomHub-para.png\" alt=\"\" border=\"0\" data-original-height=\"222\" data-original-width=\"944\"\/><\/a><\/div>\n<p>GuidePoint tambi\u00e9n se\u00f1al\u00f3 que el script decodificado est\u00e1 pulido y bien escrito, lo que indica que el autor del malware es meticuloso a la hora de mantener un c\u00f3digo Python altamente legible y comprobable o depende de herramientas de inteligencia artificial (IA) para ayudar con la tarea de codificaci\u00f3n.<\/p>\n<p>&#8220;Con la excepci\u00f3n de la ofuscaci\u00f3n de variables locales, el c\u00f3digo se divide en clases distintas con nombres de m\u00e9todos y variables altamente descriptivos&#8221;, a\u00f1adi\u00f3 Nelson. &#8220;Cada m\u00e9todo tambi\u00e9n tiene un alto grado de manejo de errores y mensajes de depuraci\u00f3n detallados&#8221;.<\/p>\n<p>La puerta trasera basada en Python est\u00e1 lejos de ser el \u00fanico precursor detectado en los ataques de ransomware. Como destac\u00f3 Halcyon a principios de este mes, algunas de las otras herramientas <a rel=\"nofollow noopener\" href=\"https:\/\/www.halcyon.ai\/blog\/halcyon-threat-insights-012-january-2025-ransomware-report\" target=\"_blank\">desplegado<\/a> antes de la implementaci\u00f3n del ransomware se incluyen los responsables de:<\/p>\n<ul>\n<li aria-level=\"1\">Deshabilitar las soluciones de detecci\u00f3n y respuesta de endpoints (EDR) mediante EDRSilencer y Backstab<\/li>\n<li aria-level=\"1\">Robar credenciales usando LaZagne<\/li>\n<li aria-level=\"1\">Comprometer cuentas de correo electr\u00f3nico mediante credenciales de fuerza bruta usando MailBruter<\/li>\n<li aria-level=\"1\">Mantener un acceso sigiloso y entregar cargas \u00fatiles adicionales utilizando Sirefef y <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/mediyes-the-dropper-with-a-valid-signature-8\/32397\/\" target=\"_blank\">Mediyes<\/a><\/li>\n<\/ul>\n<p>Tambi\u00e9n se han observado campa\u00f1as de ransomware dirigidas a dep\u00f3sitos de Amazon S3 aprovechando el cifrado del lado del servidor de Amazon Web Services con claves proporcionadas por el cliente (<a rel=\"nofollow noopener\" href=\"https:\/\/docs.aws.amazon.com\/AmazonS3\/latest\/userguide\/ServerSideEncryptionCustomerKeys.html\" target=\"_blank\">SSE-C<\/a>) para cifrar los datos de la v\u00edctima. La actividad se ha atribuido a un actor de amenazas denominado Codefinger.<\/p>\n<p>Adem\u00e1s de impedir la recuperaci\u00f3n sin la clave generada, los ataques emplean t\u00e1cticas de rescate urgentes en las que los archivos se marcan para su eliminaci\u00f3n en un plazo de siete d\u00edas a trav\u00e9s de la API de gesti\u00f3n del ciclo de vida de objetos de S3 para presionar a las v\u00edctimas para que paguen.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/itdr-guide-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1735735832_165_Entidades-iranies-y-rusas-sancionadas-por-interferencia-electoral-utilizando-inteligencia.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;El actor de amenazas Codefinger abusa de las claves de AWS divulgadas p\u00fablicamente con permisos para escribir y leer objetos S3&#8221;, Halcyon <a rel=\"nofollow noopener\" href=\"https:\/\/www.halcyon.ai\/blog\/abusing-aws-native-services-ransomware-encrypting-s3-buckets-with-sse-c\" target=\"_blank\">dicho<\/a>. &#8220;Al utilizar los servicios nativos de AWS, logran el cifrado de una manera segura e irrecuperable sin su cooperaci\u00f3n&#8221;.<\/p>\n<p>El desarrollo se produce cuando SlashNext dijo que ha sido testigo de un aumento en las campa\u00f1as de phishing &#8220;r\u00e1pidas&#8221; que imitan la t\u00e9cnica de bombardeo de correo electr\u00f3nico del equipo de ransomware Black Basta para inundar las bandejas de entrada de las v\u00edctimas con m\u00e1s de 1,100 mensajes leg\u00edtimos relacionados con boletines informativos o avisos de pago.<\/p>\n<p>&#8220;Luego, cuando la gente se siente abrumada, los atacantes atacan a trav\u00e9s de llamadas telef\u00f3nicas o mensajes de Microsoft Teams, haci\u00e9ndose pasar por soporte t\u00e9cnico de la empresa con una soluci\u00f3n simple&#8221;, dijo la compa\u00f1\u00eda. <a rel=\"nofollow noopener\" href=\"https:\/\/slashnext.com\/blog\/inside-90-minute-attack-breaking-ground-with-all-new-ai-defeating-black-basta-tactics\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Hablan con confianza para ganarse la confianza, indicando a los usuarios que instalen software de acceso remoto como TeamViewer o AnyDesk. Una vez que el software est\u00e1 en un dispositivo, los atacantes se introducen silenciosamente. Desde all\u00ed, pueden difundir programas da\u00f1inos o infiltrarse en otras \u00e1reas del sistema. red, despejando el camino directo a los datos confidenciales&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/01\/python-based-malware-powers-ransomhub.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 de enero de 2025\ue804Ravie LakshmananSeguridad de terminales\/ransomware Los investigadores de ciberseguridad detallaron un ataque que involucr\u00f3 a<\/p>\n","protected":false},"author":1,"featured_media":1534387,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,19772,4664,5796,3233,14047,246,201033,4669,4654,201031,4659,4653,4655,18,39018,243018,4883,2770,246983,255454,246984,201032,246982,4660],"class_list":["post-1534386","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-basado","tag-como-hackear","tag-explotar","tag-fallas","tag-impulsa","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-python","tag-ransomhub","tag-ransomware","tag-red","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1534386","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1534386"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1534386\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1534387"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1534386"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1534386"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1534386"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}