{"id":1580862,"date":"2025-02-14T23:56:17","date_gmt":"2025-02-14T23:56:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/ransomhub-se-convierte-en-el-grupo-de-ransomware-superior-de-2024-llegando-a-mas-de-600-organizaciones-a-nivel-mundial\/"},"modified":"2025-02-14T23:56:22","modified_gmt":"2025-02-14T23:56:22","slug":"ransomhub-se-convierte-en-el-grupo-de-ransomware-superior-de-2024-llegando-a-mas-de-600-organizaciones-a-nivel-mundial","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ransomhub-se-convierte-en-el-grupo-de-ransomware-superior-de-2024-llegando-a-mas-de-600-organizaciones-a-nivel-mundial\/","title":{"rendered":"RansomHub se convierte en el grupo de ransomware superior de 2024, llegando a m\u00e1s de 600 organizaciones a nivel mundial"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Se han observado que los actores de amenaza detr\u00e1s del esquema Ransomhub Ransomware-as-a-Service (RAAS) aprovechan fallas de seguridad ahora parchadas en Microsoft Active Directory y el Protocolo de Netlogon para aumentar los privilegios y obtener acceso no autorizado al controlador de dominio de una red v\u00edctima como parte del de Su estrategia posterior a la compromiso.<\/p>\n

“RansomHub ha dirigido a m\u00e1s de 600 organizaciones a nivel mundial, que abarcan sectores como la atenci\u00f3n m\u00e9dica, las finanzas, el gobierno y la infraestructura cr\u00edtica, estableci\u00e9ndola firmemente como el grupo de ransomware m\u00e1s activo en 2024”, analistas del grupo IB dicho<\/a> En un informe exhaustivo publicado esta semana.<\/p>\n

El Grupo de Ransomware surgi\u00f3 por primera vez en febrero de 2024, adquiriendo el c\u00f3digo fuente asociado con la ahora desaparecida pandilla Raas del Caballero (anteriormente Cyclops) del Foro de delitos Cibern\u00e9ticos para acelerar sus operaciones. Aproximadamente cinco meses despu\u00e9s, se anunci\u00f3 una versi\u00f3n actualizada del casillero en el mercado il\u00edcito con capacidades para cifrar datos de forma remota a trav\u00e9s del protocolo SFTP.<\/p>\n

Viene en m\u00faltiples variantes que son capaces de encriptar archivos en Windows, VMware ESXI y servidores SFTP. Tambi\u00e9n se ha observado que RansomHub recluta activamente afiliados de los grupos Lockbit y BlackCat como parte de un programa de asociaci\u00f3n, lo que indica un intento de capitalizar las acciones de aplicaci\u00f3n de la ley dirigida a sus rivales.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

En el incidente analizado por la compa\u00f1\u00eda de ciberseguridad de Singapur, se dice que el actor de amenaza ha intentado sin \u00e9xito explotar una falla cr\u00edtica que afecta a los dispositivos PAN-OS de Palo Alto Networks (CVE-2024-3400) utilizando una prueba de concepci\u00f3n disponible p\u00fablicamente (POC (POC POC-POC (POC POC POC (POC POC POC (POC POCO ), antes de violar la red de v\u00edctimas por medio de un ataque de fuerza bruta contra el servicio VPN.<\/p>\n

“Este intento de fuerza bruta se bas\u00f3 en un diccionario enriquecido de m\u00e1s de 5,000 nombres de usuario y contrase\u00f1as”, dijeron los investigadores. “El atacante finalmente obtuvo acceso a trav\u00e9s de una cuenta predeterminada utilizada con frecuencia en las soluciones de respaldo de datos, y el per\u00edmetro finalmente se viol\u00f3”.<\/p>\n

Luego se abus\u00f3 del acceso inicial para llevar a cabo el ataque de ransomware, con cifrado de datos y exfiltraci\u00f3n dentro de las 24 horas posteriores al compromiso.<\/p>\n

Particularmente, implic\u00f3 la arma de dos fallas de seguridad conocidas en Active Directory (CVE-2021-42278, tambi\u00e9n conocido como NOPAC) y el Protocolo de Netlogon (CVE-2020-1472 AKA Zer\u00f3logo<\/a>) para apoderarse del control del controlador de dominio y realizar un movimiento lateral a trav\u00e9s de la red.<\/p>\n

\"\"<\/a><\/div>\n

“La explotaci\u00f3n de las vulnerabilidades mencionadas anteriormente permiti\u00f3 al atacante obtener acceso privilegiado total al controlador de dominio, que es el centro nervioso de una infraestructura basada en Microsoft Windows”, dijeron los investigadores.<\/p>\n

“Despu\u00e9s de la finalizaci\u00f3n de las operaciones de exfiltraci\u00f3n, el atacante prepar\u00f3 el entorno para la fase final del ataque. El atacante oper\u00f3 para hacer todos los datos de la compa\u00f1\u00eda, guardados en los diversos NA, completamente ilegibles e inaccesibles, as\u00ed como inexisibles para restaurar, con El objetivo de obligar a la v\u00edctima a pagar el rescate para recuperar sus datos “.<\/p>\n

Otro aspecto notable del ataque es el uso de Pchunter para detener y evitar soluciones de seguridad de punto final, as\u00ed como Filezilla para la exfiltraci\u00f3n de datos.<\/p>\n

“Los or\u00edgenes del grupo Ransomhub, sus operaciones ofensivas y sus caracter\u00edsticas superpuestas con otros grupos confirman la existencia de un ecosistema de delito cibern\u00e9tico v\u00edvido”, dijeron los investigadores.<\/p>\n

“Este entorno prospera en el intercambio, la reutilizaci\u00f3n y el cambio de marca de las herramientas y los c\u00f3digos de origen, alimentando un mercado subterr\u00e1neo robusto donde las v\u00edctimas de alto perfil, los grupos infames y las sumas sustanciales de dinero juegan roles centrales”.<\/p>\n

El desarrollo se produce cuando la firma de ciberseguridad detall\u00f3 el funcionamiento interno de un “operador RAAS formidable” conocido como Lynx, arrojando luz sobre su flujo de trabajo afiliado, su arsenal de ransomware multiplataforma para los entornos de Windows, Linux y ESXI, y modos de cifrado personalizables.<\/p>\n

Un an\u00e1lisis de las versiones de Windows y Linux del ransomware muestra que se parece mucho al ransomware Inc, lo que indica que los actores de amenaza probablemente adquirieron el c\u00f3digo fuente de este \u00faltimo.<\/p>\n

“Los afiliados se incentivan con una participaci\u00f3n del 80% de los ingresos de rescate, lo que refleja una estrategia competitiva impulsada por el reclutamiento”, ” dicho<\/a>. “Lynx recientemente agreg\u00f3 modos de cifrado m\u00faltiple: ‘r\u00e1pido’, ‘medio’, ‘lento’ y ‘completo’, dando a los afiliados la libertad de ajustar la compensaci\u00f3n entre la velocidad y la profundidad del cifrado de archivos”.<\/p>\n

“Las publicaciones de reclutamiento del grupo en foros subterr\u00e1neos enfatizan un estricto proceso de verificaci\u00f3n para pentesteros y equipos de intrusi\u00f3n calificados, destacando el \u00e9nfasis de Lynx en la seguridad operativa y el control de calidad. Tambi\u00e9n ofrecen ‘centros de llamadas’ para acosar v\u00edctimas y soluciones de almacenamiento avanzadas para afiliados que constantemente ofrecen una constancia rentable. resultados.”<\/p>\n

\"Ransomware<\/a><\/div>\n

En las \u00faltimas semanas, tambi\u00e9n se han observado ataques con motivaci\u00f3n financiera utilizando el malware Phorpiex (tambi\u00e9n conocido como Trik) Botnet propagado a trav\u00e9s de correos electr\u00f3nicos de phishing para entregar el ransomware Lockbit.<\/p>\n

“A diferencia de los incidentes de ransomware de Lockbit pasados, los actores de amenaza confiaron en Phorpiex para entregar y ejecutar ransomware Lockbit”, Cyberazon anotado<\/a> en un an\u00e1lisis. “Esta t\u00e9cnica es \u00fanica ya que la implementaci\u00f3n de ransomware generalmente consiste en operadores humanos que realizan el ataque”.<\/p>\n

Otro vector de infecci\u00f3n inicial significativo se refiere a la explotaci\u00f3n de los electrodom\u00e9sticos VPN no parpados (por ejemplo, CVE-2021-20038) para obtener acceso a dispositivos y hosts de red internos y, en \u00faltima instancia, implementar el ransomware de casilleros Abyss.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Los ataques tambi\u00e9n se caracterizan por el uso de herramientas de t\u00faneles para mantener la persistencia, as\u00ed como el apalancamiento de traer sus propias t\u00e9cnicas de conductor vulnerable (BYOVD) para deshabilitar los controles de protecci\u00f3n de puntos finales.<\/p>\n

“Despu\u00e9s de obtener acceso al entorno y realizar el reconocimiento, estas herramientas de t\u00fanel se implementan estrat\u00e9gicamente en dispositivos de red cr\u00edticos, incluidos hosts ESXi, hosts de Windows, electrodom\u00e9sticos VPN y dispositivos de almacenamiento adjunto (NAS)”, Investigadores de Sygnia dicho<\/a>.<\/p>\n

\"Ransomware<\/a><\/div>\n

“Al atacar estos dispositivos, los atacantes aseguran canales de comunicaci\u00f3n robustos y confiables para mantener el acceso y orquestar sus actividades maliciosas en la red comprometida”.<\/p>\n

El panorama de ransomware, dirigido por Actores de amenaza nuevos y viejos<\/a> – Contin\u00faa permaneciendo en un estado de flujo, con ataques que giran desde el cifrado tradicional hasta el robo de datos y la extorsi\u00f3n, incluso cuando las v\u00edctimas se niegan cada vez m\u00e1s a pagar, lo que lleva a una disminuci\u00f3n de los pagos en 2024.<\/p>\n

“Grupos como Ransomhub y Akira ahora incentivan los datos robados con grandes recompensas, lo que hace que estas t\u00e1cticas sean bastante lucrativas”, la firma de ciberseguridad Huntress dicho<\/a>.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n