Los sistemas Windows y Linux est\u00e1n siendo atacados por una variante de ransomware llamada HelloXD, y las infecciones tambi\u00e9n implican la implementaci\u00f3n de una puerta trasera para facilitar el acceso remoto persistente a los hosts infectados.<\/p>\n
“A diferencia de otros grupos de ransomware, esta familia de ransomware no tiene un sitio de fuga activo; en su lugar, prefiere dirigir a la v\u00edctima afectada a las negociaciones a trav\u00e9s de charla toxicol\u00f3gica<\/a> e instancias de mensajer\u00eda basadas en cebolla”, Daniel Bunce y Doel Santos, investigadores de seguridad de Palo Alto Networks Unit 42, dijo<\/a> en un nuevo escrito.<\/p>\n HolaXD<\/a> apareci\u00f3 en la naturaleza el 30 de noviembre de 2021 y se basa en el c\u00f3digo filtrado de Babuk, que fue publicado<\/a> en un foro sobre ciberdelincuencia en ruso en septiembre de 2021.<\/p>\n La familia de ransomware no es una excepci\u00f3n a la norma en el sentido de que los operadores siguen el enfoque probado de doble extorsi\u00f3n<\/a> para exigir pagos en criptomoneda extrayendo los datos confidenciales de una v\u00edctima, adem\u00e1s de cifrarlos y amenazar con publicar la informaci\u00f3n.<\/p>\n El implante en cuesti\u00f3n, llamado micropuerta trasera<\/a>es un malware de c\u00f3digo abierto que se usa para comunicaciones de comando y control (C2), con su desarrollador Dmytro Oleksiuk vocaci\u00f3n<\/a> es una “cosa realmente minimalista con todas las caracter\u00edsticas b\u00e1sicas en menos de 5,000 l\u00edneas de c\u00f3digo”.<\/p>\n En particular, el actor de amenazas bielorruso denominado Ghostwriter (tambi\u00e9n conocido como UNC1151) adopt\u00f3 diferentes variantes del implante en su operaciones cibern\u00e9ticas<\/a> contra organizaciones estatales ucranianas en marzo de 2022.<\/p>\n Las caracter\u00edsticas de MicroBackdoor permiten a un atacante explorar el sistema de archivos, cargar y descargar archivos, ejecutar comandos y borrar evidencia de su presencia de las m\u00e1quinas comprometidas. Se sospecha que el despliegue de la puerta trasera se lleva a cabo para “monitorear el progreso del ransomware”. <\/p>\n Unit 42 dijo que vincul\u00f3 al probable desarrollador ruso detr\u00e1s de HelloXD, que utiliza los alias en l\u00ednea x4k, L4ckyguy, unKn0wn, unk0w, _unkn0wn y x4kme, con otras actividades maliciosas como la venta de exploits de prueba de concepto (PoC) y Kali personalizado. Distribuciones de Linux reconstruyendo el rastro digital del actor.<\/p>\n “x4k tiene una presencia en l\u00ednea muy s\u00f3lida, lo que nos ha permitido descubrir gran parte de su actividad en estos dos \u00faltimos a\u00f1os”, dijeron los investigadores. “Este actor de amenazas ha hecho poco para ocultar la actividad maliciosa y probablemente continuar\u00e1 con este comportamiento”.<\/p>\n Los hallazgos provienen de un nuevo estudio de IBM X-Force revel\u00f3<\/a> que la duraci\u00f3n promedio de un ataque de ransomware empresarial, es decir, el tiempo entre el acceso inicial y la implementaci\u00f3n del ransomware, se redujo un 94,34 % entre 2019 y 2021 de m\u00e1s de dos meses a solo 3,85 d\u00edas.<\/p>\n Las tendencias de mayor velocidad y eficiencia en el ecosistema de ransomware como servicio (RaaS) se han atribuido al papel fundamental que desempe\u00f1an los intermediarios de acceso inicial (IAB) para obtener acceso a las redes de las v\u00edctimas y luego vender el acceso a los afiliados, quienes, a su vez, abusar del punto de apoyo para implementar cargas \u00fatiles de ransomware.<\/p>\n “La compra de acceso puede reducir significativamente la cantidad de tiempo que tardan los operadores de ransomware en realizar un ataque al permitir el reconocimiento de sistemas y la identificaci\u00f3n de datos clave antes y con mayor facilidad”, Intel 471 dijo<\/a> en un informe que destaca las estrechas relaciones de trabajo entre los IAB y los equipos de ransomware.<\/p>\n “Adem\u00e1s, a medida que las relaciones se fortalecen, los grupos de ransomware pueden identificar a una v\u00edctima a la que desean apuntar y el comerciante de acceso podr\u00eda proporcionarles el acceso una vez que est\u00e9 disponible”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Investigadores-encuentran-nuevos-ataques-de-malware-dirigidos-a-entidades-gubernamentales.png\")
<\/a><\/div>\n![\"Hola](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1655111029_928_Hello-XD-Ransomware-Instalacion-de-puerta-trasera-en-sistemas-Windows.jpg\" "\\"Hola")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n