Los investigadores de seguridad cibern\u00e9tica han detallado las diversas medidas que los actores de ransomware han tomado para ocultar su verdadera identidad en l\u00ednea, as\u00ed como la ubicaci\u00f3n de alojamiento de su infraestructura de servidor web.<\/p>\n
“La mayor\u00eda de los operadores de ransomware utilizan proveedores de alojamiento fuera de su pa\u00eds de origen (como Suecia, Alemania y Singapur) para alojar sus sitios de operaciones de ransomware”, dijo Paul Eubanks, investigador de Cisco Talos. dijo<\/a>. “Utilizan puntos de salto VPS como un proxy para ocultar su verdadera ubicaci\u00f3n cuando se conectan a su infraestructura web de ransomware para tareas de administraci\u00f3n remota”.<\/p>\n Tambi\u00e9n destacan el uso de la red TOR y los servicios de registro de proxy DNS para proporcionar una capa adicional de anonimato para sus operaciones ilegales.<\/p>\n Pero al aprovechar los pasos en falso de seguridad operativa de los actores de amenazas y otras t\u00e9cnicas, la firma de ciberseguridad revel\u00f3 la semana pasada que pudo identificar los servicios ocultos TOR alojados en direcciones IP p\u00fablicas, algunos de los cuales son infraestructuras previamente desconocidas asociadas con Angeles Oscuros<\/a>, Arrebatar<\/a>, Cu\u00e1ntico<\/a>y Nokoyawa<\/a> grupos de ransomware.<\/p>\n Si bien se sabe que los grupos de ransomware conf\u00edan en la dark web para ocultar sus actividades il\u00edcitas, que van desde la filtraci\u00f3n de datos robados hasta la negociaci\u00f3n de pagos con las v\u00edctimas, Talos revel\u00f3 que pudo identificar “direcciones IP p\u00fablicas que albergan la misma infraestructura de actores de amenazas que las que se encuentran en la oscuridad”. web.”<\/p>\n “Los m\u00e9todos que usamos para identificar las direcciones IP p\u00fablicas de Internet involucraron la coincidencia de los actores de amenazas”. [self-signed] certificado TLS<\/a> n\u00fameros de serie y elementos de p\u00e1gina con los indexados en la Internet p\u00fablica”, dijo Eubanks.<\/p>\n Adem\u00e1s de la coincidencia de certificados TLS, un segundo m\u00e9todo empleado para descubrir las infraestructuras web claras de los adversarios implicaba verificar los favicons asociados con los sitios web de la red oscura contra la Internet p\u00fablica utilizando rastreadores web como Shodan.<\/p>\n En el caso de Nokoyawa<\/a>una nueva cepa de ransomware de Windows que apareci\u00f3 a principios de este a\u00f1o y comparte similitudes sustanciales de c\u00f3digo con Karma, se descubri\u00f3 que el sitio alojado en el servicio oculto TOR albergaba una falla transversal de directorio que permit\u00eda a los investigadores acceder a “\/var\/log\/auth.log<\/a>” archivo utilizado para capturar los inicios de sesi\u00f3n de los usuarios.<\/p>\n Los hallazgos demuestran que los sitios de filtraci\u00f3n de los actores criminales no solo son accesibles para cualquier usuario en Internet, sino que otros componentes de la infraestructura, incluida la identificaci\u00f3n de datos del servidor, quedaron expuestos, lo que hizo posible obtener las ubicaciones de inicio de sesi\u00f3n utilizadas para administrar los servidores de ransomware.<\/p>\n Un an\u00e1lisis m\u00e1s detallado de los inicios de sesi\u00f3n exitosos del usuario ra\u00edz mostr\u00f3 que se originaron a partir de dos direcciones IP 5.230.29[.]12 y 176.119.0[.]195, el primero de los cuales pertenece a GHOSTnet GmbH, un proveedor de hosting que ofrece servicios de Virtual Private Server (VPS).<\/p>\n “176.119.0[.]195, sin embargo, pertenece a AS58271, que figura bajo el nombre de Tyatkova Oksana Valerievna”, se\u00f1al\u00f3 Eubanks. “Es posible que el operador se olvid\u00f3 de usar el VPS con sede en Alemania para la ofuscaci\u00f3n e inici\u00f3 una sesi\u00f3n con este servidor web directamente desde su ubicaci\u00f3n real en 176.119 .0[.]195”.<\/p>\n El desarrollo llega como los operadores del emergente ransomware Black Basta expandido<\/a> su arsenal de ataque utilizando QakBot para el acceso inicial y el movimiento lateral, y aprovechando la vulnerabilidad PrintNightmare (CVE-2021-34527) para realizar operaciones de archivos privilegiados.<\/p>\n![\"Sitios](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657013027_414_Investigadores-comparten-tecnicas-para-descubrir-sitios-de-ransomware-anonimos-en.jpg\" "\\"Sitios")
<\/div>\n![\"Sitios](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657013027_129_Investigadores-comparten-tecnicas-para-descubrir-sitios-de-ransomware-anonimos-en.jpg\" "\\"Sitios")
<\/div>\nLockBit agrega un programa de recompensas por errores a su operaci\u00f3n RaaS renovada<\/h3>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n
![\"programa](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657013027_471_Investigadores-comparten-tecnicas-para-descubrir-sitios-de-ransomware-anonimos-en.jpg\" "\\"programa")
<\/div>\n