El primer incidente que posiblemente involucr\u00f3 a la familia de ransomware conocida como Maui ocurri\u00f3 el 15 de abril de 2021, dirigido a una empresa inmobiliaria japonesa no identificada.<\/p>\n
La revelaci\u00f3n de Kaspersky llega un mes despu\u00e9s de que las agencias de ciberseguridad e inteligencia de EE. UU. emitieran un aviso sobre el uso de la cepa de ransomware por parte de piratas inform\u00e1ticos respaldados por el gobierno de Corea del Norte para apuntar al sector de la salud desde al menos mayo de 2021.<\/p>\n
Gran parte de los datos sobre su modus operandi provienen de las actividades de respuesta a incidentes y el an\u00e1lisis de la industria de una muestra de Maui que revel\u00f3 la falta de “varias caracter\u00edsticas clave” t\u00edpicamente asociadas con las operaciones de ransomware como servicio (RaaS).<\/p>\n
Maui no solo est\u00e1 dise\u00f1ado para ser ejecutado manualmente por un actor remoto a trav\u00e9s de una interfaz de l\u00ednea de comandos, sino que tambi\u00e9n se destaca por no incluir una nota de rescate para proporcionar instrucciones de recuperaci\u00f3n.<\/p>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\nPosteriormente, el Departamento de Justicia anunci\u00f3 la incautaci\u00f3n de $ 500,000 en Bitcoin que fueron extorsionados de varias organizaciones, incluidas dos instalaciones de atenci\u00f3n m\u00e9dica en los estados de Kansas y Colorado, en EE. UU., mediante el uso de la variedad de ransomware.<\/p>\n
Si bien estos ataques se atribuyeron a grupos de amenazas persistentes avanzados de Corea del Norte, la empresa de seguridad cibern\u00e9tica rusa vincul\u00f3 el delito cibern\u00e9tico con confianza baja a media a un subgrupo de Lazarus conocido como Andariel<\/a>tambi\u00e9n conocida como Operaci\u00f3n Troya, Silent Chollima y Stonefly.<\/p>\n “Aproximadamente diez horas antes de desplegar Maui en el sistema objetivo inicial [on April 15]el grupo implement\u00f3 una variante del conocido malware Dtrack en el objetivo, precedida por 3proxy<\/a> meses antes”, los investigadores de Kaspersky Kurt Baumgartner y Seongsu Park dijo<\/a>.<\/p>\n Dtrack, tambi\u00e9n llamado Valefor y Preft, es un troyano de acceso remoto utilizado por el grupo Stonefly en sus ataques de espionaje para filtrar informaci\u00f3n confidencial.<\/p>\n Vale la pena se\u00f1alar que la puerta trasera, junto con 3proxy, fue desplegada por el actor de amenazas contra una empresa de ingenier\u00eda que trabaja en los sectores militar y energ\u00e9tico en febrero de 2022 al explotar la vulnerabilidad Log4Shell.<\/p>\n “Stonefly se especializa en montar ataques dirigidos altamente selectivos contra objetivos que podr\u00edan generar inteligencia para ayudar a sectores estrat\u00e9gicamente importantes como energ\u00eda, aeroespacial y equipos militares”, Symantec, una divisi\u00f3n de Broadcom Software, dijo<\/a> en abril.<\/p>\n Adem\u00e1s, Kaspersky dijo que la muestra de Dtrack utilizada en el incidente japon\u00e9s de Maui tambi\u00e9n se us\u00f3 para violar a m\u00faltiples v\u00edctimas en India, Vietnam y Rusia desde diciembre de 2021 hasta febrero de 2021.<\/p>\n![\"Ataque](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660157051_794_Expertos-descubren-detalles-sobre-el-ataque-de-Maui-Ransomware-por.jpg\" "\\"Ataque")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n