La filtraci\u00f3n del creador de ransomware LockBit 3.0 el a\u00f1o pasado ha llevado a que los actores de amenazas abusen de la herramienta para generar nuevas variantes.<\/p>\n
La empresa rusa de ciberseguridad Kaspersky dijo que detect\u00f3 una intrusi\u00f3n de ransomware que implementaba una versi\u00f3n de LockBit pero con un procedimiento de demanda de rescate marcadamente diferente.<\/p>\n
“El atacante detr\u00e1s de este incidente decidi\u00f3 utilizar una nota de rescate diferente con un titular relacionado con un grupo previamente desconocido, llamado AGENCIA NACIONAL DE PELIGROS”, dijeron los investigadores de seguridad Eduardo Ovalle y Francesco Figurelli. dicho<\/a>.<\/p>\n La nota de rescate renovada especificaba directamente la cantidad a pagar para obtener las claves de descifrado y dirig\u00eda las comunicaciones a un servicio Tox y a un correo electr\u00f3nico, a diferencia del grupo LockBit, que no menciona la cantidad y utiliza su propia plataforma de comunicaci\u00f3n y negociaci\u00f3n.<\/p>\n NATIONAL HAZARD AGENCY est\u00e1 lejos de ser la \u00fanica banda de ciberdelincuentes que utiliza el constructor LockBit 3.0 filtrado. Algunos de los otros actores de amenazas que se sabe que lo aprovechan incluyen a Bl00dy y Buhti.<\/p>\n Kaspersky se\u00f1al\u00f3 que detect\u00f3 un total de 396 muestras distintas de LockBit en su telemetr\u00eda, de las cuales 312 artefactos fueron creados utilizando los constructores filtrados. Hasta 77 muestras no hacen referencia a “LockBit” en la nota de rescate.<\/p>\n “Muchos de los par\u00e1metros detectados corresponden a la configuraci\u00f3n predeterminada del constructor, s\u00f3lo algunos contienen cambios menores”, dijeron los investigadores. “Esto indica que las muestras probablemente fueron desarrolladas para necesidades urgentes o posiblemente por actores perezosos”.<\/p>\n La divulgaci\u00f3n se produce cuando Netenrich profundiz\u00f3 en una cepa de ransomware llamada ADHUBLLKA, que ha cambiado de nombre varias veces desde 2019 (BIT, LOLKEK, OBZ, U2K y TZW), mientras se dirige a individuos y peque\u00f1as empresas a cambio de magros pagos en el rango de $ 800 a $ 1,600. de cada v\u00edctima.<\/p>\n Aunque cada una de estas iteraciones viene con ligeras modificaciones en los esquemas de cifrado, notas de rescate y m\u00e9todos de comunicaci\u00f3n, una inspecci\u00f3n m\u00e1s cercana las ha relacionado todas con ADHUBLLKA debido al c\u00f3digo fuente y las similitudes de infraestructura.<\/p>\n “Cuando un ransomware tiene \u00e9xito en la naturaleza, es com\u00fan ver a los ciberdelincuentes usar las mismas muestras de ransomware, modificando ligeramente su c\u00f3digo base, para probar otros proyectos”, dijo el investigador de seguridad Rakesh Krishnan. dicho<\/a>.<\/p>\n “Por ejemplo, pueden cambiar el esquema de cifrado, las notas de rescate o los canales de comunicaci\u00f3n de comando y control (C2) y luego renombrarse como un ‘nuevo’ ransomware”.<\/p>\n El ransomware sigue siendo un ecosistema en evoluci\u00f3n activa<\/a>presenciando cambios frecuentes en las t\u00e1cticas y apuntando a centrarse cada vez m\u00e1s en entornos Linux utilizando familias como Trigona, Monti y Akira, la \u00faltima de las cuales comparte enlaces<\/a> a actores de amenazas afiliados a Conti.<\/p>\n Akira tambi\u00e9n ha sido vinculado a ataques que utilizan productos VPN de Cisco como vector de ataque para obtener acceso no autorizado a redes empresariales. Desde entonces, Cisco ha reconocido que los actores de amenazas se dirigen a las VPN de Cisco que no est\u00e1n configuradas para la autenticaci\u00f3n multifactor.<\/p>\n “Los atacantes a menudo se centran en la ausencia o vulnerabilidades conocidas en la autenticaci\u00f3n multifactor (MFA) y en vulnerabilidades conocidas en el software VPN”, dijo el especialista en equipos de redes. dicho<\/a>.<\/p>\n “Una vez que los atacantes han logrado afianzarse en una red objetivo, intentan extraer credenciales a trav\u00e9s de volcados de LSASS (Servicio de Subsistema de Autoridad de Seguridad Local) para facilitar un mayor movimiento dentro de la red y elevar los privilegios si es necesario”.<\/p>\n El desarrollo tambi\u00e9n se produce en medio de una aumento r\u00e9cord en ataques de ransomware<\/a>con el grupo de ransomware Cl0p teniendo viol\u00f3 1.000 organizaciones conocidas<\/a> explotando fallas en la aplicaci\u00f3n MOVEit Transfer para obtener acceso inicial y cifrar redes espec\u00edficas.<\/p>\n Las entidades con sede en Estados Unidos representan el 83,9% de las v\u00edctimas corporativas, seguidas por Alemania (3,6%), Canad\u00e1 (2,6%) y el Reino Unido (2,1%). Se dice que m\u00e1s de 60 millones de personas se vieron afectadas por la campa\u00f1a de explotaci\u00f3n masiva que comenz\u00f3 en mayo de 2023.<\/p>\n Sin embargo, el radio de explosi\u00f3n del Ataque de ransomware a la cadena de suministro<\/a> es probable que sea mucho mayor. Las estimaciones muestran que se espera que los actores de amenazas obtengan ganancias il\u00edcitas netas de entre 75 y 100 millones de d\u00f3lares con sus esfuerzos.<\/p>\n “Si bien la campa\u00f1a MOVEit puede terminar impactando a m\u00e1s de 1.000 empresas directamente, y un orden de magnitud m\u00e1s indirectamente, un porcentaje muy peque\u00f1o de v\u00edctimas se molest\u00f3 en intentar negociar, y mucho menos en contemplar el pago”, Coveware dicho<\/a>.<\/p>\n “Aquellos que s\u00ed pagaron, pagaron sustancialmente m\u00e1s que campa\u00f1as CloP anteriores y varias veces m\u00e1s que el monto promedio de rescate global de $740,144 (+126% desde el primer trimestre de 2023)”.<\/p>\n Es m\u00e1s, seg\u00fan el Informe Active Adversary de Sophos 2023, el tiempo medio de permanencia de los incidentes de ransomware se redujo de nueve d\u00edas en 2022 a cinco d\u00edas en la primera mitad de 2023, lo que indica que “las bandas de ransomware se est\u00e1n moviendo m\u00e1s r\u00e1pido que nunca”.<\/p>\n Por el contrario, el tiempo medio de permanencia para incidentes que no son de ransomware aument\u00f3 de 11 a 13 d\u00edas. El tiempo m\u00e1ximo de permanencia observado durante el per\u00edodo fue de 112 d\u00edas.<\/p>\n “En el 81% de los ataques de ransomware, la carga \u00fatil final se lanz\u00f3 fuera del horario laboral tradicional, y de aquellos que se implementaron durante el horario comercial, solo cinco ocurrieron en un d\u00eda laborable”, dijo la empresa de ciberseguridad. dicho<\/a>. “Casi la mitad (43%) de los ataques de ransomware se detectaron el viernes o el s\u00e1bado”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/Phishers-Exploit-Salesforce039s-Email-Services-Zero-Day-in-Targeted-Facebook-Campaign.png\")
<\/a><\/center><\/section>\n![\"Generador](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1693055576_953_La-fuga-de-LockBit-30-Ransomware-Builder-da-lugar-a.jpg\" "\\"Generador")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgNmNiBV8c8Rp0Xy6N9lCX9JL2cBlrjkSeuW4JhgOVQ3mKTsYV4pPvh3nDz32D97D8XcWQ53EJ1p4n2VX0gZH_YrBZBqElUMfzFWgb50P8lv1iac_1f-p5liZzC1ISVWJygv2s1Qm36rOHwk_kPXUNNT3nbSDr144QYZ6XGq0aXRDOrFfSlUnHnc0x4Fe_F\/s728-e3650\/cis-d.gif\")
<\/a><\/center><\/section>\n