{"id":963319,"date":"2023-09-21T16:02:56","date_gmt":"2023-09-21T16:02:56","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-cibernetico-gold-melody-vende-acceso-comprometido-a-atacantes-de-ransomware\/"},"modified":"2023-09-21T16:02:59","modified_gmt":"2023-09-21T16:02:59","slug":"el-grupo-cibernetico-gold-melody-vende-acceso-comprometido-a-atacantes-de-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-cibernetico-gold-melody-vende-acceso-comprometido-a-atacantes-de-ransomware\/","title":{"rendered":"El grupo cibern\u00e9tico &#8216;Gold Melody&#8217; vende acceso comprometido a atacantes de ransomware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 de septiembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Amenaza cibern\u00e9tica\/ransomware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un actor de amenazas con motivaci\u00f3n financiera ha sido descubierto como un <b>corredor de acceso inicial<\/b> (IAB) que vende acceso a organizaciones comprometidas para que otros adversarios realicen ataques posteriores, como ransomware.<\/p>\n<p>La Unidad Contra Amenazas (CTU) de SecureWorks ha denominado al grupo de delitos electr\u00f3nicos <a rel=\"nofollow noopener\" href=\"https:\/\/www.secureworks.com\/research\/threat-profiles\/gold-melody\" target=\"_blank\">Melod\u00eda de oro<\/a>que tambi\u00e9n se conoce con los nombres Prophet Spider (CrowdStrike) y UNC961 (Mandiant).<\/p>\n<p>&#8220;Este grupo con motivaci\u00f3n financiera ha estado activo desde al menos 2017, comprometiendo a las organizaciones al explotar vulnerabilidades en servidores con acceso a Internet sin parches&#8221;, dijo la empresa de ciberseguridad. <a rel=\"nofollow noopener\" href=\"https:\/\/www.secureworks.com\/research\/gold-melody-profile-of-an-initial-access-broker\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;La victimolog\u00eda sugiere ataques oportunistas para obtener ganancias financieras en lugar de una campa\u00f1a dirigida por un grupo amenazador patrocinado por el estado para espionaje, destrucci\u00f3n o perturbaci\u00f3n&#8221;.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/o6a5Vxgy\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\" width=\"729\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Gold Melody ha sido <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/prophet-spider-exploits-oracle-weblogic-to-facilitate-ransomware-activity\/\" target=\"_blank\">previamente<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/prophet-spider-exploits-citrix-sharefile\/\" target=\"_blank\">vinculado<\/a> a <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/mobileiron-log4shell-exploitation\" target=\"_blank\">ataques<\/a> explotar fallas de seguridad en JBoss Messaging (CVE-2017-7504), Citrix ADC (CVE-2019-19781), Oracle WebLogic (CVE-2020-14750 y CVE-2020-14882), GitLab (CVE-2021-22205), Citrix Servidores ShareFile Storage Zones Controller (CVE-2021-22941), Atlassian Confluence (CVE-2021-26084), ForgeRock AM (CVE-2021-35464) y Apache Log4j (CVE-2021-44228).<\/p>\n<p>Se ha observado que el grupo de delitos cibern\u00e9ticos est\u00e1 ampliando su huella de victimolog\u00eda para afectar al comercio minorista, la atenci\u00f3n m\u00e9dica, la energ\u00eda, las transacciones financieras y las organizaciones de alta tecnolog\u00eda en Am\u00e9rica del Norte, el norte de Europa y Asia occidental a partir de mediados de 2020.<\/p>\n<p>Mandiant, en un an\u00e1lisis publicado en marzo de 2023, dijo que &#8220;en m\u00faltiples casos, la actividad de intrusi\u00f3n UNC961 ha precedido al despliegue de los ransomware Maze y Egregor por parte de distintos actores posteriores&#8221;.<\/p>\n<p>Es m\u00e1s <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/unc961-multiverse-financially-motivated\" target=\"_blank\">descrito<\/a> calific\u00f3 al grupo de &#8220;ingenioso en su \u00e1ngulo oportunista para las operaciones de acceso inicial&#8221; y se\u00f1al\u00f3 que &#8220;emplea un enfoque rentable para lograr el acceso inicial mediante la explotaci\u00f3n de vulnerabilidades reveladas recientemente utilizando un c\u00f3digo de explotaci\u00f3n disponible p\u00fablicamente&#8221;.<\/p>\n<p>Adem\u00e1s de depender de un arsenal diverso que comprende shells web, software de sistema operativo integrado y utilidades disponibles p\u00fablicamente, se sabe que emplea troyanos de acceso remoto (RAT) patentados y herramientas de tunelizaci\u00f3n como GOTROJ (tambi\u00e9n conocido como MUTEPUT), BARNWORK, HOLEDOOR, DARKDOOR, AUDITUNNEL, HOLEPUNCH, LIGHTBUNNY y HOLERUN para ejecutar comandos arbitrarios, recopilar informaci\u00f3n del sistema y establecer un t\u00fanel inverso con una direcci\u00f3n IP codificada.<\/p>\n<p>Secureworks, que vincul\u00f3 Gold Melody con cinco intrusiones entre julio de 2020 y julio de 2022, dijo que estos ataques implicaron el abuso de un conjunto diferente de fallas, incluidas las que afectan a Oracle E-Business Suite (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-0545\" target=\"_blank\">CVE-2016-0545<\/a>), puntales Apache (<a rel=\"nofollow noopener\" href=\"https:\/\/www.synopsys.com\/blogs\/software-security\/cve-2017-5638-apache-struts-vulnerability-explained.html\" target=\"_blank\">CVE-2017-5638<\/a>), Sitecore XP (<a rel=\"nofollow noopener\" href=\"https:\/\/blog.assetnote.io\/2021\/11\/02\/sitecore-rce\/\" target=\"_blank\">CVE-2021-42237<\/a>) y Flexera FlexNet (CVE-2021-4104) para obtener acceso inicial.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/itdr-saas?source=inside\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Seguridad Level-Up SaaS: una gu\u00eda completa para ITDR y SSPM<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Mant\u00e9ngase a la vanguardia con conocimientos pr\u00e1cticos sobre c\u00f3mo ITDR identifica y mitiga las amenazas.  Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/itdr-saas?source=inside\" target=\"_blank\" class=\"wn-button\">Potencia tus habilidades<\/a><\/section>\n<p>Para lograr un punto de apoyo exitoso, se implementan shells web para la persistencia, seguidos de la creaci\u00f3n de directorios en el host comprometido para preparar las herramientas utilizadas en la cadena de infecci\u00f3n.<\/p>\n<p>&#8220;Gold Melody realiza una cantidad considerable de escaneos para comprender el entorno de la v\u00edctima&#8221;, dijo la compa\u00f1\u00eda.  &#8220;El escaneo comienza poco despu\u00e9s de obtener acceso, pero se repite y contin\u00faa durante toda la intrusi\u00f3n&#8221;.<\/p>\n<p>La fase de reconocimiento allana el camino para la recolecci\u00f3n de credenciales, el movimiento lateral y la exfiltraci\u00f3n de datos.  Dicho esto, los cinco ataques finalmente resultaron infructuosos.<\/p>\n<p>&#8220;Gold Melody act\u00faa como un IAB con motivaci\u00f3n financiera, vendiendo acceso a otros actores de amenazas&#8221;, concluy\u00f3 la compa\u00f1\u00eda.  &#8220;Los compradores posteriormente monetizan el acceso, probablemente mediante la extorsi\u00f3n mediante la implementaci\u00f3n de ransomware&#8221;.<\/p>\n<p>&#8220;Su dependencia de explotar vulnerabilidades en servidores conectados a Internet sin parches para acceder refuerza la importancia de una gesti\u00f3n s\u00f3lida de parches&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/09\/cyber-group-gold-melody-selling.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 de septiembre de 2023\ue804THNAmenaza cibern\u00e9tica\/ransomware Un actor de amenazas con motivaci\u00f3n financiera ha sido descubierto como un<\/p>\n","protected":false},"author":1,"featured_media":963320,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[3348,4657,4656,18041,4661,10042,4664,32477,4662,3983,2386,4668,201033,12003,4654,201031,4659,4653,4655,4883,4666,4665,201032,14161,4660],"class_list":["post-963319","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-acceso","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-atacantes","tag-ataques-ciberneticos","tag-cibernetico","tag-como-hackear","tag-comprometido","tag-filtracion-de-datos","tag-gold","tag-grupo","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-melody","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vende","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/963319","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=963319"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/963319\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/963320"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=963319"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=963319"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=963319"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}