{"id":971075,"date":"2023-09-26T16:28:54","date_gmt":"2023-09-26T16:28:54","guid":{"rendered":"https:\/\/teknomers.com\/es\/shadowsyndicate-un-nuevo-grupo-de-cibercrimen-vinculado-a-7-familias-de-ransomware\/"},"modified":"2023-09-26T16:28:59","modified_gmt":"2023-09-26T16:28:59","slug":"shadowsyndicate-un-nuevo-grupo-de-cibercrimen-vinculado-a-7-familias-de-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/shadowsyndicate-un-nuevo-grupo-de-cibercrimen-vinculado-a-7-familias-de-ransomware\/","title":{"rendered":"ShadowSyndicate: un nuevo grupo de cibercrimen vinculado a 7 familias de ransomware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Los expertos en ciberseguridad han arrojado luz sobre un nuevo grupo de ciberdelincuencia conocido como <strong>Sindicato de sombras<\/strong> (anteriormente Infra Storm) que puede haber aprovechado hasta siete familias diferentes de ransomware durante el a\u00f1o pasado.<\/p>\n<p>&#8220;ShadowSyndicate es un actor de amenazas que trabaja con varios grupos de ransomware y afiliados de programas de ransomware&#8221;, Group-IB y Bridewell <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/blog\/shadowsyndicate-raas\/\" target=\"_blank\">dicho<\/a> en un nuevo informe conjunto.<\/p>\n<p>El actor, activo desde el 16 de julio de 2022, se ha vinculado a la actividad de ransomware relacionada con las cepas Quantum, Nokoyawa, BlackCat, Royal, Cl0p, Cactus y Play, al tiempo que implementa herramientas post-explotaci\u00f3n disponibles en el mercado como Cobalt Strike y Sliver. as\u00ed como cargadores como IcedID y Matanbuchus.<\/p>\n<p>Los hallazgos se basan en una huella digital SSH distinta (1ca4cbac895fc3bd12417b77fc6ed31d) descubierta en 85 servidores, 52 de los cuales se han utilizado como comando y control (C2) para Cobalt Strike.  Entre esos servidores hay ocho claves de licencia (o marcas de agua) de Cobalt Strike diferentes.<\/p>\n<p>La mayor\u00eda de los servidores (23) est\u00e1n ubicados en Panam\u00e1, seguido de Chipre (11), Rusia (9), Seychelles (8), Costa Rica (7), Chequia (7), Belice (6), Bulgaria (3). , Honduras (3) y Pa\u00edses Bajos (3).<\/p>\n<p>Group-IB dijo que tambi\u00e9n encontr\u00f3 superposiciones de infraestructura adicionales que conectan ShadowSyndicate con las operaciones de malware TrickBot, Ryuk\/Conti, FIN7 y TrueBot. <\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/iEqhOvqh\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/ShadowSyndicate-un-nuevo-grupo-de-cibercrimen-vinculado-a-7-familias.png\" width=\"729\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;De las 149 direcciones IP que vinculamos a afiliados de ransomware Cl0p, hemos visto, desde agosto de 2022, 12 direcciones IP de 4 cl\u00fasteres diferentes cambiaron de propiedad a ShadowSyndicate, lo que sugiere que existe cierto potencial para compartir infraestructura entre estos grupos&#8221;. dijeron las empresas.<\/p>\n<p>La divulgaci\u00f3n se produce cuando las autoridades policiales alemanas <a rel=\"nofollow noopener\" href=\"https:\/\/lka.polizei.nrw\/presse\/ek-parker-mit-erneutem-schlag-gegen-internationales-cybercrime-netzwerk\" target=\"_blank\">Anunciado<\/a> un segundo ataque dirigido contra actores asociados con el grupo de ransomware DoppelPaymer, algunos de los cuales fueron atacados <a rel=\"nofollow noopener\" href=\"https:\/\/www.presseportal.de\/blaulicht\/pm\/58451\/5456752\" target=\"_blank\">a principios de marzo<\/a>ejecutando \u00f3rdenes de registro contra dos sospechosos en Alemania y Ucrania.<\/p>\n<p>Se alega que los individuos, un ucraniano de 44 a\u00f1os y un ciudadano alem\u00e1n de 45, tuvieron responsabilidades clave dentro de la red y recibieron ganancias il\u00edcitas de los ataques de ransomware.  Sus nombres no fueron revelados.<\/p>\n<p>El desarrollo tambi\u00e9n sigue a un aviso conjunto emitido por la Oficina Federal de Investigaciones (FBI) de EE. UU. y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) sobre un actor de doble extorsi\u00f3n llamado <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2019\/12\/09\/snatch-ransomware-reboots-pcs-into-safe-mode-to-bypass-protection\/\" target=\"_blank\">Arrebatar<\/a> (anteriormente Team Truniger) que se ha centrado en una amplia gama de <a rel=\"nofollow noopener\" href=\"https:\/\/www.dhs.gov\/news\/2023\/09\/19\/dhs-issues-recommendations-harmonize-cyber-incident-reporting-critical\" target=\"_blank\">sectores cr\u00edticos de infraestructura<\/a> desde mediados de 2021.<\/p>\n<p>&#8220;Los actores de amenazas Snatch emplean varios m\u00e9todos diferentes para obtener acceso y mantener la persistencia en la red de una v\u00edctima&#8221;, las agencias <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2023\/09\/20\/fbi-and-cisa-release-advisory-snatch-ransomware\" target=\"_blank\">dicho<\/a>destacando su constante evoluci\u00f3n de t\u00e1cticas y la capacidad del malware para evadir la detecci\u00f3n reiniciando los sistemas Windows en <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-us\/windows\/start-your-pc-in-safe-mode-in-windows-92c27cff-db89-8644-1ce4-b3e5e56fe234\" target=\"_blank\">Modo seguro<\/a>.<\/p>\n<p>&#8220;Los afiliados de Snatch dependen principalmente de explotar las debilidades del Protocolo de escritorio remoto (RDP) para forzar la fuerza bruta y obtener credenciales de administrador para las redes de las v\u00edctimas. En algunos casos, los afiliados de Snatch han buscado credenciales comprometidas en foros\/mercados criminales&#8221;.<\/p>\n<p>El Departamento de Seguridad Nacional de EE. UU. (DHS), en su \u00faltimo informe de Evaluaci\u00f3n de Amenazas Nacionales, se\u00f1al\u00f3 que los grupos de ransomware est\u00e1n desarrollando continuamente nuevos m\u00e9todos para mejorar su capacidad de extorsionar financieramente a las v\u00edctimas, lo que convierte a 2023 en el segundo a\u00f1o m\u00e1s rentable despu\u00e9s de 2021.<\/p>\n<p>&#8220;Estos grupos han aumentado el uso de la extorsi\u00f3n multinivel, en la que cifran y extraen los datos de sus objetivos y, por lo general, amenazan con divulgar p\u00fablicamente los datos robados, utilizan ataques DDoS o acosan a los clientes de la v\u00edctima para obligarla a pagar&#8221;, informa el DHS. <a rel=\"nofollow noopener\" href=\"https:\/\/www.dhs.gov\/publication\/homeland-threat-assessment\" target=\"_blank\">dicho<\/a>.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/ai-cyberattacks?source=inside\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de pr\u00f3xima generaci\u00f3n<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfListo para afrontar nuevos desaf\u00edos de ciberseguridad impulsados \u200b\u200bpor la IA?  \u00danase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/ai-cyberattacks?source=inside\" target=\"_blank\" class=\"wn-button\">Potencia tus habilidades<\/a><\/section>\n<p>Akira es un buen ejemplo.  El ransomware tiene <a rel=\"nofollow noopener\" href=\"https:\/\/www.logpoint.com\/en\/blog\/emerging-threat\/emerging-threat-akira-not-a-cyberpunk-movie-a-very-real-ransomware-threat\/\" target=\"_blank\">ampli\u00f3 su alcance<\/a> desde que surgi\u00f3 como una amenaza basada en Windows en marzo de 2023 para incluir servidores Linux y m\u00e1quinas virtuales VMWare ESXi, lo que subraya su capacidad para adaptarse r\u00e1pidamente a las tendencias.  A mediados de septiembre, el grupo hab\u00eda alcanzado con \u00e9xito a 110 v\u00edctimas en Estados Unidos y el Reino Unido.<\/p>\n<p>El resurgimiento de los ataques de ransomware tambi\u00e9n ha ido acompa\u00f1ado de un aumento en las reclamaciones de seguros cibern\u00e9ticos: la frecuencia general de las reclamaciones aument\u00f3 un 12 % en la primera mitad del a\u00f1o en los EE. UU. y las v\u00edctimas informaron una p\u00e9rdida promedio de m\u00e1s de $ 365 000, un aumento del 61 %. a partir del segundo semestre de 2022.<\/p>\n<p>&#8220;Las empresas con m\u00e1s de 100 millones de d\u00f3lares en ingresos experimentaron el mayor aumento en la frecuencia, y aunque otras bandas de ingresos fueron m\u00e1s estables, tambi\u00e9n enfrentaron aumentos en las reclamaciones&#8221;, dijo la firma de seguros cibern\u00e9ticos Coalition. <a rel=\"nofollow noopener\" href=\"https:\/\/www.coalitioninc.com\/blog\/2023-cyber-claims-report-update\" target=\"_blank\">dicho<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/1695745734_698_ShadowSyndicate-un-nuevo-grupo-de-cibercrimen-vinculado-a-7-familias.jpg\" alt=\"Grupo de cibercrimen\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Grupo de cibercrimen\"\/><\/div>\n<p>El flujo constante en el panorama de amenazas se ejemplifica mejor con BlackCat, Cl0p y LockBit, que han <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/ransomware-by-the-numbers\/lockbit-blackcat-and-clop-prevail-as-top-raas-groups-for-1h-2023\" target=\"_blank\">se mantuvo<\/a> algunas de las familias de ransomware m\u00e1s prol\u00edficas y evolutivas de los \u00faltimos meses, dirigidas principalmente a peque\u00f1as y grandes empresas que abarcan los sectores bancario, minorista y de transporte.  El n\u00famero de grupos activos de RaaS y relacionados con RaaS creci\u00f3 en 2023 un 11,3%, pasando de 39 a 45.<\/p>\n<p>Un informe de eSentire la semana pasada detall\u00f3 dos ataques LockBit en los que se observ\u00f3 que el grupo de delitos electr\u00f3nicos aprovechaba las herramientas de administraci\u00f3n y monitoreo remoto (RMM) expuestas a Internet de las empresas v\u00edctimas (o las suyas propias) para difundir el ransomware en el entorno de TI o empujar a sus clientes intermedios.<\/p>\n<p>La dependencia de estas t\u00e9cnicas de vida de la tierra (LotL) es un intento de evitar la detecci\u00f3n y confundir los esfuerzos de atribuci\u00f3n al combinar el uso malicioso y leg\u00edtimo de herramientas de gesti\u00f3n de TI, afirm\u00f3 la empresa canadiense. <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/russia-linked-lockbit-ransomware-gang-attacks-an-msp-and-two-manufacturers-using-the-targets-rmm-tools-to-infect-downstream-customers-and-employees-with-ransomware\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>En otro caso de un ataque BlackCat destacado por Sophos este mes, se vio a los atacantes cifrando cuentas de Microsoft Azure Storage despu\u00e9s de obtener acceso al portal Azure de un cliente an\u00f3nimo.<\/p>\n<p>&#8220;Durante la intrusi\u00f3n, se observ\u00f3 que los actores de amenazas aprovechaban varias herramientas RMM (AnyDesk, Splashtop y Atera) y usaban Chrome para acceder a la b\u00f3veda LastPass instalada en el objetivo a trav\u00e9s de la extensi\u00f3n del navegador, donde obtuvieron la OTP para acceder a la cuenta de Sophos Central del objetivo. , que utilizan los clientes para gestionar sus productos Sophos&#8221;, la empresa <a rel=\"nofollow noopener\" href=\"https:\/\/infosec.exchange\/@SophosXOps\/111059615477475993\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Luego, el adversario modific\u00f3 las pol\u00edticas de seguridad y deshabilit\u00f3 la protecci\u00f3n contra manipulaciones dentro de Central antes de cifrar los sistemas del cliente y las cuentas remotas de Azure Storage mediante un ejecutable de ransomware con la extensi\u00f3n .zk09cvt&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/09\/shadowsyndicate-new-cybercrime-group.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los expertos en ciberseguridad han arrojado luz sobre un nuevo grupo de ciberdelincuencia conocido como Sindicato de sombras<\/p>\n","protected":false},"author":1,"featured_media":971076,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,34600,4664,10210,4662,2386,4668,201033,4654,201031,4659,4653,4655,480,4883,4666,4665,207290,201032,12460,4660],"class_list":["post-971075","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-cibercrimen","tag-como-hackear","tag-familias","tag-filtracion-de-datos","tag-grupo","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-shadowsyndicate","tag-software-malicioso-ransomware","tag-vinculado","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/971075","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=971075"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/971075\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/971076"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=971075"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=971075"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=971075"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}