FacebookXLinkedInEmailWhatsAppInstagram

Ransomware

RansomHub

2024-12-27T15:46:34-06:00diciembre 5, 2024|Seguridad|

RansomHub es un grupo de ransomware que surge durante los primeros meses del 2024, tras el desmantelamiento del grupo ALPHV/BlackCat.

El 2 de febrero se pronunció en el foro criminal RAMP para lanzar su programa de afiliados, con algunos lineamientos de su propuesta:

¿Cómo opera RansomHub?

Este grupo cibercriminal bajo el modelo de Ransomware-as-a-Service (RaaS) proporciona herramientas, recursos y soporte a los afiliados que luego realizan los ataques. Por este servicio cobra el 10% de los pagos obtenidos en cada ataque.

Es interesante remarcar que el grupo pone algunas reglas muy claras a sus afiliados, las cuales limitan sus objetivos. Por ejemplo, no permite que se realicen ataques a hospitales sin fines de lucro y a organizaciones de ciertos países como Cuba, Corea del Norte y China.

En contrapartida, sus principales víctimas suelen ser instituciones y empresas de alto perfil y gran capacidad de pago, sobre todo, aquellas que manejan información sensible, como sectores de gobierno o corporativo.

Según detalla el sitio The Hacker News, RansomHub se vale de un modelo de doble extorsión para con sus víctimas: las inducen a ponerse en contacto con los operadores a través de una URL exclusiva .onion, pero si las empresas se niegan a cumplir las exigencias del rescate, verán su información publicada durante un período de entre tres y 90 días.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de los Estados Unidos (CISA) informa que para lograr el acceso inicial, se aprovechan de la explotación de vulnerabilidades de seguridad conocidas en dispositivos Apache ActiveMQ, Atlassian Confluence Data Center and Server, Citrix ADC, F5 BIG-IP, Fortinet FortiOS y Fortinet FortiClientEMS, entre otros.

Entre las empresas que fueron víctimas, se destacan los sectores de aguas residuales, tecnología de la información, servicios gubernamentales, salud pública, servicios financieros, transporte y la infraestructura crítica de comunicaciones.

Una de las víctimas más resonantes de este grupo de ransomware es el Gobierno de México: hablamos del secuestro de más de 300 GB de datos de la Consejería Jurídica del Poder Ejecutivo Federal (CJEF), entre los que se encontraban datos clave del gobierno mexicano, como contratos e información de sus funcionarios. Como prueba del ataque, el grupo publicó un contrato de lineamientos para el alquiler de inmuebles utilizados por la Consejería Jurídica.

Una de las principales universidades de México también sufrió el ataque de RansomHub. Puntualmente fue en mayo de 2024 e involucró, según el propio grupo, el cifrado de información de casi 40,000 usuarios y empleados.

En Brasil, una de sus víctimas, fue una de las Fintech más destacadas de ese mercado. Según compartió RansomHub durante el mes de julio, accedieron a más de 200 GB de datos, incluyendo documentos privados, bases de datos, webmails, código fuente, e información privada de más de 6,000 restaurantes y más de 600,000 clientes.

Más allá de estos ejemplos concretos, el grupo atacó a universidades, organismos de gobierno y empresas de varios países de América Latina, como México, Argentina, Chile, Perú, Brasil, Guatemala y El Salvador.

La aparición y vertiginoso ascenso de RansomHub es una muestra más de cómo evolucionan y se sofistican los ataques de ransomware.

Ante este escenario, es necesario que las organizaciones y empresas pongan una especial atención en estar actualizadas en lo que a protección refiere, para no dejar estar expuestas a vulnerabilidades conocidas que pueden ser explotadas por actores maliciosos.

En esa línea, dar un paso al frente en la detección de amenazas e implementar una solución de seguridad sólida e integral representa una decisión fundamental para mitigar los riesgos y enfrentar los desafíos que plantea la constante evolución de las amenazas de ransomware.

Fuente https://www.welivesecurity.com/es/ransomware/ransomhub-crece-america-latina-nivel-global/

Leer más

Ciberataque a la Consejería Jurídica del Ejecutivo Federal en México

2024-12-27T16:07:18-06:00noviembre 25, 2024|Seguridad|

El grupo cibercriminal RansomHub afirma haber atacado el sitio web de la CJEF. Dicho grupo, afirma haber robado 313 gigabytes de información y fijó un plazo de diez días para que el gobierno de México pague el rescate y evitar la publicación de los supuestos archivos robados, que incluirían contratos, finanzas y archivos confidenciales.

Desde el pasado el pasado 15 de noviembre, el grupo también ha publicado más de 50 archivos como muestra del ataque, los archivos parecen provenir de una base de datos de empleados federales que contiene información personal de cada empleado, incluido el nombre completo, puesto de trabajo y foto a color del empleado, el edificio gubernamental en que trabaja, dirección de correo electrónico, número de teléfono y un número de identificación.

También hay documentos gubernamentales firmados de 2023, uno dirigido al director de Tecnologías de la Información y Comunicaciones del gobierno mexicano, Mario Gavina Morales, y un aparente contrato de transporte por un valor de unos 100,000 dólares.

El ciberataque cobra una gran relevancia debido a que la CJEF es la dependencia encargada del área legal de la Presidencia de la República Mexicana, por lo que la información almacenada en los servidores es sumamente delicada.

¿Quién es RansomHub?

Es un actor relativamente nuevo en el panorama de ransomware, al registrar su primera víctima el 26 de febrero de 2024.

La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el FBI publicaron un aviso conjunto sobre la banda RansomHub el 30 de agosto ya que ha sido identificado como uno de los grupos de ransomware más activos en lo que va del año.

El aviso de CISA proporciona una lista completa de los IOC (indicators of compromise) conocidos, incluidas direcciones IP, herramientas, URL conocidas, direcciones de correo electrónico y más, se dice que los ciberdelincuentes han atacado al menos a 210 víctimas desde febrero.

Cabe señalar que RansomHub es un grupo que se distingue por liberar rápidamente la información que tiene en su poder, dejando a las víctimas sin margen de negociación. El caso que lo demuestra es el reciente ciberataque al Grupo Aeroportuario Centro Norte (OMA), que minutos después de vencer el plazo para pagar el rescate, se liberaron 2.2 Terabytes de información, incluyendo auditorías, contratos y datos de seguridad de aeropuertos.

Fuente https://cybernews.com/news/mexico-government-official-website-ransomware-attack-ransomhub/

Leer más

Ransomware, primer trimestre 2024

2024-12-26T22:47:41-06:00abril 19, 2024|Seguridad|

A finales de 2023, México se ubicaba como el segundo país de Latinoamérica, sólo detrás de Perú, con más detecciones únicas en cuanto refiere a ransomware con un total del 16.3% de distribución en Latinoamérica conforme a la telemetría de ESET.

A continuación, las familias de ransomware más activas en México durante el primer trimestre de este 2024:

Ransomware BlackMatter

A pesar de que detuvo sus actividades en noviembre del 2021, recientemente se observan muestras aún activas de este malware cuyas infecciones se debieron principalmente por las siguientes cuestiones:

  • Los sistemas operativos Windows afectados eran aquellos que no contaban con parches aplicados, debido a que ya no contaban con soporte (EoL), tampoco tenían instalado un producto antimalware y si contaban con alguno, este estaba totalmente desactualizado.
  • El servicio de RDP estaba expuesto a Internet sin ningún firewall configurado y con contraseñas débiles susceptibles a ataques de fuerza bruta.
  • Ausencia de soluciones para el monitoreo de servidores críticos.
  • Implementación inadecuada de herramientas y/o políticas que pudieron detener la propagación de este malware.

Ransomware Phobos

De igual manera que con BlackMatter, ha sobrevivido por su modelo de negocio (RaaS – Ransomware-as-a-Service).

Los vectores identificados para su propagación fueron los siguientes:

  • Como sucedió con BlackMatter, el servicio de RDP estaba expuesto a Internet sin ningún firewall configurado y con ausencia de credenciales.
  • Los sistemas operativos Windows afectados eran aquellos que no contaban con parches aplicados debido a que no contaban con soporte (EoL).
  • Ausencia de controles y políticas en el acceso a los servidores o clientes.
  • Ausencia de soluciones de antimalware actualizados.

Entre los sectores mayormente atacados por ransomware se encontraron:

  • Escuelas.
  • Transporte.
  • Petrolero.
  • Consultoras.

Consejos para evitar ser víctima de ransomware

  • Realizar copias de seguridad de todos los sistemas críticos para prevenir la pérdida de información.
  • Mantener los sistemas operativos actualizados,
  • En caso de que el sistema operativo finalice de manera próxima el soporte por parte del fabricante, elegir aquel que permita que las actualizaciones logren cubrir un periodo mayor de 2 años.
  • Tener instalada una herramienta antimalware y que se encuentre actualizada.
  • Deshabilitar o asegurar las conexiones RDP (usando una VPN, 2FA, restringiendo el acceso a los usuarios y las IP que realmente lo necesitan, utilizar un puerto diferente al predeterminado) además de contar con un firewall.
  • Contar con una política de accesos y contraseñas para las contraseñas que expiren (se recomiendan períodos de 60 o 90 días y forzar el cambio periódico de contraseña), tomando en cuenta que la longitud mínima sea al menos de 15 caracteres, con combinaciones de letras, números y signos. Además que el tiempo de bloqueo por alcanzar el umbral de accesos denegados, sea al menos de 15 minutos.
  • Contar con soluciones que permitan el monitoreo de peticiones entrantes y salientes desde cualquier servidor y cliente.

Fuente https://www.welivesecurity.com/es/ransomware/ransomware-mexico-panorama-primer-trimestre-2024/

Leer más

Ransomware: paralización del negocio

2024-12-26T22:20:50-06:00febrero 20, 2024|Seguridad|

En 2023 una de cada cinco empresas víctimas de algún ataque (20%) recibieron ransomware, cifra ligeramente superior al 19% del año anterior. El porcentaje que pagó por el rescate cayó de un 66% a un 63%. Así se desprende del Informe de Ciberpreparación 2023 de Hiscox.

¿Fue rentable el pago del rescate?

En muchos casos, no. El porcentaje de víctimas que afirman haber recuperado con éxito todos sus datos tras pagar fue tan solo de un 46%, una cifra inferior con respecto al 59% del año anterior. Alrededor de un tercio (32%) dijeron haber recuperado parte de sus datos, pero en una cuarta parte de los casos, los datos fueron filtrados o la clave de recuperación no funcionó. Además, una de cada cinco empresas (20%) volvió a sufrir otro ataque.

Cuando se trata de ciberseguridad, tener mayor madurez permite recuperarnos del ransomware sin pagar o al menos mitigar el ataque desde el inicio.

La principal vía de entrada de los atacantes fue mediante correos electrónicos de phishing (63% de las víctimas). Por tercer año consecutivo, el phishing ha sido la fuente principal de los ataques de ransomware, y el segundo método más común de entrada sigue siendo el robo de credenciales.

Caso real de un ataque ransomware

Comenzó como un día de trabajo normal en Autobedrijf de Pee, un taller de reparación de vehículos alemán. La persona encargada de la recepción no se encontraba en la empresa, por lo que el propietario, Arjan de Pee, se estaba encargando de revisar los correos electrónicos. Vio un e-mail de KPN, la empresa de telefonía móvil, con una factura adjunta y lo abrió con la intención de imprimirla. De pronto, todo se volvió negro. “Todos los sistemas fallaron”, cuenta. “Todo lo que se veía era una pantalla negra con texto blanco, como en la época inicial de DOS.”

Arjan intentó reducir el daño y desconectó el cable de red de inmediato. No surtió efecto, todos los archivos habían sido encriptados de forma permanente. “En cada carpeta había un archivo de texto que decía que todos los documentos estaban bloqueados y que sólo se desbloquearían con un pago en Bitcoin”, explica. Arjan llamó a su compañía de TI. Actuaron de inmediato y pudieron reinstalar los programas, por lo que en tan sólo una hora el negocio estaba funcionando otra vez.

El costo

El daño económico se limitó a tener que pagar por la ayuda de la compañía informática y a la instalación de algunas medidas de ciberseguridad adicionales. Pero el daño emocional fue considerable. “Nuestra empresa existe desde hace 34 años y he perdido todas las fotos del día de la apertura. Nunca las recuperaré”, declara.

Aprendizajes clave

Todo esto ha hecho llegar un mensaje que Arjan considera importante para otros empresarios:
“Es inteligente tomar medidas extraordinarias para proteger tus pertenencias”, incluidas las digitales.

Ahora, Arjan protege los datos de sus clientes con controles de acceso y se asegura de que la información crítica tenga copia de seguridad y esté guardada por  separado. Los cibercriminales todavía pueden atacar, pero al menos existe otra barrera que protege la información personal de los clientes. “Además, ahora les pido a los clientes que sólo proporcionen la información personal necesaria.”

Planifica qué ocurre si fallan todos tus equipos de cómputo. ¿Cómo puedes conseguir que tu negocio vuelva a estar operativo lo más rápido posible? ¿Qué hace falta para ello? ¿Y cómo pueden iniciarse los procesos operativos offline?

Aprende a prevenir un ciberataque y compártelo con todos tus empleados, ofréceles formación en temas cibernéticos. Empieza por cosas pequeñas, como utilizar contraseñas largas y complejas.

Fuente https://www.hiscox.es/informe-de-ciberpreparacion-de-hiscox-2023

Leer más

Cifras de ransomware en 2023

2024-12-26T22:17:56-06:00febrero 15, 2024|Seguridad|

2023 fue un año histórico para el ransomware, los actores de amenazas no sólo se embolsaron colectivamente una cifra récord de 1,100 millones de dólares de las víctimas, sino que un nuevo informe destaca cómo el alcance y la complejidad de estos ataques son cada vez más preocupantes.

Los pagos de rescate casi se duplicaron en compararción con los 567 millones de dólares de 2022. Los actores del ransomware han ‘intensificado sus operaciones’ dirigidas a grandes instituciones, hospitales, escuelas y agencias gubernamentales, según un informe de Chainalysis, firma líder en análisis de blockchain.

Vale la pena señalar que sus cifras son ‘estimaciones conservadoras’ y están sujetas a cambios a medida que Chainalysis descubra nuevas direcciones de billeteras de criptomonedas utilizadas por grupos de delitos cibernéticos para recibir pagos de rescate. Las cifras tampoco incluyen el impacto económico de la pérdida de productividad y los costos de reparación. Por tanto, las estimaciones podrían ser un orden de magnitud mayor.

Sólo el ataque a MGM le costó más de 100 millones de dólares, incluidos 10 millones de dólares en honorarios por consultoría. Según se informa, el gigante del entretenimiento optó por no pagar el rescate.

La caída de los pagos en 2022 se consideró originalmente como un rayo de esperanza y se creía que era el resultado de mejores herramientas, leyes y prácticas de seguridad. En realidad, el impacto es más geopolítico que cualquier otra cosa.

En 2023, el panorama del ransomware experimentó una importante escalada en la frecuencia, el alcance y el volumen de los ataques, dijo Chainalysis.

La firma de inteligencia sobre amenazas Recorded Future, informó sobre la aparición de 538 nuevas variantes de ransomware en 2023, lo que es una clara indicación de que los sindicatos criminales más grandes ahora se están centrando más en organizaciones de alto valor para exigir pagos de rescate mayores, aumentando así sus ganancias.

Por otro lado, es evidente que veremos un aumento continuo del ransomware como servicio (RaaS) en la medida que la oferta y la demanda se incrementen. Es decir, que los operadores  creen software y los afiliados, personas con menos conocimientos técnicos, paguen para lanzar ataques utilizando herramientas y paquetes prediseñados.

Fuente https://9to5mac.com/2024/02/11/ransomware-payments-hit-record-high-2023/

Leer más

Tres estrategias para mitigar el impacto de un ataque con ransomware

2023-08-16T13:41:06-06:00agosto 16, 2023|Seguridad|

1. Crear manuales de respuesta a incidentes

El primer paso para evitar este tipo de ataques es crear un plan asumiendo que es más una cuestión de cuándo llegará un ataque y no si llegará. Según un informe reciente realizado por Vanson Bourne en nombre de Barracuda, el 73% de las empresas sufrieron al menos un ataque de ransomware en 2022.

Sin un plan de respuesta a incidentes, las empresas suelen entrar en pánico, sin saber a quién llamar o qué hacer, por lo que pagar el rescate parezca la salida más fácil. Con un plan en marcha, la gente sabe qué hacer, después de haber practicado el plan con antelación para asegurarse de que las medidas de recuperación de desastres funcionan como se supone que deben hacerlo.

Un plan de respuesta a incidentes debe incluir funciones y responsabilidades claras, protocolos de comunicación y estrategias de recuperación. Según el informe 2023 sobre ransomware y extorsión de Palo Alto, las víctimas de estos ataques deben prepararse para tres tipos de vulnerabilidades: cifrado de datos y sistemas, robo de datos y (más recientemente) acoso.

El porcentaje de ataques de ransomware que implicaron robo de datos aumentó al 70% a finales de 2022 desde el 40% en 2021, mientras que los incidentes de acoso aumentaron al 20% desde menos del 1%. Por lo tanto, los planes de respuesta a incidentes deben incluir no sólo medidas para recuperarse del cifrado de ransomware y protocolos para hacer frente a las amenazas de datos filtrados, sino también qué hacer en caso de que los empleados o clientes estén siendo acosados.

En general, las empresas que consiguen recuperarse más rápidamente de los ataques de ransomware son las que tenían planes de respuesta a incidentes y los habían practicado con antelación.

2. Implantar una ciberseguridad multicapa

Según una encuesta de IDC realizada en junio, las empresas que no sufrieron filtraciones de ransomware solían utilizar todas o algunas de las cinco tecnologías de seguridad clave:

  • Detección y respuesta de puntos finales (EDR).
  • Pasarelas de seguridad en la Nube o agentes de seguridad de acceso a la Nube (CASB).
  • Sistemas de gestión de eventos e información de seguridad (SIEM).
  • Análisis de identidades o análisis del comportamiento de usuarios y entidades (UEBA).
  • Detección y respuesta de redes (NDR).

Disponer de varias capas de defensa, así como configurar la autenticación multifactor y el cifrado de datos es algo fundamental para la ciberseguridad.

Cuando una organización educativa que había invertido mucho en ciberseguridad, se vio afectada por ransomware, pudieron cambiar las operaciones a una copia de seguridad offline. Entonces, los atacantes aumentaron sus exigencias: si la organización no pagaba el rescate, sus datos se filtrarían online. Es decir, la organización estaba bien preparada para un evento de cifrado, pero no para el segundo rescate. Había datos sensibles reales que desencadenarían una serie de acciones de cumplimiento normativo.

La empresa no quería que se filtraran los datos, pero tampoco confiaba en que los atacantes cumplieran sus promesas. Lo que esta organización decidió hacer es no pagar tampoco el segundo rescate. En su lugar, mientras los atacantes esperaban una respuesta, la organización notificó a las víctimas sobre la brecha. Para cuando los datos se filtraron online, ya habían completado las acciones de notificación.

El ataque puso de manifiesto dos puntos débiles en su estrategia de defensa. En primer lugar, su manual de respuesta a incidentes no contemplaba una segunda extorsión. En segundo lugar, no habían cifrado sus datos confidenciales. Después, volvieron a revisar su estrategia, empezando por su manual de respuesta. “¿Cómo podemos mejorar? ¿Cómo reducimos el riesgo? ¿Cómo podemos hacer las cosas de forma diferente la próxima vez?” Lo que también les llevó a cifrar los datos sensibles.

3. Invertir en copias de seguridad sólidas

Cuando los atacantes de ransomware se afianzan en una organización, tienen dos objetivos principales: llegar a los datos valiosos y neutralizar las copias de seguridad.

Si los atacantes consiguen acceder a las credenciales del dominio, no deberían poder acceder también a las copias de seguridad. Si las copias de seguridad requieren un segundo conjunto de autenticación, estarán mucho más protegidas. Otra estrategia son las copias de seguridad inmutables, que no se pueden sobrescribir ni borrar.

Las empresas que evitan invertir en seguridad multicapa, cifrado fuerte, autenticación multifactor y copias de seguridad sólidas porque piensan que no se verán afectadas por el ransomware (o si lo están, creen que sería más barato pagar el rescate y volver al trabajo) están viviendo en el pasado. Esta estrategia podría haber funcionado en 2013, cuando los ataques de ransomware eran poco frecuentes y los rescates eran ínfimos. Pero hoy no funciona.

Fuente https://cso.computerworld.es/reportajes/estrategias-que-ayudan-a-detener-el-ransomware-antes-de-que-se-convierta-en-una-crisis-corporativa

Leer más

¿Qué es el ransomware?

2025-02-06T10:51:37-06:00diciembre 7, 2022|Internet, Seguridad|

De acuerdo con información publicada por Kaspersky Lab, el ransomware es un mecanismo digital de extorsión, siendo el escenario más común el cifrado de la información del equipo de la víctima. El malware moderno utiliza esquemas de cifrado que, hoy día, parecen ser impenetrables, por lo que las víctimas se enfrentan a la opción de pagar o perder sus archivos para siempre.

Ya que los cibercriminales se han dado cuenta de que las víctimas suelen estar dispuestas a pagar por la liberación de sus valiosos archivos, la frecuencia de ransomware y sus variaciones va en aumento.

Un escenario común: la víctima recibe un email de un “amigo” con un archivo adjunto ejecutable. Disfrazado como un documento inofensivo, abre el archivo, el cual ejecuta una descarga inmediata de malware, y los archivos de la víctima se cifran.

De acuerdo a una entrevista dirigida por el Centro Interdisciplinario de Investigación en Seguridad Cibernética de la Universidad de Kent más del 40% de las víctimas de CryptoLocker aceptaron pagar el rescate. Así mismo, un informe de Dell SecureWorks, muestra que el mismo malware sustrae hasta 30 millones de dólares cada 100 días.

Los métodos criminales se vuelven más sofisticados año tras año. El primer crypto-malware utilizó un algoritmo de clave simétrica, utilizando la misma clave para cifrar y descifrar. Generalmente, con algo de ayuda de los fabricantes anti-malware, la información corrompida podía descifrarse con éxito. Después, los cibercriminales comenzaron a implementar algoritmos de clave pública que utilizan dos claves por separado – la pública para cifrar archivos, y la privada para descifrar. En 2008, los expertos de Kaspersky Lab consiguieron crackear una clave RSA de 660-bits utilizada por el troyano GPCode, pero sus autores actualizaron rápidamente la clave a 1,024 bits, haciéndolo prácticamente imposible de descifrar.

Es imposible descifrar archivos cifrados por un crypto-malware moderno, por lo tanto, una medida de precaución para mantener los datos del usuario seguros es hacer una copia de seguridad; es un buen punto de partida pero podría no ser suficiente, ya que dejan desprotegidos a los archivos que han tenido cambios recientemente. Además, algunas variantes de ransomware incluso logran cifrar cada copia de seguridad que sean capaces de encontrar, incluyendo aquellas localizadas en redes compartidas.

Es por ello que Kaspersky Lab ha desarrollado alternativas para la protección de sus usuarios mediante la herramienta System Watcher, integrada en las soluciones Kaspersky. También se incluye Kaspersky Security Network (KSN) que cuenta con más de 60 millones de voluntarios alrededor del mundo. Este sistema de seguridad basado en la Nube procesa más de 600,000 solicitudes por segundo. De esta manera los usuarios proveen información en tiempo real sobre amenazas detectadas y eliminadas. Estos datos y otras investigaciones se analizan por un grupo de expertos en seguridad, cuyo objetivo es el descubrimiento y análisis de nuevas armas cibernéticas. Todo ello con la finalidad de ofrecer mayor seguridad ante las nuevas amenazas.

De hecho, el año pasado Kaspersky Lab participó en 93 pruebas independientes junto con otras otras compañías del sector, obteniendo los mejores resultados. Kaspersky Lab ha sido mencionado 66 veces dentro del top 3 y ha obtenido el primer lugar 51 veces.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y las herramientas corporativas de Kaspersky Lab.

Leer más

Filtración de datos en Cisco Talos

2022-08-18T12:39:10-05:00agosto 18, 2022|Seguridad|

Cisco Talos informó que un actor de ransomware vulneró su red en mayo de 2022, aunque no confirma la extracción de datos desde sus servidores.

Talos, la división de seguridad de Cisco, indicó que tuvo conocimiento de la brecha por primera vez el 24 de mayo y que ha estado trabajando para corregir la situación desde entonces.

El atacante pudo sustraer las credenciales de un empleado de Talos utilizando técnicas de Ingeniería Social. Con una serie de mensajes de phishing de voz de organizaciones aparentemente legítimas, se hizo con el control de la cuenta personal de Google del empleado, donde se sincronizaban sus credenciales de Talos.

Los atacantes acabaron convenciendo al empleado para que aceptara un aviso de autenticación multifactor (MFA), lo que les concedió el control total de la cuenta y el acceso a la VPN de la empresa.

Los avisos MFA han sido criticados anteriormente por ser vulnerables. Un procedimiento reiterado implica que un atacante bombardee el smartphone de un empleado de seguridad con notificaciones push de autorización MFA, a menudo en horas de sueño, esperando que sean aceptadas inadvertidamente, por exasperación o somnolencia.

Una vez dentro de los sistemas de Talos, el atacante utilizó tácticas para mantener su presencia y destruir las pruebas de sus actividades.

Talos expulsó a los atacantes y confirmó que los repetidos intentos de volver a entrar en el entorno a través de los métodos de persistencia desplegados fracasaron.

«El CSIRT y Talos están respondiendo al evento, y no hemos encontrado ninguna evidencia de que el atacante obtuviera acceso a los sistemas internos críticos, como los relacionados con el desarrollo de productos, la firma de código, etc.», señala la compañía en su blog.

Talos atribuyó el ataque a un agente de acceso inicial (IAB) asociado a LAPSUS$ y a la banda de ransomware Yanluowang, aunque sin comentar los supuestos datos publicados en el sitio de filtraciones de la web profunda de este último grupo esta semana.

El miércoles por la noche, Yanluowang publicó un archivo de texto en su sitio de filtraciones en línea, en el que afirmaba tener al menos 82 GB de datos. Estos incluían una amplia gama de acuerdos de no divulgación (NDA) aprobados, algunos de los cuales parecían implicar a empleados de Cisco con años de antigüedad.

Yanluowang contactó inicialmente a BleepingComputer con los archivos que decía haber robado la semana pasada.

En los chats compartidos con el editor, Yanluowang afirmó haber ofrecido a Talos «un muy buen trato» y que si Talos accedía a pagar el rescate, «nadie se enteraría del incidente y de la pérdida de datos».

Sin embargo, la filtración de datos por parte de Yanluowang y la publicación de la entrada del blog de Talos han llevado a los expertos a afirmar que los actores de la amenaza «forzaron a Talos» a revelar la información.

Dado que Talos tiene su sede en Estados Unidos, no está obligada a revelar las filtraciones de datos en un plazo determinado, a diferencia de las empresas sujetas a normativas de protección de datos como el GDPR europeo.

Según Symantec, Yanluowang saltó a la fama en 2021 tras una serie de ataques de ransomware dirigidos a empresas del sector financiero, así como de servicios de TI, consultoría e ingeniería.

Fuente https://diarioti.com/cisco-talos-confirma-filtracion-de-datos/120507

Leer más

Gobiernos de América latina expuestos a ransomware por falta de recursos

2022-06-28T13:51:30-05:00junio 28, 2022|Seguridad|

Algunos países de América Latina pueden ser objetivos fáciles para los ataques de ransomware debido a la falta de recursos de TI, particularmente en educación, higiene e infraestructura general, según el informe publicado por Grupo Inskit de Recorded Future.

Los investigadores indican que la situación en muchos de estos países es tal que los ataques de ransomware a entidades gubernamentales locales, provinciales o federales podrían constituir un riesgo de seguridad nacional y geopolítico creíble.

No se pudo determinar un vector de ataque definitivo para cada caso, pero la vía ‘más probable’ fue una combinación de credenciales y cookies de sesión comprometidas. Obtenidas de algún robo de información exitoso y que fueron vendidas en foros de la dark web.

El análisis señala las recientes acciones tomadas por el gobierno de Costa Rica después de que Conti, atacara el país a partir del 17 de abril. Primero se exigió $10 millones, luego el rescate se duplicó a $20 millones. Posteriormente Conti publicó comentarios instando a los costarricenses a marchar en las calles, derrocar al gobierno y exigir el pago del rescate.

A raíz del ataque el Departamento de Estado de EE.UU. anunció una recompensa de $10 millones por información sobre las figuras de liderazgo de Conti. Costa Rica hizo historia al convertirse en el primer país en declarar emergencia nacional como resultado de un ataque de ransomware.

Los mismos atacantes anunciaron poco después que también habían comprometido a la agencia de inteligencia de Perú. “¡Que tengas un lindo día!” decía el anuncio del 7 de mayo, que incluía 9.41 gigabytes de datos.

Entre enero y mayo de 2022 también se registraron ataques en México, Ecuador, Brasil y Argentina. Estos son parte de una serie de ataques registrados desde 2021, año en el que América Latina vio un gran incremento en el número de ataques por ransomware.

El informe concluye que América Latina es una “región cuya postura de seguridad no es tan sofisticada o desarrollada como otras regiones por varias razones (circunstancias geopolíticas e infraestructura en desarrollo, entre otras)” por tanto, “los actores de amenazas pueden ver entidades como objetivos fáciles para recolectar cuentas sensibles y financieramente lucrativas”.

Fuente https://www.cyberscoop.com/latin-america-ransomware-recorded-future/

Informe https://www.recordedfuture.com/latin-american-governments-targeted-by-ransomware

Leer más

Ransomware en las organizaciones en 2022

2022-06-21T15:59:09-05:00junio 21, 2022|Seguridad|

Ransomware es el malware que cifra los datos esenciales de las empresas y exige un rescate a cambio.

Una encuesta realizada en enero de 2022 a 1000 líderes de TI de más de 16 países en APJ, EMEA y América, con la condición de que todos los encuestados experimentaron al menos un ciberataque en 2021, arroja resultados decepcionantes, pese a todo lo que expertos en seguridad TI y organizaciones conocen sobre cómo enfrentarse al ransomware. El 73% de las organizaciones sufrieron dos o más ataques en los últimos 12 meses. La mayoría, el 44% de las infecciones de ransomware, entraron a través de correos electrónicos, enlaces y sitios web de phishing.

Otros puntos de entrada comunes para el ransomware son los tradicionales; parches o paquetes de software infectados (41%), credenciales comprometidas (35%), amenazas internas (32%) y vulnerabilidades de día cero o “críticas” (26%). Algunas de las empresas (1%) no han podido identificar el punto de entrada de los ataques.

Del 73% de afectados, el 35% experimentó dos ataques de ransomware, casi una cuarta parte (24%) enfrentó tres, cerca de una quinta parte (9%) tuvo cuatro y el 4% pasó por cinco. De manera extrema, el 1% de las organizaciones sufrió seis o más ataques de ransomware en los últimos 12 meses. El 27% restante de las organizaciones se enfrentó a un solo ataque de ransomware.

Pagar el rescate no garantiza la recuperación de los datos

El 76% de las organizaciones afectadas por el ransomware en el último año pagaron el rescate. Pero no fue la solución para casi una de cada cuatro (24%) de las empresas, porque no pudieron recuperar sus datos después.

No obstante, hay un dato “positivo”; casi una quinta parte (19%) de las empresas víctimas de ransomware el último año pudieron recuperar sus datos sin pagar el rescate.

Tres normas básicas para proteger la empresa u organización:

  • No abrir enlaces ni archivos adjuntos sospechosos: los ciberdelincuentes emplean varios métodos de ingeniería social para que las víctimas hagan clic en enlaces maliciosos, o abran un archivo adjunto de correo electrónico con malware que infectará el dispositivo. Es importante inspeccionar los enlaces, correos electrónicos u otros mensajes que se reciben y asegurarse de que provengan de una fuente confiable antes de interactuar con cualquiera de sus contenidos.
  • Mantener el software actualizado: actualizar periódicamente para contar con los parches de seguridad más recientes dificulta que los ciberdelincuentes aprovechen las vulnerabilidades de sus programas.
  • Hacer una copia de seguridad de los datos: Mantener los datos de una organización respaldados, incluso con una copia fuera de línea. De esta manera, si se experimenta un ataque de ransomware y se cifran los datos, no será necesario pagar para recuperarlos.

Parecen recomendaciones lógicas y sencillas de llevar a cabo, pero todavía muchas organizaciones y sus empleados no las tienen interiorizadas.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar a su empresa con NAKIVO Backup & Replication, herramienta para la recuperación y protección contra ransomware en entornos físicos, virtuales, SaaS y en la Nube.

Fuente https://cso.computerworld.es/cibercrimen/el-73-de-las-organizaciones-atacadas-con-ransomware-mas-de-dos-veces-en-un-ano

Leer más

Aceptamos

visa
mastercard
paypal
transferencia
Oficina

37 Poniente 2701, Segundo Piso
Col. Benito Juárez C.P. 72410
Puebla, Pue. México

email

info@adaptixnetworks.com

Teléfono

+52 222 555 2355

adaptix-w
Servicios
Información
Suscríbete a nuestro Newsletter

© Copyright 2025 | Adaptix Networks, S.A. de C.V.

Go to Top