A principios de julio la empresa tecnológica Kaseya sufrió uno de los ataques ransomware más espectaculares que se recuerda. Al ser sus clientes otras empresas tecnológicas, el número de afectas fue muchísimo mayor de lo normal. Ahora Kaseya ha conseguido dar con la herramienta para descifrar los sistemas comprometidos, eso sí, no permite a nadie hablar de ello. Según recoge CNN, Kaseya está pidiendo a los clientes afectados por REvil que firmen un acuerdo de confidencialidad para obtener la clave con la que recuperar sus sistemas.

Varias páginas web operadas por el grupo de ransomware relacionado con las autoridades rusas REvil han desaparecido repentinamente y ya no están operativas. Ha dejado de funcionar incluso la plataforma que utilizaban para gestionar y negociar los pagos de los rescates de sus víctimas, su portal público en la Dark Web. Desde primeras horas de este pasado martes, según Bloomberg, no se puede acceder a ellos. Además, según el Analista de inteligencia Allan Liska, también está fuera de servicio toda la infraestructura que el grupo empleaba...

La plataforma Ransomwhere rastrea rescates pagados por ransomware. En total lleva registrados 60.925.252,88 dólares y los ataques de Netwalker son los que más dinero acumulan, con más de 27 millones de dólares ingresados. Este mapa muestra los ataques de ransomware que se ejecutan en tiempo real en todo el mundo.

1) PoweShell Bombeutilizado por atacantes ransomware Revil a Kaseya Kaseya VSA Agent Hot-fix 2) Deshabilita Windows Defender 3) Utiliza #LOLBIN certutil.exe para copiar malware agent.exe. Gracias Elhacker.net.

RAASnet es un proyecto escrito en Python que se creó para demostrar lo fácil que es desarrollar ransomware y ver cómo funciona. El script funciona en Windows, Linux y MacOS. En Windows se recomienda compilar payload.py en formato EXE para hacerlo más portátil. Ni que decir tiene que el uso de esta herramienta debe limitarse a la investigación y análisis de este tipo de amenazas, nunca para dañar un tercero y/o con propósito lucrativo.

El Departamento de Justicia anunció que recuperó $2.3 millones del dinero que obtuvieron piratas informáticos tras el hackeo que el mes pasado interrumpió la actividad del oleoducto Colonial y causó problemas de suministro de combustible en varios estados del Este del país. La empresa que opera el oleoducto Colonial dijo entonces que pagó $4.4 millones a un grupo de hackers rusos para retomar el control de los sistemas de la tubería. Relacionada: www.meneame.net/story/mayor-red-oleoductos-eeuu-deja-operar-ciberataqu

Hablemos de cómo las criptomonedas han hecho posible los ataques de ransomware a gran escala en los últimos tiempos (ING)

El ransomware es un tipo de malware que emplea el uso cifrado para secuestrar la información de la empresa víctima y solicitar un rescate. El cifrado asimétrico (clave pública) es una técnica criptográfica en la que se utilizan un par de claves para cifrar y descifrar un archivo. El delincuente genera de manera exclusiva el par de claves pública-privada para la víctima y almacena la clave privada para descifrar los archivos en su servidor. La víctima solamente podrá acceder a la clave privada tras el pago de un rescate.

El pasado mes de diciembre, el jefe interino de la Agencia federal de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. afirmó que este tipo de malware se estaba "convirtiendo rápidamente en una emergencia nacional". Las organizaciones que optan por no pagar rescates pueden pasarse meses reconstruyendo sus sistemas, mientras que hay otras (como los hospitales) para las que no pagar sencillamente no es una opción (al menos, si no quieren provocar que alguien muera).

Ciberdelincuencia y tratamiento del delito. Una de las modalidades más extendidas de la ciberdelincuencia es el ransomware, esto es, el secuestro de información situada en el ordenador (mediante la imposibilidad de acceder a él) con la finalidad de pedir un rescate que, hipotéticamente, lo desbloquearía. Esta modalidad delictiva se ha extendido mucho, como señalaba antes. Y su tratamiento jurídico no está exento de dificultades.

DarkSide, el grupo de piratas informáticos acusado de atacar la mayor red de oleoductos de Estados Unidos, dejó de operar, afirmaron este viernes dos compañías de ciberseguridad estadounidenses. Según las empresas FireEye e Intel 471, DarkSide comunicó el jueves a sus afiliados que dejará de ofrecer programas de "ransomware" para realizar ciberataques, en los que se secuestra información a cambio de una recompensa. Darkside explicó que una parte "pública" de su infraestructura fue "alterada" por una agencia

Un nuevo ciberataque sacude varios ayuntamientos y entidades nacionales. Durante este fin de semana, la empresa asturiana ASAC dedicada a servicios en la nube ha sido afectada por un ransomware y ha dejado sin servicio a las entidades nacionales con quienes colabora. Ayuntamientos como el de Oviedo o Vinaròs se han visto afectados, así como distintos portales de entidades como la Fundación Española para la Ciencia y la Tecnología, el Tribunal de Cuentas o el Consejo de Seguridad Nuclear (CSN), que en estos momentos siguen sin estar accesibles

Desde las cinco de la mañana, todos los servicios informáticos del Ayuntamiento de Oviedo están secuestrados. Los 'hackers' habrían logrado colar en los servidores del Ayuntamiento un programa que deniega y bloquea el acceso a servidores y datos. Han pedido ayuda al CNI.

Microsoft ha reforzado el antivirus de serie de Windows, Microsoft Defender, con nuevas funciones que buscan evitar los ciberataques de 'cryptojacking', a través del uso de la tecnología de detección automática de amenazas Threat Detection Technology (TDT) de Intel. El 'cryptojacking' es un tipo de 'malware' que utiliza una parte del poder de computación de los equipos infectados para minar criptomonedas, como Bitcoin o Ethereum. Este tipo de ataques aumentó un 43 por ciento en el cuarto trimestre de 2020 con respecto al periodo anterior.

A continuación, os voy a exponer 10 CiberConsejos que si implementáis en vuestra corporación,la posibilidad de sufrir un ciberataque como los que están abriendo titulares últimamente se reducirá casi a cero: 1- Segmentar la red, 2- Control tráfico entrada-salida, 3- Actualizar, 4- Copias de seguridad, 5- Acceso remoto limitado, 6- Contraseñas texto plano, 7- Cifrado, 8- Wifi invitados, 9- IDS/IPS y 10- Denunciar. Bonus: macros.

Una campaña masiva del ransomware Qlocker, el cual afecta a los dispositivos QNAP, hace que el contenido de los usuarios termine cifrado en archivos 7zip. Ha sido detectado recientemente y actúa de forma similar a como lo hace cualquier amenaza de este tipo. En inglés y más extensa: www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-atta

Desde el Instituto Nacional de Ciberseguridad, el INCIBE se ha lanzado una guía sobre ransomware enfocada hacia el empresario. ¿Por qué hacia el empresario? Porque a pesar de ser un tema complejo de seguridad, es importante, es fundamental la concienciación por parte de los responsables en las empresas de lo que supone sufrir un ataque de este tipo, qué tipo de rescate nos piden, cómo podemos prevenirlo o qué tenemos que hacer si hemos sufrido un ataque de Ransomware. La guía está disponible para su descarga desde la página del INCIBE.

El Área de Tecnología y Comunicaciones (TIC) de la Universidad de Castilla-La Mancha, trabaja desde anoche en resolver una “incidencia” en los servicios digitales tras sufrir un ciberataque con un virus de tipo ransomware y que ha obligado a cortar la conectividad externa, según indicaban en su perfil de twitter.

A principios de abril el Ayuntamiento de Castellón reconocía haber sufrido un ciberataque. Los medios regionales se hicieron eco de las intenciones del Consistorio: no pagarían el rescate que les exigían los ciberdelincuentes, tal y como recomendó la Policía. Las consecuencias han llegado este fin de semana. Los atacantes han reivindicado la filtración de 119 gigabytes en datos robados durante el ataque.

Los especialistas en este caso utilizan lo que llamamos alojamientos a prueba de balas. Un equivalente en la vida real es los narcopisos. Hay alojadores que cuentan con ellas y simplemente hacen la vista gorda ante el uso de grupos de delincuentes. Y no están ocultas en países del Este, ni en la estepa siberiana. Están en países europeos, con legislaciones europeas, y con controles que simplemente, o no sirven, o no son efectivos. La utilizada en el ataque puede apuntar a Holanda, como ya ocurrió en 2018, donde se desmanteló después de cientos…

El ataque con ransomware del grupo REvil que pide 50 millones de dólares a la empresa taiwanesa ACER, habría sucedido a través de un servidor de correo de Microsoft Exchange sin parchear. A principios de marzo se descubrieron varios de fallos de seguridad "zero-day" en el sistema de correo de Microsoft que estaban siendo explotados en la red, y que permiten ejecución remota de código sobre cualquier servidor Exchange accesible en Internet. Relacionada: www.meneame.net/story/exigen-acer-50-millones-dolares-tras-ciberataque

Ryuk, el software causante de todo esto, Este ransomware, que ha provocado el primer gran incidente informático en España (que trasciende al público) en lo que va de año, también se distribuía mediante una botnet, un red de dispositivos y ordenadores vulnerables infectados y controlados remotamente, llamada Trickbot. La naturaleza de este ataque lleva a pensar a muchos profesionales de la seguridad informática que aunque raro, es posible que este ataque, en caso de ser dirigido pueda no solicitar una compensación económica como es habitual.

El Servicio Público de Empleo Estatal (SEPE) ha sufrido un ciberataque que lo ha dejado tumbado. Desde este organismo han querido dejar claro que datos personales, pago de nóminas y prestaciones de desempleo o ERTES no se han visto afectados, pero otros muchos servicios sí.