Una operación internacional de aplicación de la ley afirma haber desmantelado una operación filial de ransomware en Ucrania, que fue responsable de ataques a organizaciones en 71 países.
Se dice que los actores de amenazas son afiliados a numerosas operaciones de ransomware, incluidas LockerGoga, MegaCortex, HIVE y Dharma. Se dice que esta operación cibercriminal ha provocado la pérdida de cientos de millones de euros.
La operación policial tuvo lugar el 21 de noviembre, con redadas coordinadas en 30 localidades de Kiev, Cherkasy, Rivne y Vinnytsia. Como resultado de la operación, la policía detuvo al presunto cabecilla del grupo y a cuatro de sus cómplices.
De particular interés es que Noruega estuvo involucrada en la operación, lo que hace que los investigadores de ciberseguridad crean que este grupo afiliado puede haber estado detrás del ataque Norsk Hydro, que involucró el ransomware LockerGoga.
Sin embargo, un actor de amenazas cuestionó esos rumores en el foro de piratería XSS de habla rusa, alegando que el grupo afiliado no tuvo nada que ver con el ataque. El actor de amenazas afirma además ser el que le dio el dedo a un dron de la policía en el siguiente video de la operación policial.
En otras noticias, los ataques de ransomware han ido en aumento, y esta semana se ha revelado más información sobre los ataques.
Esto incluye ataques contra el desarrollador de juegos Ethyrial: Echoes of Yore, Ardent Health Services, el mayor proveedor de energía de Eslovenia, HSE, y un nuevo cifrado del gigante de la salud Henry Schein como castigo por supuestamente no pagar el rescate.
También nos enteramos de que el ataque a DP World no involucró encriptación. Sin embargo, podría haber sido un ataque de ransomware que se detuvo antes de que se implementaran los encriptadores.
Por último, los investigadores publicaron información interesante sobre el ransomware, incluido el ransomware Cactus que explota las fallas de Qlik Sense para violar las redes, y el ransomware Black Basta que se cree que ha ganado más de 100 millones de dólares.
Entre los colaboradores y los que proporcionaron nueva información e historias sobre ransomware esta semana se encuentran: @malwrhunterteam, @Ionut_Ilascu, @LawrenceAbrams, @billtoulas, @serghei, @Seifreed, @BleepinComputer, @demonslay335, @fwosar, @pcrisk, @CorvusInsurance, @elliptic, @AWNetworks, @ShadowStackRE, @ddd1ms, @3xp0rtblog, @jgreigj y @BrettCallow.
27 de noviembre de 2023
El gigante de la salud Henry Schein se ve afectado dos veces por el ransomware BlackCat
La compañía estadounidense de atención médica Henry Schein ha informado de un segundo ciberataque este mes por parte de la banda de ransomware BlackCat/ALPHV, que también violó su red en octubre.
Un ataque de ransomware contra el fabricante de juegos independientes borró todas las cuentas de los jugadores
Un ataque de ransomware en el MMORPG «Ethyrial: Echoes of Yore» el viernes pasado destruyó 17,000 cuentas de jugadores, eliminando sus elementos en el juego y su progreso en el juego.
Las salas de emergencia de los hospitales se ven interrumpidas en 6 estados después de un ataque de ransomware
Ardent Health Services, un proveedor de atención médica que opera 30 hospitales en seis estados de EE. UU., reveló hoy que sus sistemas fueron afectados por un ataque de ransomware el jueves.
El mayor proveedor de energía de Eslovenia, HSE, sufre un ataque de ransomware
La compañía eléctrica eslovena Holding Slovenske Elektrarne (HSE) ha sufrido un ataque de ransomware que comprometió sus sistemas y archivos cifrados, pero la compañía dice que el incidente no interrumpió la producción de energía eléctrica.
Análisis de LostTrust Ransomware
La familia de ransomware LostTrust tiene un grupo de víctimas bastante pequeño y ha comprometido a las víctimas a principios de este año. El encriptador tiene características similares a las de la familia de ransomware MetaEncryptor, incluido el flujo de código y las cadenas, lo que indica que el encriptador es una variante de la fuente original de MetaEncryptor.
Nueva variante del Caos «MuskOff»
PCrisk encontró una nueva variante de Chaos que agrega el archivo . MuskOff y deja caer una nota de rescate llamada read_it.txt.
28 de noviembre de 2023
La policía desmantela el grupo de ransomware que está detrás de los ataques en 71 países
En cooperación con Europol y Eurojust, las fuerzas del orden de siete países han arrestado en Ucrania a los principales miembros de un grupo de ransomware vinculado a ataques contra organizaciones en 71 países.
El ransomware Qilin reivindica un ataque al gigante de la automoción Yanfeng
El grupo de ransomware Qilin se ha atribuido la responsabilidad de un ciberataque a Yanfeng Automotive Interiors (Yanfeng), uno de los mayores proveedores de piezas de automoción del mundo.
DP World confirma que los datos fueron robados en un ciberataque, sin que se haya utilizado ransomware
El gigante de la logística internacional DP World ha confirmado que los datos fueron robados durante un ciberataque que interrumpió sus operaciones en Australia a principios de este mes. Sin embargo, la compañía dice que no se utilizaron cargas útiles de ransomware ni cifrado en el ataque.
29 de noviembre de 2023
El ransomware Black Basta ganó más de 100 millones de dólares con la extorsión
La banda de ransomware Black Basta, vinculada a Rusia, ha recaudado al menos 100 millones de dólares en pagos de rescate de más de 90 víctimas desde que apareció por primera vez en abril de 2022, según una investigación conjunta de Corvus Insurance y Elliptic.
Nuevas variantes de ransomware STOP
PCrisk encontró nuevas variantes de ransomware STOP que agregan las extensiones .jawr y .jazi.
Nueva variante del ransomware Phobos
PCrisk encontró una nueva variante de Fobos que agrega el archivo . LEAKDB y deja caer una nota de rescate llamada info.txt e info.hta.
30 de noviembre de 2023
El ransomware Cactus explota los fallos de Qlik Sense para vulnerar las redes
El ransomware Cactus ha estado explotando vulnerabilidades críticas en la solución de análisis de datos Qlik Sense para obtener acceso inicial a las redes corporativas.
1 de diciembre de 2023
60 cooperativas de ahorro y crédito se enfrentan a interrupciones debido a un ataque de ransomware a un popular proveedor de tecnología
Alrededor de 60 cooperativas de ahorro y crédito están lidiando con interrupciones debido a un ataque de ransomware a un proveedor de tecnología ampliamente utilizado.
Nueva variante de MedusaLocker «DoctorHelp»
PCrisk encontró una nueva variante de MedusaLocker que agrega la extensión .doctorhelp y deja caer una nota de rescate llamada How_to_back_files.html.
Nueva variante del ransomware Dharma
PCrisk encontró una nueva variante de Darhma que agrega la extensión .intel.
¡Eso es todo por esta semana! ¡Espero que todos tengan un buen fin de semana!
Fuente: https://www.bleepingcomputer.com