En los últimos meses, los ataques de ransomware se han intensificado a medida que se lanzan nuevas operaciones, regresan las antiguas y las operaciones existentes continúan apuntando a la empresa.
Esta semana, la Biblioteca Pública de Toronto fue atacada por la banda de ransomware Black Basta, desconectando muchos de sus servicios en línea.
Otros ataques de los que nos enteramos esta semana incluyen ACE Hardware, Mr. Cooper y la Biblioteca Británica. Si bien no se ha confirmado que se trate de ataques de ransomware, comparten muchos signos que generalmente se asocian con dichos ataques.
Debido al creciente número de ataques, una alianza de 40 países firmará un compromiso durante la tercera cumbre anual de la Iniciativa Internacional contra el Ransomware en Washington, D.C., para dejar de pagar el rescate exigido.
Sin embargo, esto puede ser una promesa vacía, ya que los gobiernos federales generalmente no pagan las demandas de ransomware y no evita que los gobiernos locales cedan a las demandas de extorsión.
Microsoft también se compromete a reforzar la seguridad como parte de su iniciativa ‘Secure Future’ mejorando la seguridad integrada de sus productos y plataformas para proteger mejor a los clientes contra las crecientes amenazas de ciberseguridad.
Por último, esta semana se ha publicado una nueva investigación sobre el ransomware, que incluye:
- Un informe sobre GhostSec, que ahora está utilizando un encriptador de ransomware en los ataques.
- Los actores de amenazas están explotando las fallas de Apache ActiveMQ para implementar el ransomware HelloKitty.
- El Departamento de Salud y Servicios Humanos de EE. UU. publicó una nota de analista sobre el ransomware 8Base.
- Sophos nos guió a través de un ataque paso a paso de MoneyMessage.
- Un nuevo limpiador BiBi-Linux fue visto utilizado en ataques a organizaciones israelíes.
- Por último, publicamos un informe sobre la nueva banda de ransomware Hunters International, que se cree que es un cambio de marca de Hive.
El posible regreso de Hive es particularmente interesante, ya que anteriormente fueron interrumpidos después de que el FBI hackeara los servidores de Hive y se apoderara de la infraestructura.
Entre los colaboradores y los que proporcionaron nueva información e historias sobre el ransomware esta semana se encuentran: @Seifreed, @malwrhunterteam, @demonslay335, @billtoulas, @serghei, @Ionut_Ilascu, @LawrenceAbrams, @fwosar, @BleepinComputer, @SecurityJoes, @rivitna2, @BushidoToken, @AlvieriD, @rapid7, @BradSmi, @uptycs, @pcrisk, @PogoWasRight y @BrettCallow.
28 de octubre de 2023
La Universidad de Stanford investiga un «incidente de ciberseguridad»
Más temprano en el día, el grupo de ransomware Akira había incluido a la Universidad de Stanford en su sitio de filtraciones con una nota: «Pronto la universidad también será conocida por 430 Gb de datos internos filtrados en línea. Información privada, documentos confidenciales, etc.»
29 de octubre de 2023
El nuevo ransomware de Hunters International podría cambiar el nombre de Hive
Ha surgido una nueva marca de ransomware como servicio llamada Hunters International utilizando el código utilizado por la operación de ransomware Hive, lo que lleva a la suposición válida de que la antigua banda ha reanudado su actividad bajo una bandera diferente.
30 de octubre de 2023
El nuevo malware BiBi-Linux wiper ataca a organizaciones israelíes en ataques destructivos
Un nuevo limpiador de malware conocido como BiBi-Linux se está utilizando para destruir datos en ataques dirigidos a sistemas Linux pertenecientes a empresas israelíes.
Los servicios de la Biblioteca Pública de Toronto están fuera de servicio tras el ciberataque del fin de semana
La Biblioteca Pública de Toronto (TPL, por sus siglas en inglés) advierte que muchos de sus servicios en línea están fuera de línea después de sufrir un ataque cibernético durante el fin de semana, el sábado 28 de octubre.
Nuevas variantes de ransomware STOP
PCrisk encontró nuevas variantes de ransomware STOP que agregan las extensiones .ppvs, .ppvt y .ppvw.
Nueva variante del ransomware Chaos
PCrisk encontró una nueva variante del ransomware Chaos que agrega el archivo . BlackHatUP y deja caer una nota de rescate llamada read_it.txt.
Nuevo ransomware Ran
PCrisk encontró un nuevo ransomware Ran que agrega el archivo . Ejecutó la extensión y deja caer una nota de rescate llamada Payment.txt.
31 de octubre de 2023
La Biblioteca Británica se desconecta por un ciberataque del fin de semana
La Biblioteca Británica se ha visto afectada por una importante interrupción de TI que afecta a su sitio web y a muchos de sus servicios tras un «incidente cibernético» que afectó a sus sistemas el sábado 28 de octubre.
Decenas de países se comprometerán a dejar de pagar a las bandas de ransomware
Una alianza de 40 países firmará un compromiso durante la tercera cumbre anual de la Iniciativa Internacional contra el Ransomware en Washington, D.C., para dejar de pagar los rescates exigidos por los grupos de ciberdelincuentes.
Paso a paso a través del ransomware Money Message
Money Message es una insidiosa familia de ransomware conocida por resistirse a la detección y la corrección de varias maneras. Recorremos un caso reciente
1 de noviembre de 2023
Interrupciones de la Biblioteca Pública de Toronto causadas por el ataque de ransomware Black Basta
La Biblioteca Pública de Toronto está experimentando interrupciones técnicas continuas debido a un ataque de ransomware Black Basta.
Advarra hackeado, los actores de amenazas amenazan con filtrar datos
Alrededor del 25 de octubre, Advarra fue hackeado y se extrajeron datos. Según una de las personas involucradas en el ataque, los ejecutivos sabían de la violación el 25 de octubre, pero no les pagaron ni negociaron con ellos.
El equipo de Daixin se atribuye la responsabilidad de los ataques que afectan a los hospitales canadienses y comienza a filtrar datos
El equipo de Daixin ahora se atribuye la responsabilidad y la filtración de datos de un ataque que ha afectado significativamente a cinco hospitales canadienses en Ontario.
HC3: Nota del analista – 8Base Ransomware
Un reciente ataque a un centro médico con sede en EE. UU. en octubre de 2023 pone de manifiesto la amenaza potencial de la banda de ransomware, 8Base, para el sector de la salud y la salud pública (HPH). Activo desde marzo de 2022, 8Base se volvió muy activo en el verano de 2023, centrando su orientación indiscriminada en múltiples sectores, principalmente en los Estados Unidos.
2 de noviembre de 2023
Microsoft se compromete a reforzar la seguridad como parte de la iniciativa ‘Secure Future’
Microsoft ha anunciado hoy la ‘Iniciativa de Futuro Seguro’, que se compromete a mejorar la seguridad integrada de sus productos y plataformas para proteger mejor a los clientes contra las crecientes amenazas de ciberseguridad.
Boeing confirma un ciberataque en medio de las acusaciones de ransomware LockBit
El gigante aeroespacial Boeing está investigando un ciberataque que afectó a su negocio de piezas y distribución después de que la banda de ransomware LockBit afirmara que había violado la red de la empresa y robado datos.
El ransomware HelloKitty ahora explota la falla de Apache ActiveMQ en los ataques
La operación de ransomware HelloKitty está explotando una falla de ejecución remota de código (RCE) de Apache ActiveMQ recientemente revelada para violar redes y cifrar dispositivos.
El gigante hipotecario Mr. Cooper sufre un ciberataque que afecta a los sistemas informáticos
El gigante estadounidense de préstamos hipotecarios Mr. Cooper fue víctima de un ataque cibernético que provocó que la compañía cerrara los sistemas informáticos, incluido el acceso a su portal de pagos en línea.
El ransomware BlackCat afirma haber violado al gigante de la salud Henry Schein
La banda de ransomware BlackCat (ALPHV) afirma que violó la red del gigante de la salud Henry Schein y robó docenas de terabytes de datos, incluidos datos de nómina e información de accionistas.
3 de noviembre de 2023
GhostSec: De la lucha contra ISIS a la posibilidad de atacar a Israel con RaaS
El colectivo de hackers llamado GhostSec ha presentado un innovador marco de Ransomware-as-a-Service (RaaS) llamado GhostLocker. Brindan asistencia integral a los clientes interesados en adquirir este servicio a través de un canal de Telegram dedicado. En la actualidad, GhostSec está centrando sus ataques en Israel. Este movimiento representa una desviación sorprendente de sus actividades pasadas y su agenda declarada.
¡Eso es todo por esta semana! ¡Espero que todos tengan un buen fin de semana!
Fuente: https://www.bleepingcomputer.com