Vimos cómo se cerraba otra operación de ransomware esta semana después de haber sido violada primero por las fuerzas del orden y luego dirigida a infraestructuras críticas, lo que las puso aún más en el punto de mira del gobierno de EE. UU.
Lo que hace que esto sea extraño es que esto parece ser una rutina común para el DarkSide, me refiero a BlackCat / ALPHV, operación de ransomware que tiende a golpear la infraestructura crítica, y luego se da cuenta de que fue un gran error.
Tal y como estaban las cosas, ya estaban siendo objeto de una operación internacional de aplicación de la ley, lo que permitió al FBI hackear los servidores de la banda durante meses mientras recopilaba datos, descifradores y, en última instancia, se apoderaba del dominio del sitio de fuga de datos.
Si bien la incautación del dominio de cebolla Tor fue un juego de tira y afloja entre el FBI y BlackCat, en lugar de cerrar, la banda de ransomware decidió continuar operando y prometió atacar la infraestructura crítica de EE. UU. en venganza.
Aproximadamente dos meses después, una de sus filiales atacó a Change Healthcar e de UnitedHealth Group, una empresa de soluciones tecnológicas utilizada por muchas farmacias, consultorios médicos y hospitales para facturar reclamaciones de atención médica y recetas.
Este ataque provocó graves trastornos en el sistema de salud de EE. UU., impidiendo que las farmacias aceptaran seguros y tarjetas de descuento y, en algunos casos, haciendo que los pacientes pagaran el precio completo de los medicamentos.
Al igual que su ataque a Colonial Pipeline como DarkSide, que los llevó a cerrar, su cambio de marca a BlackCat / ALPHV ahora se ha cerrado después del ataque de Change Healthcare.
Según una filial, Optum, la empresa matriz de Change Healthcare y subsidiaria de UnitedHealth, pagó un rescate de 22 millones de dólares a la operación de ransomware para evitar la filtración de datos robados y recibir un descifrador de archivos.
Sin embargo, este afiliado dice que BlackCat robó el rescate y no transfirió una parte del pago, afirmando que fue incautado por los «federales».
En realidad, BlackCat realizó una estafa de salida en la que robaron el rescate, culparon a las fuerzas del orden y cerraron, afirmando que no quieren volver a estar en los tribunales.
Desafortunadamente, es solo cuestión de tiempo antes de que veamos que la operación de ransomware cambia de nombre con un nuevo nombre para repetir este ciclo.
En otras noticias, la banda de ransomware Stormous atacó al fabricante de cerveza belga Duvel, que muchos consideran infraestructura crítica.
Por último, el gobierno suizo también advirtió que 65.000 de sus documentos se filtraron como parte de un ataque de ransomware Play en Xplain.
Entre los colaboradores y los que proporcionaron nueva información e historias sobre ransomware esta semana se encuentran @demonslay335, @Seifreed, @fwosar, @malwrhunterteam, @billtoulas, @BleepinComputer, @LawrenceAbrams, @serghei, @Ionut_Ilascu, @ddd1ms, @uuallan, @AShukuhi, @BrettCallow, @BushidoToken, @JBurnsKoven, @Jon__DiMaggio, @ValeryMarchive, @UK_Daniel_Card, @AlexMartin, @TalosSecurity, @CarlyPage_ y @pcrisk.
4 de marzo de 2024
El ransomware BlackCat apaga los servidores en medio de la afirmación de que robaron un rescate de 22 millones de dólares
La banda de ransomware ALPHV/BlackCat ha cerrado sus servidores en medio de afirmaciones de que estafaron al afiliado responsable del ataque a Optum, el operador de la plataforma Change Healthcare, por 22 millones de dólares.
¿Deberíamos prohibir el pago de rescates?
A medida que los ciberdelincuentes continúan cosechando las recompensas financieras de sus ataques, se habla cada vez más de una prohibición federal sobre el pago de rescates.
Nuevas variantes de ransomware STOP
PCrisk encontró nuevas variantes de ransomware STOP que agregan las extensiones .wisz y .wiaw.
Nueva variante del ransomware SkyNet
PCrisk encontró una variante de SkyNet que agrega la extensión .payuranson y deja caer una nota de rescate llamada SkynetData.txt.
5 de marzo de 2024
El ransomware BlackCat se cierra en una estafa de salida y culpa a los «federales»
La banda de ransomware BlackCat está llevando a cabo una estafa de salida, tratando de cerrar y huir con el dinero de los afiliados fingiendo que el FBI se apoderó de su sitio e infraestructura.
La operación conjunta de ransomware de GhostSec y la evolución de su arsenal
Talos observó que los grupos de ransomware GhostSec y Stormous operaban juntos para llevar a cabo varios ataques de doble extorsión utilizando los programas de ransomware GhostLocker y StormousX contra las víctimas en Cuba, Argentina, Polonia, China, Líbano, Israel, Uzbekistán, India, Sudáfrica, Brasil, Marruecos, Qatar, Turquía, Egipto, Vietnam, Tailandia e Indonesia, según nuestra evaluación de los mensajes de divulgación publicados por el grupo en sus canales de Telegram y el sitio de filtración de datos del ransomware Stormous.
Nueva variante del ransomware Makop
PCrisk encontró una variante de Makop que agrega la extensión .reload y deja caer una nota de rescate llamada +README-WARNING+.txt.
6 de marzo de 2024
Duvel dice que tiene cerveza «más que suficiente» después de un ataque de ransomware
La cervecería Duvel Moortgat fue golpeada por un ataque de ransomware a última hora de la noche de ayer, lo que detuvo la producción de cerveza en las instalaciones de embotellado de la empresa.
Capita, empresa que proporciona entrenamiento en submarinos nucleares en el Reino Unido, confirma un «incidente cibernético»
Capita, la compañía de subcontratación más grande del Reino Unido, confirmó el lunes que una interrupción de TI que dejó al personal bloqueado de sus cuentas el viernes fue causada por «un incidente cibernético».
Nuevas variantes del ransomware MedusaLocker
PCrisk encontró nuevas variantes de MedusaLocker que agregan las extensiones .genesis15 y .duralock05 y sueltan una nota de rescate llamada HOW_TO_BACK_FILES.html.
7 de marzo de 2024
FBI: EE.UU. perdió un récord de 12.500 millones de dólares por delitos en línea en 2023
El Centro de Denuncias de Delitos en Internet (IC3) del FBI ha publicado su Informe de Delitos en Internet de 2023, que registró un aumento del 22% en las pérdidas reportadas en comparación con 2022, lo que equivale a un récord de 12.500 millones de dólares.
Suiza: el ransomware Play filtró 65.000 documentos gubernamentales
El Centro Nacional de Seguridad Cibernética (NCSC) de Suiza ha publicado un informe sobre su análisis de una violación de datos tras un ataque de ransomware en Xplain, revelando que el incidente afectó a miles de archivos confidenciales del gobierno federal.
LockBit: Cómo la franquicia está tratando de organizar un regreso
Desde la operación legal de Cronos, la franquicia mafiosa LockBit 3.0 se ha esforzado por convencer de que el negocio continúa como si nada hubiera pasado. El examen de sus afirmaciones muestra una realidad muy diferente.
8 de marzo de 2024
UnitedHealth vuelve a poner en línea algunos servicios de farmacia de Change Healthcare
Change Healthcare de Optum ha comenzado a volver a poner los sistemas en línea después de sufrir un ataque de ransomware BlackCat paralizante el mes pasado que provocó una interrupción generalizada del sistema de salud de EE. UU.
¡Eso es todo por esta semana! ¡Espero que todos tengan un buen fin de semana!
Entre los colaboradores y los que proporcionaron nueva información e historias sobre ransomware esta semana se encuentran: @demonslay335, @Seifreed, @fwosar, @malwrhunterteam, @billtoulas, @BleepinComputer, @LawrenceAbrams, @serghei, @Ionut_Ilascu, @ddd1ms, @uuallan, @AShukuhi, @BrettCallow, @BushidoToken, @JBurnsKoven, @Jon__DiMaggio, @ValeryMarchive, @UK_Daniel_Card, @AlexMartin, @TalosSecurity, @CarlyPage_ y @pcrisk
4 de marzo de 2024
El ransomware BlackCat apaga los servidores en medio de la afirmación de que robaron un rescate de 22 millones de dólares
La banda de ransomware ALPHV/BlackCat ha cerrado sus servidores en medio de afirmaciones de que estafaron al afiliado responsable del ataque a Optum, el operador de la plataforma Change Healthcare, por 22 millones de dólares.
¿Deberíamos prohibir el pago de rescates?
A medida que los ciberdelincuentes continúan cosechando las recompensas financieras de sus ataques, se habla cada vez más de una prohibición federal sobre el pago de rescates.
Nuevas variantes de ransomware STOP
PCrisk encontró nuevas variantes de ransomware STOP que agregan las extensiones .wisz y .wiaw.
Nueva variante del ransomware SkyNet
PCrisk encontró una variante de SkyNet que agrega la extensión .payuranson y deja caer una nota de rescate llamada SkynetData.txt.
5 de marzo de 2024
El ransomware BlackCat se cierra en una estafa de salida y culpa a los «federales»
La banda de ransomware BlackCat está llevando a cabo una estafa de salida, tratando de cerrar y huir con el dinero de los afiliados fingiendo que el FBI se apoderó de su sitio e infraestructura.
La operación conjunta de ransomware de GhostSec y la evolución de su arsenal
Talos observó que los grupos de ransomware GhostSec y Stormous operaban juntos para llevar a cabo varios ataques de doble extorsión utilizando los programas de ransomware GhostLocker y StormousX contra las víctimas en Cuba, Argentina, Polonia, China, Líbano, Israel, Uzbekistán, India, Sudáfrica, Brasil, Marruecos, Qatar, Turquía, Egipto, Vietnam, Tailandia e Indonesia, según nuestra evaluación de los mensajes de divulgación publicados por el grupo en sus canales de Telegram y el sitio de filtración de datos del ransomware Stormous.
Nueva variante del ransomware Makop
PCrisk encontró una variante de Makop que agrega la extensión .reload y deja caer una nota de rescate llamada +README-WARNING+.txt.
6 de marzo de 2024
Duvel dice que tiene cerveza «más que suficiente» después de un ataque de ransomware
La cervecería Duvel Moortgat fue golpeada por un ataque de ransomware a última hora de la noche de ayer, lo que detuvo la producción de cerveza en las instalaciones de embotellado de la empresa.
Capita, empresa que proporciona entrenamiento en submarinos nucleares en el Reino Unido, confirma un «incidente cibernético»
Capita, la compañía de subcontratación más grande del Reino Unido, confirmó el lunes que una interrupción de TI que dejó al personal bloqueado de sus cuentas el viernes fue causada por «un incidente cibernético».
Nuevas variantes del ransomware MedusaLocker
PCrisk encontró nuevas variantes de MedusaLocker que agregan las extensiones .genesis15 y .duralock05 y sueltan una nota de rescate llamada HOW_TO_BACK_FILES.html.
7 de marzo de 2024
FBI: EE.UU. perdió un récord de 12.500 millones de dólares por delitos en línea en 2023
El Centro de Denuncias de Delitos en Internet (IC3) del FBI ha publicado su Informe de Delitos en Internet de 2023, que registró un aumento del 22% en las pérdidas reportadas en comparación con 2022, lo que equivale a un récord de 12.500 millones de dólares.
Suiza: el ransomware Play filtró 65.000 documentos gubernamentales
El Centro Nacional de Seguridad Cibernética (NCSC) de Suiza ha publicado un informe sobre su análisis de una violación de datos tras un ataque de ransomware en Xplain, revelando que el incidente afectó a miles de archivos confidenciales del gobierno federal.
LockBit: Cómo la franquicia está tratando de organizar un regreso
Desde la operación legal de Cronos, la franquicia mafiosa LockBit 3.0 se ha esforzado por convencer de que el negocio continúa como si nada hubiera pasado. El examen de sus afirmaciones muestra una realidad muy diferente.
8 de marzo de 2024
UnitedHealth vuelve a poner en línea algunos servicios de farmacia de Change Healthcare
Change Healthcare de Optum ha comenzado a volver a poner los sistemas en línea después de sufrir un ataque de ransomware BlackCat paralizante el mes pasado que provocó una interrupción generalizada del sistema de salud de EE. UU.