Esta semana se dieron muchas noticias relacionadas con el ransomware, con el descubrimiento de LockBit probando los encriptadores macOS a una interrupción en NCR, causando dolores de cabeza masivos para los restaurantes.
Con mucho, la noticia más importante fue el descubrimiento de un cifrado LockBit Apple Silicon por MalwareHunterTeam. Aunque tiene muchos errores y necesita mucho desarrollo para funcionar correctamente, LockBit confirmó a BleepingComputer que se está desarrollando activamente.
Esta semana también se publicaron algunas investigaciones interesantes sobre ransomware, que incluyen:
- Las bandas de ransomware ahora abusan del RMM de Action1.
- Los ex miembros de Conti y FIN7 están impulsando un malware Domino.
- Un artículo técnico sobre Rorschach.
- Play ransomware utiliza el robo de datos personalizados y el malware de robo de información.
- Trigona está apuntando a servidores Microsoft SQL.
- Se abusa del controlador Process Explorer en ataques de ransomware.
Finalmente, nos enteramos de algunos ataques de ransomware, con una interrupción de NCR confirmada como ransomware y Capita confirmando que los datos fueron robados en un ataque cibernético.
Los colaboradores y aquellos que proporcionaron nueva información e historias de ransomware esta semana incluyen @billtoulas, @fwosar, @BleepinComputer, @LawrenceAbrams, @Ionut_Ilascu, @serghei, @demonslay335, @jorntvdw, @malwrhunterteam, @Seifreed, @AShukuhi, @patrickwardle, @Kostastsale, @BlackBerry, @TrendMicro, @WhichbufferArda, @NCCGroupplc, @BroadcomSW, @IBMSecurity, @AhnLab_man, @SophosXOps, @SentinelOne, @pcrisk, @AlvieriD, @BrettCallow y @siri_urz.
15 de abril de 2023
Los hackers comienzan a abusar de Action1 RMM en ataques de ransomware
Los investigadores de seguridad advierten que los ciberdelincuentes utilizan cada vez más el software de acceso remoto Action1 para persistir en redes comprometidas y para ejecutar comandos, scripts y binarios.
NCR sufre una interrupción de Aloha POS después del ataque de ransomware BlackCat
NCR está sufriendo una interrupción en su plataforma de punto de venta Aloha después de ser golpeado por un ataque de ransomware reclamado por la pandilla BlackCat / ALPHV.
16 de abril de 2023
LockBit ransomware cifradores encontrados dirigidos a dispositivos Mac
La pandilla de ransomware LockBit ha creado cifradores dirigidos a Mac por primera vez, probablemente convirtiéndose en la primera operación de ransomware importante dirigida específicamente a macOS.
El LockBit ransomware (kinda) viene para macOS
En esta publicación de blog destrozaremos la muestra, mostrando que, en última instancia, aunque sí puede ejecutarse en Apple Silicon, ese es básicamente el alcance de su impacto. Por lo tanto, los usuarios de macOS no tienen nada de qué preocuparse … ¡Por ahora!
Un análisis técnico del cifrador LockBit macOS
«Breve análisis de #Lockbit 3.0 para macOS ARM M1 / M2 Está utilizando una rutina XOR simple para descifrar todos los datos de configuración. La clave XOR es el valor estático ’57′»
17 de abril de 2023
Ex-miembros de Conti y desarrolladores de FIN7 se unen para impulsar el nuevo malware de Domino
Los ex miembros de ransomware Conti se han asociado con los actores de amenazas FIN7 para distribuir una nueva familia de malware llamada ‘Domino’ en ataques a redes corporativas.
Nueva variante de Fobos
PCrisk encontró una nueva variante de ransomware Phobos que agrega la extensión .sdk.
Nueva variante del ransomware VoidCrypt
PCrisk encontró una nueva variante de ransomware VoidCrypt que agrega el archivo . Recov extensión y deja caer una nota de rescate llamada Dectryption-guide.txt.
Nuevo ransomware CrossLock encontrado
S! Ri encontró un nuevo ransomware CrossLock que agrega la extensión .crlk y deja caer la nota de rescate —CrossLock_readme_To_Decrypt—.txt.
Nueva variante de ransomware STOP
PCrisk encontró una nueva variante de ransomware STOP que agrega la extensión .coty.
18 de abril de 2023
LockBit para Mac | ¿Qué tan real es el riesgo de macOS ransomware?
El 16 de abril, el usuario de Twitter @malwrhunterteam tuiteó detalles de una muestra del ransomware LockBit compilado para la arquitectura macOS arm64 de Apple. LockBit afirma ser «el programa de afiliados de ransomware más antiguo del planeta», y la noticia de que uno de los principales equipos de cibercrimen en el panorama del ransomware ahora apuntaba a dispositivos macOS ha generado preocupaciones sobre la amenaza de ransomware en dispositivos Mac.
Un análisis del BabLock (también conocido como Rorschach) ransomware
Un ransomware llamado BabLock (también conocido como Rorschach) recientemente ha estado haciendo olas debido a su cadena de ataque sofisticada y rápida que utiliza técnicas sutiles pero efectivas. Aunque se basa principalmente en LockBit, el ransomware es una mezcolanza de otras partes diferentes de ransomware reunidas en lo que ahora llamamos BabLock (detectado como Ransom.Win64.LOCKBIT.THGOGBB.enc). Tenga en cuenta, sin embargo, que no creemos que este ransomware se origine en los actores de amenazas detrás de LockBit, que ahora está en su tercera iteración.
Nuevas variantes de ransomware MedusaLocker
PCrisk encontró nuevas variantes de ransomware MedusaLocker que agregan las extensiones .skynetlock y .tangem.
19 de abril de 2023
Marzo de 2023 rompió récords de ataques de ransomware con 459 incidentes
Marzo de 2023 fue el mes más prolífico registrado por los analistas de ciberseguridad en los últimos años, midiendo 459 ataques, un aumento del 91% respecto al mes anterior y del 62% en comparación con marzo de 2022.
Play ransomware gang utiliza la herramienta personalizada de robo de datos Shadow Volume Copy
El grupo de ransomware Play ha desarrollado dos herramientas personalizadas en .NET, a saber, Grixba y VSS Copying Tool, que utiliza para mejorar la efectividad de sus ataques cibernéticos.
Servidores Microsoft SQL hackeados para implementar Trigona ransomware
Los atacantes están pirateando servidores Microsoft SQL (MS-SQL) mal protegidos y expuestos internamente para implementar cargas útiles de ransomware Trigona y cifrar todos los archivos.
Fortra comparte hallazgos sobre los ataques de día cero de GoAnywhere MFT
Fortra ha completado su investigación sobre la explotación de CVE-2023-0669, una falla de día cero en la solución GoAnywhere MFT que la banda de ransomware Clop explotó para robar datos de más de cien compañías.
Las bandas de ransomware abusan del controlador Process Explorer para matar el software de seguridad
Los actores de amenazas utilizan una nueva herramienta de piratería llamada AuKill para deshabilitar el software Endpoint Detection & Response (EDR) en los sistemas de los objetivos antes de implementar puertas traseras y ransomware en los ataques Bring Your Own Vulnerable Driver (BYOVD).
20 de abril de 2023
Capita confirma que hackers robaron datos en reciente ciberataque
El gigante de la externalización profesional con sede en Londres, Capita, ha publicado una actualización sobre el incidente cibernético que lo afectó a principios de mes, admitiendo ahora que los piratas informáticos exfiltraron datos de sus sistemas.
BlackBit ransomware se distribuye en Corea
AhnLab Security Emergency response Center (ASEC) ha descubierto recientemente la distribución del ransomware BlackBit disfrazado de svchost.exe durante el monitoreo del equipo. Según la infraestructura interna de ASEC, el ransomware BlackBit se ha distribuido continuamente desde septiembre del año pasado.
Nueva variante de ransomware MedusaLocker
PCrisk encontró una nueva variante de ransomware MedusaLocker que agrega la extensión .attackuk.
¡Eso es todo por esta semana! ¡Espero que todos tengan un buen fin de semana!
Fuente: https://www.bleepingcomputer.com