La semana en ransomware – 5 de mayo de 2023 – Apuntando al sector público

Las noticias de ransomware de esta semana han estado dominadas por un ataque de ransomware Royal en la ciudad de Dallas que derribó parte de la infraestructura de TI.

El ataque ocurrió la madrugada del lunes, afectando el sistema de despacho de la Policía de Dallas y la red informática de la biblioteca pública. Los sistemas adicionales, incluido el sitio web de la Ciudad, se cerraron a medida que pasaba el tiempo.

El miércoles, las impresoras de la red de la Ciudad comenzaron a imprimir notas de rescate del ataque. BleepingComputer obtuvo una captura de pantalla de esta nota, lo que nos permite identificar que la operación de ransomware Royal estaba detrás del ataque.

Si bien puede parecer contradictorio apuntar a un gobierno local, Bill Siegel de la firma de respuesta a incidentes de ransomware Coveware le dijo a BleepingComputer que aproximadamente el 35% de los casos del sector público que manejaron pagaron un rescate.

Esto incluye gobiernos locales, escuelas, policía u otras entidades financiadas con fondos públicos.

«Las víctimas históricas del sector público pagan rescates en el 35% de los casos que hemos manejado. Eso es 10 puntos porcentuales menos que el promedio general de toda la industria a partir del primer trimestre de 1 (2023%)», dijo Siegel a BleepingComputer.

«Agregaría que la tasa real es probablemente aún menor, ya que es mucho menos probable que las víctimas del sector público contraten ayuda externa de IR, especialmente si son muy pequeñas, por lo que es probable que haya un gran volumen de incidentes en los que la víctima del sector público solo se ocupa del impacto y ni siquiera se molesta en considerar involucrar al ciberdelincuente responsable».

Con respecto a otros ataques de ransomware esta semana, nos enteramos de:

• Extorsionistas que se burlan de Western Digital filtrando correos electrónicos y documentos de su respuesta a su ciberataque.
• El proveedor de salud mental pediátrica BrightLine reveló que sufrieron una violación de Clop GoAnywhere. Clop afirmó a BleepingComputer que eliminaron los datos después de enterarse de que estaban en el cuidado de la salud.
• ALPHV/BlackCat alegando haber atacado a Constellation Software.
• AvosLocker secuestró el sistema de alerta de emergencia del campus de Bluefield University para enviar mensajes de texto SMS y alertas por correo electrónico al personal y los estudiantes sobre el robo de sus datos.

La policía también tuvo una victoria esta semana cuando el FBI anunció que incautaron nueve intercambios de criptomonedas utilizados para lavar pagos de ransomware y criptomonedas robadas.

Finalmente, WithSecure publicó un interesante informe sobre los actores de amenazas dirigidos a los servidores de backup de Veeam para el acceso inicial a las redes corporativas.

Los colaboradores y aquellos que proporcionaron nueva información e historias de ransomware esta semana incluyen: @malwrhunterteam, @serghei, @demonslay335, @billtoulas, @Ionut_Ilascu, @fwosar, @LawrenceAbrams, @BleepinComputer, @Seifreed, @AlvieriD, @WithSecure, @PogoWasRight, @pcrisk, @siri_urz, @Unit42_Intel y @BrettCallow.

29 de abril de 2023

Los hackers atacan los servidores de backup vulnerables de Veeam expuestos en línea