Las noticias de ransomware de esta semana han estado dominadas por un ataque de ransomware Royal en la ciudad de Dallas que derribó parte de la infraestructura de TI.
El ataque ocurrió la madrugada del lunes, afectando el sistema de despacho de la Policía de Dallas y la red informática de la biblioteca pública. Los sistemas adicionales, incluido el sitio web de la Ciudad, se cerraron a medida que pasaba el tiempo.
El miércoles, las impresoras de la red de la Ciudad comenzaron a imprimir notas de rescate del ataque. BleepingComputer obtuvo una captura de pantalla de esta nota, lo que nos permite identificar que la operación de ransomware Royal estaba detrás del ataque.
Si bien puede parecer contradictorio apuntar a un gobierno local, Bill Siegel de la firma de respuesta a incidentes de ransomware Coveware le dijo a BleepingComputer que aproximadamente el 35% de los casos del sector público que manejaron pagaron un rescate.
Esto incluye gobiernos locales, escuelas, policía u otras entidades financiadas con fondos públicos.
«Las víctimas históricas del sector público pagan rescates en el 35% de los casos que hemos manejado. Eso es 10 puntos porcentuales menos que el promedio general de toda la industria a partir del primer trimestre de 1 (2023%)», dijo Siegel a BleepingComputer.
«Agregaría que la tasa real es probablemente aún menor, ya que es mucho menos probable que las víctimas del sector público contraten ayuda externa de IR, especialmente si son muy pequeñas, por lo que es probable que haya un gran volumen de incidentes en los que la víctima del sector público solo se ocupa del impacto y ni siquiera se molesta en considerar involucrar al ciberdelincuente responsable».
Con respecto a otros ataques de ransomware esta semana, nos enteramos de:
- Extorsionistas que se burlan de Western Digital filtrando correos electrónicos y documentos de su respuesta a su ciberataque.
- El proveedor de salud mental pediátrica BrightLine reveló que sufrieron una violación de Clop GoAnywhere. Clop afirmó a BleepingComputer que eliminaron los datos después de enterarse de que estaban en el cuidado de la salud.
- ALPHV/BlackCat alegando haber atacado a Constellation Software.
- AvosLocker secuestró el sistema de alerta de emergencia del campus de Bluefield University para enviar mensajes de texto SMS y alertas por correo electrónico al personal y los estudiantes sobre el robo de sus datos.
La policía también tuvo una victoria esta semana cuando el FBI anunció que incautaron nueve intercambios de criptomonedas utilizados para lavar pagos de ransomware y criptomonedas robadas.
Finalmente, WithSecure publicó un interesante informe sobre los actores de amenazas dirigidos a los servidores de backup de Veeam para el acceso inicial a las redes corporativas.
Los colaboradores y aquellos que proporcionaron nueva información e historias de ransomware esta semana incluyen: @malwrhunterteam, @serghei, @demonslay335, @billtoulas, @Ionut_Ilascu, @fwosar, @LawrenceAbrams, @BleepinComputer, @Seifreed, @AlvieriD, @WithSecure, @PogoWasRight, @pcrisk, @siri_urz, @Unit42_Intel y @BrettCallow.
29 de abril de 2023
Los hackers atacan los servidores de backup vulnerables de Veeam expuestos en línea
Los servidores de backup de Veeam están siendo atacados por al menos un grupo de actores de amenazas conocidos por trabajar con múltiples bandas de ransomware de alto perfil.
1 de mayo de 2023
Los hackers filtran imágenes para burlarse de la respuesta de ciberataque de Western Digital
La operación de ransomware ALPHV, también conocida como BlackCat, ha publicado capturas de pantalla de correos electrónicos internos y videoconferencias robadas de Western Digital, lo que indica que probablemente tenían acceso continuo a los sistemas de la compañía, incluso cuando la compañía respondió a la violación.
2 de mayo de 2023
FBI incauta 9 intercambios de criptomonedas utilizados para lavar pagos de ransomware
El FBI y la policía ucraniana han incautado nueve sitios web de intercambio de criptomonedas que facilitaron el lavado de dinero para estafadores y ciberdelincuentes, incluidos actores de ransomware.
Nuevas variantes de STOP Ransomware
PCrisk encontró nuevas variantes de ransomware STOP que agregan las extensiones .saba, .sato y .fofd.
Nueva variante de ransomware Dharma
PCrisk encontró una nueva variante de Dharma Ransomware que agrega la extensión .h3r.
Nueva variante de ransomware Phobos
PCrisk encontró una nueva variante de Phobos Ransomware que agrega el archivo . Extensión BOOM.
Nueva variante de ransomware Xorist
PCrisk encontró una nueva variante de Xorist Ransomware que agrega el archivo . CrypBits256PT2 extensión y suelta una nota de rescate llamada CÓMO DESCIFRAR ARCHIVOS.txt.
Nueva variante de ransomware MedusaLocker
PCrisk encontró una nueva variante de MedusaLocker Ransomware que agrega la extensión .attacksystem.
Nuevo Zhong ransomware
PCrisk encontró un nuevo ransomware que agrega la extensión .zhong y deja caer una nota de rescate llamada Restore.txt.
3 de mayo de 2023
La violación de datos de Brightline afecta a 783.<> pacientes pediátricos de salud mental
El proveedor de salud mental pediátrica Brightline advierte a los pacientes que sufrió una violación de datos que afectó a 783,606 personas después de que una banda de ransomware robara datos utilizando una vulnerabilidad de día cero en su plataforma segura de intercambio de archivos Fortra GoAnywhere MFT.
La ciudad de Dallas golpeada por el ataque de ransomware Royal que afecta a los servicios de TI
La ciudad de Dallas, Texas, ha sufrido un ataque de ransomware Royal, lo que provocó que cerrara algunos de sus sistemas de TI para evitar la propagación del ataque.
Nueva variante de ransomware Rec_rans
PCrisk encontró el nuevo Rec_rans Ransomware que agrega la extensión .rec_rans y suelta una nota de rescate llamada HOW_TO_RECOVERY_FILES.txt.
Nuevo BlackSuit ransomware
S! Ri, MalwareHunterTeam y Unit 42 encontraron el nuevo ransomware BlackSuit que se dirige a Windows y VMware ESXi. Agrega la extensión .blacksuit y suelta una nota de rescate llamada README. BlackSuit.txt.
4 de mayo de 2023
Pandilla de ransomware secuestra sistema de alerta universitaria para emitir amenazas
La pandilla de ransomware Avos secuestró el sistema de transmisión de emergencia de la Universidad de Bluefield, «RamAlert», para enviar a los estudiantes y al personal mensajes de texto SMS y alertas por correo electrónico de que sus datos fueron robados y pronto serían liberados.
Nueva variante de ransomware Xorist
PCrisk encontró una nueva variante de ransomware Xorist que agrega la extensión .btc-Apt2 y suelta un nombre de nota de rescate CÓMO DESCIFRAR ARCHIVOS.txt.
5 de mayo de 2023
La pandilla ALPHV reclama un ataque de ransomware en Constellation Software
La compañía canadiense de software diversificado Constellation Software confirmó el jueves que algunos de sus sistemas fueron violados por actores de amenazas que también robaron información personal y datos comerciales.
¡Eso es todo por esta semana! ¡Espero que todos tengan un buen fin de semana!
Fuente: https://www.bleepingcomputer.com