Tag: Ransomware

35 años después: la historia y evolución del ransomware

Post author By lisa nichols
Post date January 17, 2025
No Comments on 35 años después: la historia y evolución del ransomware

[ad_1]

Diciembre de 2024 tiene la dudosa distinción de ser el 35º aniversario del primer ransomware Y el vigésimo aniversario del primer uso del ransomware criminal moderno. Desde finales de la década de 1980, el ransomware ha evolucionado e innovado hasta convertirse en una importante empresa criminal, por lo que parece apropiado reflexionar sobre los cambios e innovaciones que hemos visto en el ransomware durante las últimas tres décadas.

El primer uso de ransomware se identificó en diciembre de 1989; Un individuo envía por correo disquetes que afirman contener software para ayudar a juzgar si un individuo está en riesgo de contraer SIDA, de ahí el nombre AIDS Trojan. Una vez instalado el programa, espere a que la computadora se reinicie 90 veces antes de proceder a ocultar directorios, cifrar nombres de archivos y mostrar una nota de rescate solicitando que se envíe un cheque de caja a un buzón de correo en Panamá para obtener una licencia que pueda recuperar archivos y directorios. .

El responsable fue identificado pero declarado no apto para ser juzgado. Finalmente, la dificultad de distribución. malware Cobrar pagos en el mundo anterior a Internet significó que el intento fue en vano. Sin embargo, la tecnología ha avanzado; Las computadoras están cada vez más conectadas a las redes y han surgido nuevas oportunidades para distribuir ransomware.

En 1996, los investigadores se dieron cuenta del peligro de un “criptovirus” que podía utilizar el cifrado para lanzar ataques de extorsión a las víctimas que necesitaban pagar a cambio de proporcionar la clave de descifrado. Las defensas necesarias para derrotar la amenaza también fueron efectivas. software antivirus y el sistema Copias de seguridad.

Martín Lee

Líder técnico de Investigación de Seguridad – EMEA en Cisco Talos.

Aprovechando los beneficios del ransomware

En diciembre de 2004, se reveló evidencia del primer uso de ransomware criminal, GPCode. Este ataque se dirigió a usuarios de Rusia y se entregó como un archivo adjunto de correo electrónico que pretendía ser una solicitud de empleo. Una vez abierto, el archivo adjunto descarga e instala malware en el dispositivo de la víctima que escanea el sistema de archivos y cifra los archivos de los tipos específicos. Las primeras muestras implementaron una rutina de cifrado personalizada que se superó fácilmente antes de que el atacante adoptara la clave pública segura. Cifrado Algoritmos que eran difíciles de piratear.

Este ataque claramente despertó la imaginación de los delincuentes, ya que poco después se lanzaron una variedad de formas diferentes de ransomware. Sin embargo, estos primeros ataques se vieron obstaculizados por la falta de medios fácilmente accesibles para cobrar el pago del rescate sin revelar la identidad del atacante. Proporcionar instrucciones para transferir pagos a cuentas bancarias específicas dejó al atacante vulnerable a una investigación legal de “seguir el dinero”. Los atacantes se están volviendo más creativos al pedir a las víctimas que llamen a números de teléfono con precios especiales o incluso que compren artículos en una farmacia en línea y proporcionen el recibo para recibir instrucciones de descifrado.

Las monedas virtuales y las plataformas de comercio de oro han proporcionado una forma de transferir pagos fuera de los sistemas bancarios regulados y los operadores de ransomware las han adoptado ampliamente como un mecanismo directo para recibir pagos, manteniendo al mismo tiempo su anonimato. Sin embargo, estos servicios de pago finalmente resultaron vulnerables a las acciones de las autoridades reguladoras que limitaban su uso.

La aparición de criptomonedas, como Bitcoin, proporcionó un medio eficaz para que los delincuentes cobraran rescates de forma anónima dentro de un marco resistente a la alteración por parte de las autoridades reguladoras o policiales. Como resultado, los pagos con criptomonedas han sido adoptados con entusiasmo por los operadores de ransomware, siendo el exitoso ransomware CryptoLocker a finales de 2013 uno de los primeros en adoptarlo.

Diversificar la cartera de operaciones de ransomware

Con la adopción de las criptomonedas como medio eficaz para recibir pagos, los operadores de ransomware han podido centrarse en ampliar sus operaciones. El ecosistema ransomware está empezando a profesionalizarse con proveedores especializados que ofrecen sus servicios para compartir algunas de las tareas involucradas en la realización de ataques.

A principios de la década de 2010, los operadores de ransomware tendían a adoptar sus medios preferidos para distribuir su malware, como enviar mensajes de spam, sabotear sitios web o asociarse con operadores de bots que podían instalar malware en una gran cantidad de sistemas comprometidos. Al desarrollar un ecosistema de socios, los autores de ransomware pueden centrarse en desarrollar un mejor ransomware y dejar la distribución de malware a operadores con menos habilidades técnicas que pueden centrarse en técnicas de distribución e ingeniería social.

Los delincuentes han desarrollado portales sofisticados para que sus afiliados midan su éxito y accedan a nuevas funciones para facilitar sus ataques y cobrar pagos de rescate. Inicialmente, estos ataques adoptaron un enfoque de distribución de malware a gran escala en un intento de infectar a tantos usuarios como fuera posible para maximizar el pago del rescate sin tener en cuenta el perfil de las víctimas.

En 2016 se identificó un nuevo tipo de ransomware, SamSam, que se distribuía según un modelo diferente. En lugar de priorizar la cantidad de infecciones y afectar a un gran número de usuarios a cambio de rescates relativamente pequeños, los distribuidores de SamSam se dirigieron a organizaciones específicas y exigieron grandes sumas de dinero a cambio de sus rescates. La pandilla combinó técnicas de piratería con ransomware, buscando penetrar los sistemas de las organizaciones. Luego, el ransomware se identifica e instala en sistemas informáticos clave para perturbar aún más a toda la organización.

Esta innovación ha cambiado el mercado del ransomware. Los operadores de ransomware descubrieron que era más rentable apuntar a organizaciones, perturbando organizaciones enteras y cerrando sus operaciones, lo que les permitía exigir rescates mucho más altos, que cifrar los dispositivos finales de los individuos.

Los delincuentes rápidamente priorizaron ciertos sectores industriales; La industria de la salud se ha convertido en un objetivo frecuente. Supuestamente, esto se debió al impacto del ransomware en los sistemas operativos clave, interrumpiendo gravemente el funcionamiento del centro de atención médica, poniendo vidas en riesgo y, como resultado, aumentando la presión sobre la alta dirección para que pagara el rescate y restaurar rápidamente la funcionalidad.

El ransomware nació en la era moderna

En noviembre de 2019, los atacantes que entregaban el ransomware Maze utilizaron por primera vez la innovación de doble extorsión. En estos ataques, el atacante roba datos confidenciales de los sistemas antes de cifrarlos. Al hacer esto, el atacante puede ejercer dos formas de presionar a los líderes empresariales para que paguen el rescate; Eliminación del acceso a los datos y amenaza de divulgación pública de datos confidenciales con consecuencias regulatorias y para la reputación.

A lo largo de los años, han surgido varios imitadores de ransomware. Hemos visto ransomware falso que simplemente entrega una nota de rescate sin tener que cifrar ningún dato; Esperemos que las víctimas paguen pase lo que pase.

WannaCry era un malware autopropagante que se propagó por todo el mundo en mayo de 2017. Aunque el malware cifraba datos, la pequeña cantidad de carteras Bitcoin populares por las que se exigían pagos de rescate significaba que el atacante tenía pocas oportunidades de saber cuál de ellas. Las víctimas han pagado el rescate y a quién se les deben entregar las claves de descifrado.

El malware NotPetya que apareció en junio de 2017 es supuestamente ransomware y se propaga de forma independiente a través de las redes. Aunque cifró archivos y ofreció una nota de rescate, fue un ataque devastador. El identificador único de la nota no era relevante para el proceso de cifrado y el malware borró y cifró datos importantes, haciéndolos irrecuperables incluso con la clave de descifrado correcta.

El ransomware no es sólo un delito financiero. Afecta a los afectados por la interrupción de los servicios básicos. Las personas que no pueden acceder a datos críticos o trabajar se sienten ansiosas y estresadas, mientras que los departamentos de TI que trabajan para resolver la situación experimentan estrés adicional y corren el riesgo de agotarse. A nivel humano, algunas personas inevitablemente pierden datos irreemplazables, p. foto Desde seres queridos o proyectos a los que han dedicado varios meses o años de trabajo.

Lecciones para las empresas y la industria

El panorama de TI en 2024 es muy diferente al de 1989 o 2004. Mejorar la ingeniería de software y Gestión de parches Esto significa que es más difícil para el ransomware infectar sistemas a través de vulnerabilidades del navegador web sin parches. Por el contrario, la cantidad de violaciones de contraseñas a lo largo de los años, que ponen a disposición de los delincuentes contraseñas potencialmente reutilizables o fáciles de adivinar, significa que el usuario humano es cada vez más el punto de entrada.

No deberíamos sentirnos impotentes ante el ransomware. Las actividades policiales han arrestado y acusado a varios operadores de ransomware. Otros que eludieron el arresto fueron sometidos a sanciones internacionales. Se confiscaron la infraestructura utilizada para coordinar los ataques y las billeteras de criptomonedas. La detección de antivirus también ha evolucionado a lo largo de los años, aunque algunos programas maliciosos pueden saltarse la etapa de detección. Software de protección de terminales Busca constantemente evidencia de programas desconocidos que intentan cifrar archivos sin permiso.

El talón de Aquiles del ransomware son las copias de seguridad. Los datos respaldados y almacenados sin conexión se pueden utilizar para recuperar archivos dañados o perdidos, eliminando así cualquier necesidad de pagar un rescate para recuperar archivos. El éxito del ransomware en los últimos 35 años es también la historia del fracaso de la adopción generalizada de dispositivos de respaldo para la recuperación de archivos.

De cara al futuro, es poco probable que veamos el fin del ransomware. Su rentabilidad para los delincuentes significa que es probable que siga atormentándonos durante muchos años más. También es poco probable que esto siga igual. Los delincuentes han demostrado ser notablemente creativos a la hora de idear nuevas tecnologías y métodos para mejorar el modelo de negocio y evadir la detección y el malware.

Sin embargo, ciberseguridad La industria es igualmente innovadora y desarrolla constantemente nuevas herramientas y estrategias para combatir estas amenazas. Al mantenernos informados, adoptar sólidas medidas de seguridad y colaborar globalmente, podemos mitigar los riesgos y construir un futuro digital más resiliente.

Hemos compilado una lista de los mejores servicios de respaldo en la nube.

Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro

[ad_2]

Source Article Link

Tags años, del, después, evolución, historia, Ransomware

Featured

Los atacantes de ransomware filtran información privada robada en Rhode Island después del hackeo

Post author By lisa nichols
Post date January 3, 2025
No Comments on Los atacantes de ransomware filtran información privada robada en Rhode Island después del hackeo

[ad_1]

Datos de RIBridges filtrados en la web oscura
El ataque de ransomware ocurrió el 5 de diciembre.
El grupo Brain Cipher Ransomware ahora se ha atribuido la responsabilidad del ataque

Una banda de ransomware ha estado involucrada recientemente Ataque a Rhode Island El sitio web del programa de salud, servicios humanos y beneficios, RIBridges, comenzó a filtrar documentos de ataque.

codificación cerebral ransomware El grupo comenzó a filtrar documentos en su sitio de filtración de datos la semana pasada, probablemente en un intento de presionar a RIBridges y al estado para que paguen tarifas de ransomware.

RIBridges fue atacado por primera vez el 5 de diciembre de 2024, antes de que la empresa estatal Deloitte confirmara la infracción el 10 de diciembre después de que los atacantes enviaran una captura de pantalla de los sistemas internos y el estado informara que los atacantes habían accedido con éxito a los datos y potencialmente los habían robado. .

Se filtran datos sobre adultos y menores

Los datos robados en el ataque podrían incluir nombres, direcciones, fechas de nacimiento, números de Seguro Social y cierta información bancaria, y podrían afectar hasta 650.000 personas que utilizaron el sistema RIBridges.

El investigador de ciberseguridad Connor Goodwolf descargó los archivos filtrados y proporcionó varias capturas de pantalla de las carpetas, algunas de las cuales mostraban que contenían decenas de gigabytes de datos.

“El grupo de ransomware Brain Cipher ha publicado datos sobre la vulneración del hackeo de Deloitte RIBridges, que contiene información de identificación personal no sólo de adultos, sino también de menores”, añadió Godolf en una publicación de Twitter. incógnita (anteriormente Twitter). Las capturas de pantalla del sitio también muestran una declaración del grupo Brain Cipher que dice que “parecía que hubiera sido más fácil pagar y arreglar todo”.

El gobernador de Rhode Island, Daniel McKee, confirmó que los datos del sistema RIBridges se habían filtrado en línea en un declaración“Deloitte nos informó que el ciberdelincuente publicó algunos archivos de RIBridges en la web oscura. Mientras los equipos de TI trabajan arduamente para analizar los archivos, lo más importante que pueden hacer los habitantes de Rhode Island ahora es proteger su información personal”.

Los funcionarios de Rhode Island recomendaron a las personas que crean que pueden haber sido afectadas por un ataque de ransomware que utilicen los servicios gratuitos de monitoreo de crédito del estado para congelar y monitorear su crédito, así como que se mantengan alerta contra posibles ataques de phishing dirigidos a direcciones de correo electrónico comprometidas. .

a través de Computadora para dormir

También te puede gustar

[ad_2]

Source Article Link

Tags atacantes, del, después, filtran, hackeo, información, Island, Los, privada, Ransomware, Rhode, robada

Featured

El gigante sanitario estadounidense Ascension dice que el ataque de ransomware afectó a casi seis millones de clientes

Post author By lisa nichols
Post date December 23, 2024
No Comments on El gigante sanitario estadounidense Ascension dice que el ataque de ransomware afectó a casi seis millones de clientes

[ad_1]

Ascension sufrió un ataque de ransomware en mayo de 2024
Ya ha concluido su investigación sobre el ataque.
Se robaron datos confidenciales de aproximadamente 5,6 millones de personas

Los hackers que atacaron Ascension con ransomware Logró robar una gran cantidad de información confidencial de los clientes, y se vio comprometida información médica, información de identificación personal, datos de pago y más.

El gigante sanitario estadounidense ha publicado nuevos detalles sobre el ataque de ransomware y ha presentado un nuevo formulario a la Oficina del Fiscal General de Maine.

El ciberataque se produjo los días 7 y 8 de mayo y provocó importantes interrupciones en las operaciones clínicas. El personal no pudo acceder a los registros médicos electrónicos ni a los portales de pacientes, algunas instalaciones tuvieron que desviar ambulancias y, posteriormente, la atención electiva se detuvo temporalmente.

Interrupción de la atención sanitaria

En el documento, la compañía dijo que exactamente 5.599.699 personas se vieron afectadas por el incidente y en la actualización agregó que la información obtenida por los estafadores incluía:

Información médica (número de historia clínica, fecha de servicio, tipos de pruebas de laboratorio o códigos de procedimiento)
Información de pago (información de tarjeta de crédito o número de cuenta bancaria)
Información del seguro (identificación de Medicaid/Medicare, número de póliza o reclamo de seguro)
Identificación gubernamental (número de Seguro Social, número de identificación fiscal, número de licencia de conducir o número de pasaporte)
Y otros datos personales (fecha de nacimiento o dirección).

Si bien el ataque parece masivo y pone a millones en riesgo de sufrir robo de identidad, fraude en línea, phishing y ataques de ingeniería social, Ascension mantiene una perspectiva positiva.

“Aunque estaban involucrados datos de pacientes, lo más importante es que no hay evidencia de que los datos se hayan tomado de nuestros registros médicos electrónicos (EHR) y otros sistemas clínicos, donde nuestros registros completos de pacientes se almacenan de forma segura”, dijo.

La compañía dijo que ahora comenzará a notificar a las personas afectadas y espera completar la tarea dentro de tres semanas.

Al momento de esta publicación, ningún actor de amenazas se había responsabilizado por el ataque, y no sabemos si Ascension había pagado algún rescate por los datos, aunque dijo que el ataque afectó su capacidad de recuperación del año fiscal anterior.

También te puede gustar

[ad_2]

Source Article Link

Tags afectó, Ascension, ataque, casi, clientes, dice, estadounidense, gigante, millones, Ransomware, sanitario, Seis

Featured

El grupo Cl0p Ransomware dice estar detrás de los ataques de Cleo

Post author By lisa nichols
Post date December 16, 2024
No Comments on El grupo Cl0p Ransomware dice estar detrás de los ataques de Cleo

[ad_1]

Cl0p confirmó que Cleo estaba siendo utilizada indebidamente para atacar organizaciones
El grupo dijo que elimina todos los datos gubernamentales y sanitarios.
El mismo actor de amenazas estuvo detrás del ciberataque MOVEit

cl0p ransomwareel grupo de hackers responsable del infame fiasco de filtración de datos de MOVEit, ahora ha afirmado que también estuvo detrás de los recientes ataques de Cleo.

Los investigadores de seguridad de Huntress revelaron recientemente Tres productos Cleo Managed File Transfer (MFT) Tenían una vulnerabilidad en la carga y descarga de archivos sin restricciones que podría conducir a la ejecución remota de código (RCE).

El error fue rastreado como CVE-2024-50623 y se encontró en LexiCom, VLTransfer y Harmony. Cleo lanzó un parche en octubre de 2024, pero fue claramente ineficaz.

Ataque de “proyecto”

Huntress también dijo que había observado al menos dos docenas de organizaciones comprometidas donde la falla estaba siendo explotada activamente:

“Las organizaciones afectadas hasta ahora incluyen numerosas empresas de productos de consumo, organizaciones de logística y envío, y proveedores de alimentos”, dijo Huntress en su informe, y agregó que muchas otras empresas están en riesgo.

Poco después del anuncio de Huntress, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la vulnerabilidad a su Catálogo de vulnerabilidades conocidas (KEV), confirmando los hallazgos y dando a las agencias federales tres semanas para parchear las herramientas o dejar de usarlas por completo.

Inicialmente, el ataque no fue atribuido a ningún grupo específico, porque las pruebas no eran concluyentes. Sin embargo, durante el fin de semana, pitidocomputadora Me comuniqué con Cl0p, quien confirmó que estaban detrás de los ataques:

“En cuanto a CLEO, fue nuestro proyecto (incluido el anterior cleo) el que se completó con éxito”, dijo el grupo a la publicación. “Toda la información que almacenamos, a la hora de trabajar con ella, tenemos en cuenta todas las medidas de seguridad. Si los datos son servicios gubernamentales, instituciones, medicina, los eliminaremos inmediatamente sin dudarlo (permítanme recordarles la última vez que fue con moveit: todos los datos gubernamentales, medicinas, clínicas y datos de investigación científica en el país fueron eliminados). , cumplimos con nuestras regulaciones”.

Claramente, Cl0p no quiere manejar datos gubernamentales o de atención médica, porque eso enojaría a las fuerzas del orden, la mayoría de ellas. ransomware Los actores que accedieron a datos gubernamentales o de atención médica terminaron siendo desmantelados, o al menos gravemente perturbados.

También te puede gustar

[ad_2]

Source Article Link

Tags ataques, Cl0p, Cleo, detrás, dice, estar, grupo, Los, Ransomware

Featured

Las defensas contra el ransomware se ven debilitadas por la tecnología de respaldo obsoleta, el cifrado limitado de los datos de respaldo y los respaldos de datos fallidos.

[ad_1]

Los expertos advierten que los ataques de ransomware a menudo apuntan directamente a los datos de respaldo
Los principios de Zero Trust son clave para la protección de datos
El 59% de las organizaciones sufrieron ataques de ransomware en 2023

ransomware Los ataques se están convirtiendo cada vez más en una preocupación importante para las empresas de todo el mundo y se dirigen a organizaciones de todos los tamaños e industrias.

Una investigación reciente de Object First ha puesto de relieve vulnerabilidades clave y la creciente importancia de las tecnologías de copia de seguridad modernas en la lucha contra las amenazas de ransomware.

La encuesta reveló que muchas empresas todavía utilizan tecnologías obsoletas que hacen que sus datos de respaldo sean vulnerables a los ataques, lo que indica que aún no están adecuadamente preparadas para protegerse de los ataques de ransomware modernos.

Estado de seguridad de la copia de seguridad

Los datos de respaldo se han convertido en un objetivo principal para los ciberdelincuentes, por lo que las organizaciones deben repensar sus prácticas de seguridad de respaldo para adoptar soluciones más resilientes y resistentes al ransomware.

El informe reveló que, si bien más de un tercio de los encuestados (34%) citó los sistemas de respaldo obsoletos como una vulnerabilidad importante, lo que los convierte en objetivos más fáciles para los atacantes de ransomware, el 31% citó la falta de datos de respaldo. Cifradolo que impide que los datos confidenciales se almacenen y transmitan de forma segura.

Además, el 28% de los encuestados consideró que las copias de seguridad de datos fallidas eran otra vulnerabilidad importante. Estas fallas dejan a las organizaciones incapaces de recuperar sus sistemas después de un ataque, lo que a menudo resulta en largos tiempos de inactividad y recuperaciones costosas.

Aún más preocupante es el descubrimiento de que los ataques de ransomware se dirigen cada vez más directamente a los datos de respaldo. Normalmente, los refuerzos son la última línea de defensa en caso de un ataque. Sin embargo, ahora que los atacantes se centran en comprometer estos datos, simplemente tener copias de seguridad ya no es suficiente. Este cambio ha llevado a una creciente necesidad de sistemas de respaldo de almacenamiento inmutables diseñados para garantizar que el ransomware no pueda alterar ni eliminar los datos una vez almacenados.

El 93 % de los encuestados estuvo de acuerdo en que el almacenamiento inmutable es esencial para protegerse contra ataques de ransomware, mientras que el 84 % de los trabajadores de TI confirmaron que necesitan una mejor seguridad de respaldo para cumplir con el cumplimiento normativo. Esta necesidad de mejorar la seguridad se demuestra aún más por el hecho de que el 97% de los encuestados planea invertir en soluciones de almacenamiento inmutables como parte de su estrategia de ciberseguridad.

El almacenamiento inmutable se basa en los principios de Zero Trust, un modelo de seguridad que asume que ningún usuario o sistema es inherentemente confiable. Este enfoque se centra en validar constantemente cada solicitud de acceso y limitar los permisos para reducir el riesgo de acceso no autorizado.

La encuesta Object First encontró que el 93% de los profesionales de TI creen que alinear sus sistemas de respaldo con los principios de Confianza Cero es clave para proteger sus datos del ransomware. La arquitectura Zero Trust garantiza que incluso si los ciberdelincuentes obtienen acceso al sistema, su capacidad para manipular o eliminar datos importantes será limitada.

Si bien la necesidad de mejorar la seguridad es clara, la encuesta también reveló que la gestión de sistemas de almacenamiento de respaldo sigue siendo un desafío para muchas organizaciones. Casi el 41% de los profesionales de TI dijeron que carecen de las habilidades para administrar soluciones de respaldo complejas y el 69% informó que las restricciones presupuestarias les impiden contratar expertos en seguridad adicionales.

“Nuestra investigación muestra que casi la mitad de las organizaciones han sufrido ataques dirigidos a sus datos de respaldo, lo que destaca la importancia de adoptar soluciones de almacenamiento de respaldo resistentes al ransomware”, dijo Andrew Whitman, CMO de Object First.

También te puede gustar

[ad_2]

Source Article Link

Tags cifrado, contra, datos, debilitadas, defensas, fallidos, Las, limitado, Los, obsoleta, por, Ransomware, respaldo, respaldos, tecnología, Ven

Featured

NotLockBit ransomware se dirige a los usuarios de Apple con bloqueo avanzado de archivos y filtración de datos

Post author By lisa nichols
Post date December 15, 2024
No Comments on NotLockBit ransomware se dirige a los usuarios de Apple con bloqueo avanzado de archivos y filtración de datos

[ad_1]

macOS se enfrenta a una amenaza emergente de ransomware, NotLockBit
El malware NotLockBit muestra capacidades de bloqueo de archivos
Las protecciones integradas de Apple están experimentando problemas debido a sofisticadas amenazas de ransomware

Durante años, ransomware Los ataques se dirigieron principalmente a los sistemas operativos Windows y Linux, pero los ciberdelincuentes han comenzado a centrar su atención en los usuarios de macOS, afirman los expertos.

El reciente descubrimiento de macOS.NotLockBit indica un cambio en el panorama, como se identificó recientemente malwareque lleva el nombre de la infame variante LockBit, podría marcar el comienzo de campañas de ransomware más serias contra usuarios de Mac.

Fue descubierto por investigadores de Trend Micro y luego analizado por Laboratorios centinelamacOS.NotLockBit muestra capacidades confiables de bloqueo de archivos y filtración de datos, lo que representa un peligro potencial para los usuarios de macOS.

Amenaza macOS.NotLockBit

El ransomware dirigido a Mac tiende a carecer de las herramientas necesarias para bloquear archivos o filtrar datos. La percepción general ha sido que macOS está mejor protegido contra este tipo de amenazas, en parte porque… manzanaFunciones de seguridad integradas, como protección de Transparencia, Consentimiento y Control (TCC). Sin embargo, la aparición de macOS.NotLockBit indica que los piratas informáticos están desarrollando activamente métodos más sofisticados para atacar los dispositivos Apple.

macOS.NotLockBit funciona de manera similar a otros ransomware, pero apunta específicamente a sistemas macOS. El malware simplemente funciona IntelMac basadas en Apple Silicon o Mac con emulación Rosetta instalada, lo que les permite ejecutar archivos binarios x86_64 en procesadores Apple más nuevos.

Tras su ejecución, el ransomware recopila información del sistema, incluido el nombre del producto, la versión y la arquitectura. También recopila datos sobre cuánto tiempo ha estado activo el sistema desde su último reinicio. Antes de bloquear los archivos de un usuario, macOS.NotLockBit intenta extraer datos a un servidor remoto usando… Amazonas Almacenamiento de servicios web (AWS) S3. El malware utiliza una clave pública asimétrica. CifradoLo que significa que el descifrado sin la clave privada del atacante es casi imposible.

El malware coloca el archivo README.txt en directorios que contienen archivos cifrados. Los archivos cifrados están marcados con una extensión “.abcd” y el archivo README indica a las víctimas cómo recuperar sus archivos, generalmente pagando un rescate. Además, en versiones posteriores del malware, macOS.NotLockBit muestra un fondo de escritorio con el tema LockBit 2.0, con la marca elegida por el grupo LockBit Ransomware.

Afortunadamente, la protección TCC de Apple sigue siendo un dolor de cabeza para macOS.NotLockBit. Estas salvaguardas requieren el consentimiento del usuario antes de otorgar acceso a evidencia confidencial o permitir el control de procesos como eventos del sistema. Si bien esto crea un obstáculo para la funcionalidad completa del ransomware, eludir la protección TCC no es insuperable, y los expertos en seguridad esperan que futuras iteraciones del malware puedan desarrollar formas de eludir estas alertas.

Los investigadores de SentinelLabs y Trend Micro aún no han identificado un método de distribución específico y no se conocen víctimas en este momento. Sin embargo, la rápida evolución del malware, demostrada por el tamaño y la complejidad cada vez mayores de cada nueva muestra, indica que los atacantes están trabajando activamente para mejorar sus capacidades.

SentinelLabs ha identificado varias versiones del malware, lo que indica que macOS.NotLockBit todavía está en desarrollo activo. Las primeras muestras parecían más ligeras en funcionalidad, centrándose únicamente en el cifrado. Las versiones posteriores agregaron capacidades de extracción de datos y comenzaron a utilizar el almacenamiento en la nube AWS S3 para filtrar archivos robados. Los atacantes codificaron las credenciales de AWS en el malware para crear nuevos repositorios para almacenar los datos de las víctimas, aunque estas cuentas han sido desactivadas desde entonces.

En una de sus versiones más recientes, macOS.NotLockBit requiere macOS Sonoma, lo que sugiere que los desarrolladores de malware están apuntando a algunas de las últimas versiones de macOS. También mostró intentos de ofuscar el código, lo que sugiere que los atacantes están probando diferentes técnicas para evitar la detección. antivirus programación.

También te puede gustar

[ad_2]

Source Article Link

Tags Apple, archivos, avanzado, bloqueo, Con, datos, dirige, filtración, Los, NotLockBit, Ransomware, usuarios

Featured

Abordar el ransomware sin bloquear el pago del rescate

Post author By lisa nichols
Post date November 13, 2024
No Comments on Abordar el ransomware sin bloquear el pago del rescate

[ad_1]

Antes del anuncio de las elecciones generales de 2024, el gobierno del Reino Unido buscaba establecer reglas más estrictas sobre los pagos de ransomware, incluida la posibilidad de prohibir por completo los pagos de rescate. ¿Justificación? Acción decisiva para interrumpir el modelo de negocio de los ciberextorsionadores.

Pero el mensaje sobre el pago del rescate es, cuanto menos, contradictorio. En el Reino Unido, el Centro Nacional de Seguridad Cibernética ha dejado claro que las empresas no deberían pagar el rescate. Sin embargo, las pólizas de seguro recomendadas por el plan Cyber Essentials del gobierno establecen claramente que brindan cobertura para pagos de extorsión. En última instancia, esto financia directamente la actividad cibercriminal y le permite ganar impulso.

¿Cuáles son entonces los beneficios y los daños de la prohibición? ransomware pagos, ¿qué alternativas podrían considerarse y qué papel juega la industria de los seguros cibernéticos para abordar esta amenaza?

Tony Anscombe

Consultor Senior de Seguridad, ESET.

Pagar o no pagar

A principios de este año, el hospital francés CHCSV se negó a pagar una demanda de rescate, a pesar de sufrir graves interrupciones operativas. Mientras tanto, otras organizaciones que fueron víctimas, como Change Healthcare en EE. UU., tomaron una dirección diferente: esta empresa privada de atención médica pagó 22 millones de dólares a los atacantes.

La diferencia aquí es que una de las víctimas pertenece al sector público, mientras que la otra no pertenece al sector público, y cuando las organizaciones del sector público pagan las demandas de rescate, en última instancia provienen del dinero de los contribuyentes. Por esta razón, entre otras, varios estados de Estados Unidos ya han prohibido que las organizaciones del sector público realicen pagos de extorsión.

Sin embargo, parece haber menos transparencia pública en el Reino Unido sobre si las empresas pagan las reclamaciones por ransomware. Si bien EE. UU. tiene datos oficiales del gobierno sobre pagos de ransomware, el Reino Unido carece de informes oficiales porque la mayoría de los datos disponibles provienen de informes de la industria. Por ejemplo, un informe de Censornet reveló que el 85% de las PYMES informaron haber pagado un rescate, mientras que una investigación de Cohesity encontró que el 69% de ellas había pagado un rescate el año pasado.

Pero no pagar puede costar más a las empresas a largo plazo. Por ejemplo, el año pasado, MGM Resorts no pagó a sus atacantes, pero desde entonces ha revelado costos que ascienden a 110 millones de dólares. Asimismo, el incidente de WannaCry, que afectó a miles de hospitales y consultorios del NHS en 2017, costó £92 millones en recuperación.

Mientras las víctimas de ransomware continúan jugando al juego de “¿lo harán, no lo harán?”, según Mordor Intelligence y Fortune Business Insights, se estima que el mercado de seguros cibernéticos del Reino Unido tendrá un valor de 1.350 millones de dólares en 2024 y 20.880 millones de dólares a nivel mundial, con políticas nuevas. . Se establecen constantemente a medida que las empresas luchan por asegurarse contra lo inevitable.

Como era de esperar, las compañías de seguros suelen buscar la opción menos costosa cuando se trata de seguros. el cae Ataque de ransomware: demandas de pago de rescate. Pero hacerlo financia la pandemia mundial de ciberdelincuencia. Por lo tanto, no sorprende que los pagos de ransomware, según Chainalogy, superen la marca de los mil millones de dólares en 2023.

Entonces, si bien algunos creen que el ransomware se está volviendo más frecuente debido a que los ciberdelincuentes atacan mejor, tal vez valga la pena considerar si es una coincidencia que a medida que crece la industria de seguros, también lo hace el panorama de los delitos cibernéticos.

¿Qué otra opción tenemos?

A pesar de estas aguas un tanto turbias, la respuesta correcta a los ataques de ransomware es clara: pagar las demandas siempre debe ser el último recurso. La única excepción debería ser cuando exista riesgo para la vida. Pagar porque es fácil, cuesta menos y causa menos perturbaciones en el negocio no es razón suficiente para pagar, independientemente de si es la empresa la que entrega el dinero o una compañía de seguros.

Sin embargo, aunque una prohibición total del pago de rescates es un paso en la dirección correcta, sólo aborda una forma de ataque y parece una especie de estrategia de “golpear a un topo”. Esto puede frenar el aumento de los ataques durante un breve periodo de tiempo, pero los atacantes inevitablemente cambiarán sus tácticas, tal vez comprometiendo el correo electrónico empresarial o algo de lo que aún no hemos oído hablar.

Entonces, ¿qué más se puede hacer para frenar el aumento de los ataques de ransomware? Bueno, podemos considerar algunas opciones, como cerrar corredores comerciales de vulnerabilidades de seguridad y regular las transacciones de criptomonedas. Para tomar este último como ejemplo, la mayoría de los delitos cibernéticos generan ingresos a través de criptomonedas, por lo que en lugar de simplemente bloquear los pagos, podría ser una mejor opción para regular la industria de las criptomonedas y el flujo de dinero.

Junto con este tipo de cambio regulatorio, los gobiernos también podrían considerar transferir la decisión de pagar o no pagar a un organismo independiente. Esto garantizaría que las decisiones se tomen independientemente del costo y, en cambio, se basen en riesgos que amenazan la vida y la interrupción de servicios vitales. Aunque es un tema de debate si el tribunal, o cualquier otro organismo independiente, puede tomar estas decisiones con la suficiente rapidez.

Seguros y ciberseguridad pueden ir de la mano

La transformación digital se ha acelerado durante la pandemia y, además, los ciberataques basados en extorsión han sido catalizados por las criptomonedas, todo ello en un corto período de tiempo.

Al mismo tiempo, el mayor desafío que enfrentan las compañías de seguros en el entorno digital actual es su falta de… Datos. Esta tormenta perfecta explica por qué las compañías de seguros adaptan constantemente los requisitos y aumentan las primas a un ritmo cada vez mayor.

Pero es importante recordar que ser inseguro puede convertir a una empresa en un objetivo mayor porque los ciberdelincuentes saben que podrían recibir el pago del rescate, lo que alimenta este ciclo interminable. Por lo tanto, es necesario que las empresas adopten una ciberseguridad El modo que les proporcione la mejor protección posible, estén asegurados o no. De hecho, elegir una compañía de seguros que comprenda el riesgo basándose en datos puede ayudar a que la estrategia cibernética de una empresa sea más segura.

Por ejemplo, las compañías de seguros que entienden los riesgos basándose en datos a menudo requieren que las empresas adopten muchas técnicas y procesos diferentes para reducir dichos riesgos, por ejemplo usando Copia de seguridad en la nube Sistemas, autenticación multifactor y soluciones avanzadas de detección y respuesta de endpoints.

De hecho, la lista completa de recomendaciones requeridas por estas aseguradoras suele ser un subconjunto de las que también recomiendan los profesionales de la ciberseguridad y los marcos de ciberseguridad. Mientras las compañías de seguros se centran en reducir la probabilidad de un reclamo financiero, la industria de la ciberseguridad se enfoca en reducir el riesgo de un ciberataque, por lo que seguir estas recomendaciones será inevitablemente un paso positivo para la empresa.

¿Una combinación hecha en el paraíso cibernético?

La relación entre el seguro cibernético y la seguridad cibernética es inseparable, y estas dos industrias se están convirtiendo rápidamente en una unión de conveniencia. Sin embargo, todavía existe un gran obstáculo que impide que este matrimonio sea verdaderamente feliz y pleno. La financiación del cibercrimen mediante el pago de demandas de rescate por parte de las compañías de seguros debe cesar (¡a menos que sea en circunstancias excepcionales!).

Hemos mostrado las mejores herramientas de eliminación de malware.

[ad_2]

Source Article Link

Tags Abordar, bloquear, del, Pago, Ransomware, rescate, sin

Featured

Hackers norcoreanos vinculados a ataques de ransomware

Post author By lisa nichols
Post date October 31, 2024
No Comments on Hackers norcoreanos vinculados a ataques de ransomware

[ad_1]

Jumpy Pisces, un actor de amenazas patrocinado por el estado de Corea del Norte, también conocido como Onyx Sleet o Andariel, ha cambiado recientemente su enfoque a… ransomware Los expertos advirtieron sobre ataques.

En un análisis técnico reciente, investigadores de la Unidad 42 dijeron que aunque Jumpy Pisces anteriormente se centraba en el ciberespionaje y los delitos financieros, más recientemente ha colaborado con el notorio grupo Play Ransomware (también conocido como Fiddling Scorpius).

Los juegos aparecieron en el verano de 2022 y desde entonces se han convertido en un actor de amenazas formidable, hasta el punto de que en diciembre de 2023, El FBI advirtió Sobre este grupo, afirma que perjudicó a cerca de 300 víctimas en su primer año y medio de existencia.

Corredores de acceso inicial

“Desde junio de 2022, el grupo de ransomware Play (también conocido como Playcrypt) ha afectado a una amplia gama de empresas e infraestructuras críticas en América del Norte, América del Sur y Europa”, dijo la agencia en ese momento. “En octubre de 2023, el FBI tenía conocimiento de aproximadamente 300 entidades afectadas que supuestamente fueron explotadas por actores de ransomware”.

El papel que desempeña Jumpy Piscis en esta asociación no se ha determinado definitivamente, pero probablemente actúa como un intermediario de acceso inicial (IAB), abriendo las puertas de los operadores de Play a varias víctimas.

La Unidad 42 cree que este cambio es significativo porque muestra que Jumpy Pisces se está involucrando más en actividades de ransomware y está utilizando la infraestructura de ransomware existente en lugar de construir la suya propia. Esto hace que los ataques sean más sofisticados y potencialmente más generalizados.

pero, pitidocomputadora Añadió que en un ataque de ransomware promedio, hay varias partes involucradas. La mayoría de los tipos de ransomware hoy en día funcionan según un modelo “como servicio”, lo que significa que los desarrolladores no son quienes infectan a las víctimas y que, al final, ambos terminan compartiendo las ganancias. Agregue IAB a la mezcla y ahora hay al menos tres actores de amenazas separados involucrados en un solo ataque.

En cualquier caso, las empresas deberían estar más alerta, concluyeron los investigadores, advirtiendo que este nuevo equipo podría provocar infecciones graves de ransomware.

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags ataques, hackers, norcoreanos, Ransomware, vinculados

Featured

Miles de instancias de CyberPanel quedaron fuera de línea en un ataque masivo de ransomware

Post author By lisa nichols
Post date October 30, 2024
No Comments on Miles de instancias de CyberPanel quedaron fuera de línea en un ataque masivo de ransomware

[ad_1]

Los ciberdelincuentes se han aprovechado de múltiples vulnerabilidades en CyberPanel para su instalación ransomware Y obligar a decenas de miles de casos a desconectarse. Las víctimas pueden tener suerte, ya que parece haber una clave de descifrado disponible.

Un investigador de ciberseguridad conocido como DreyAnd anunció el descubrimiento de tres vulnerabilidades importantes en CyberPanel 2.3.6, y posiblemente 2.3.7, que permitían la ejecución remota de código y la ejecución de comandos arbitrarios del sistema.

Incluso publicaron una prueba de concepto (PoC) para mostrar cómo hacerse cargo de un servidor vulnerable.

Descifrar ransomware

CyberPanel es de código abierto alojamiento web Un panel de control que simplifica la gestión de servidores web y sitios web. Está construido sobre LiteSpeed y permite a los usuarios administrar sitios web, bases de datos, dominios y correos electrónicos. CyberPanel es particularmente popular debido a su integración con el servidor OpenLiteSpeed de LiteSpeed y LSCache, que aumenta la velocidad y el rendimiento del sitio web.

Esto llevó a los desarrolladores de CyberPanel a publicar una solución y publicarla en GitHub. Cualquiera que descargue CyberPanel de GitHub o actualice una versión existente obtendrá la solución. Sin embargo, la herramienta no ha recibido una nueva versión y las vulnerabilidades CVE no han sido asignadas.

Como se informó pitidocomputadoraHabía más de 21.000 puntos finales vulnerables conectados a Internet, casi la mitad de los cuales estaban ubicados en Estados Unidos. Poco después de publicar la prueba de concepto, el número de instancias visibles se redujo a solo cientos. Algunos investigadores confirmaron que los actores de amenazas implementaron la variante de ransomware PSAUX, lo que obligó a los dispositivos a desconectarse. Al parecer, a través de CyberPanel se gestionan más de cien mil dominios y bases de datos.

El ransomware PSAUX lleva el nombre de un proceso popular de Linux y se dirige a sistemas basados en Linux. Aprovecha técnicas avanzadas para evitar la detección y garantizar la continuidad, lo que lo hace especialmente peligroso para empresas y organizaciones que ejecutan aplicaciones críticas en servidores Linux.

Sin embargo, la publicación agregó más tarde que un investigador de seguridad conocido como LeakIX lanzó una herramienta de descifrado que puede revertir el daño causado por el ataque. Sin embargo, si los atacantes utilizan una clave de cifrado diferente, intentar descifrarla puede dañar los datos, por lo que se recomienda crear una copia de seguridad antes de intentar descifrarlos.

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags ataque, CyberPanel, fuera, instancias, línea, masivo, miles, quedaron, Ransomware

Categories
Featured

La recuperación de Casio del ataque de ransomware es incierta, “aún no hay posibilidad de recuperación”

Post author By lisa nichols

Post date October 18, 2024

No Comments on La recuperación de Casio del ataque de ransomware es incierta, “aún no hay posibilidad de recuperación”

[ad_1]

A principios de este mes, la empresa japonesa de electrónica Casio Sufrió un ciberataque que cerró partes de su infraestructura digital. Ahora, casi una semana después del incidente, Casio está luchando por superar los daños.

ransomware El grupo Underground se atribuyó la responsabilidad del ataque y compartió muestras de los datos supuestamente robados en su sitio web oscuro. Un portavoz de Casio dijo TechCrunch La empresa no ve el fin de la interrupción en un futuro próximo y muchos sistemas quedan inutilizables después de desconectar los servidores para evitar que el daño se extienda.

“Esta contramedida afecta nuestra recepción de pedidos, su realización a proveedores y el cronograma para los envíos de productos”, dijo Ayuko Hara de Casio. “Aún no hay perspectivas de recuperación, pero estamos dando prioridad a nuestros clientes a medida que avanzamos en la recuperación”.

Un largo camino hacia la recuperación

En el ataque, se dice que Casio perdió datos confidenciales pertenecientes a empleados, socios comerciales, solicitantes de empleo y contratistas. Afortunadamente, la empresa confirmó que no se tomó información de la tarjeta de crédito del cliente.

Hasta el momento, Casio no ha confirmado el monto del rescate ni si se ha establecido contacto con los ciberdelincuentes. Las dificultades parecen afectar principalmente a los clientes japoneses, ya que los envíos se retrasan indefinidamente, pero las fallas de los sistemas internos parecen ser la mayor preocupación.

No es raro que la recuperación de un ataque de ransomware sea un proceso largo y costoso, con un costo promedio de un incidente de $3 millones y Casi un mes para recuperarse. En una simulación de ransomware organizada y atendida por Orange Cyberdefense Tecnología Radar Pro Se explica que “la recuperación es una maratón, no una carrera corta”, y que aunque pagar el rescate puede proporcionar a las víctimas la clave de descifrado, puede llevar meses recuperar completamente los datos, e incluso más tiempo volver a la normalidad.

El consejo de los expertos en seguridad cibernética y aplicación de la ley es generalmente que las organizaciones se abstengan de pagar rescates, ya que eso alienta a los ciberdelincuentes y añade más leña al fuego, pero ciertamente no es una opción fácil.

Suscríbase al boletín TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.

Tener planes de contingencia y medidas sólidas de ciberseguridad implementadas en todo momento es lo que más pueden hacer las empresas para protegerse de los ataques. Estar atento y garantizar que todos los empleados estén capacitados y conscientes ayudará a proteger los posibles puntos de entrada.

a través de TechCrunch

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags ataque, aún, Casio, del, hay, incierta, posibilidad, Ransomware, recuperación

Posts pagination

1 2 … 4 Older Posts