Víctimas de Ransomware ahora - y demás

[DdmrDdmr]

Acabo de ver en las noticias que la Cadena Ser y Everis han sido víctimas de ransomware/cryptolocker. No está claro si Accenture lo ha sufrido también, dado que he leído noticias contradictorias al respecto, y tambien he visto citado a KPMG en algún artículo.

En el caso de Everis, sus empleados han recibido el siguiente comunicado:

“[Grupo everis] Estamos sufriendo un ataque masivo de virus a la red de everis. Por favor, mantengan los PC’s apagados. Se ha desconectado la red con clientes y entre oficinas. Les mantendremos informados. Por favor, trasladen urgentemente el mensaje directamente a sus equipos y compañeros debido a los problemas de comunicación estándar.”

Por su parte, la cadena Ser ha tenido problemas en sus emisiones ordinarias en lo que va de jornada.

En cuanto a los montantes solicitado del rescate, hay voces que indican que se pide 1,5M en España al Grupo Prisa, y 0,75M a Everis, todo en Bitcoin. Lo anterior son cifras preliminares, y se estima que pueden estar pidiendo mucho más …

Estas compañías tienen protocolos de seguridad informática elevados, por lo que si a éstas les sucede, lo mismo puede sucederle a una gran gama de empresas que carecen de estos protocolos y equipos dedicados a la seguridad.

Ver:
https://bitcoin.es/actualidad/everis-se-encuentra-sufriendo-un-hackeo-cryptografico
https://bitcoin.es/actualidad/mas-de-1-5-millones-de-euros-en-bitcoin-como-rescate-a-accentur-everis-y-cadena-ser/

[1713983939]

1713983939

[1713983939]

1713983939

[1713983939]

1713983939

[LUCKMCFLY]

Wow la verdad me sorprende, porque es una empresa de consultoría muy famosa, sus estándares de seguridad deberían ser muy altos, pero al ver que tenían como Antivirus el McAfee es totalmente entendible que hayan podido perpretar el ataque, ese antivirus en realidad es bien malo, este tipo de empresas deben tener al menos dos antivirus compatibles para no dejar pasar este tipo de ataques.

Los ataques se han incrementado con gran relevancia a pesar que el precio de Bitcoin sigue estando en un nivel algo lateral, muchos afirman que bajará de precio, pero esto seguirá propagándose y más cuando el precio de Bitcoin aumente. El caso del ataque en  Johannesburgo no dieron detalles de qué Antivirus estaban usando, pero debido a esto, creo que deberían  invertir más en seguridad, ya se ha hecho moda este tipo de ransomware.

[seoincorporation]

Siempre que leo este tipo de noticias me gusta ponerme a pensar en como se desarrolló el ataque... lo que queda claro es que el atacante vulnera una computadora de la empresa para después infectar la red local. Digamos que un empleado se encuentra una USB tirada en el suelo afuera de la empresa y decide ver su contenido su computadora de trabajo, ya pueden imaginar el resto. La infección de la red lo cal se puede hacer con armitage si los equipos de la empresa usan sistemas operativos viejos o desactualizados...

El punto aquí es que hay muchas empresas que siguen sin tomar las debidas medidas de seguridad simplemente por ahorrar costos o por ignorancia...

[DdmrDdmr]

Veo que sigue habiendo bastante lio en foros diversos donde están hablando del tema. Hay más empresas afectadas, pero no lo confirman.

Sea como fuere, no es nada sencillo tenerlo todo controlado e infranqueable. Hay corporaciones que encriptan sus discos duros de por sí (para proteger la información albergada), e incluso deshabilitan los puertos USB.

A su vez, llevar los sistemas operativos y software de telecos a la última actualización no siempre es factible, dado que es habitual dar un par de meses cuanto menos para que las vulnerabilidades y problemas que surgen con cada actualización se resuelvan/estabilicen. Luego, además, has de estar seguro de que las actualizaciones no afecten a tu entorno operativo por alguna incompatibilidad.

BlueKeep parece estar confirmado como un vector de ataque. Bluekeep se detectó en Mayo 2019, y es una vulnerabilidad de Microsoft que facilita el ataque al protocolo RDP (escritorio remoto), a lo cual son más vulnerables los sistemas operativos más antiguos como Windows 7.

En alguno de los posts que he leído hoy en otro foro, indicaban como una posible puerta de entrada (sin confirmar) una vulnerabilidad en Microsoft Teams, una herramienta para realizar reuniones/videoconferencias y compartir documentos visualizados.


Ver: https://blog.avast.com/es/what-is-bluekeep

[VB1001]

Esta mañana en la ser Cataluña a cada momento decían que tenían problemas con el sistema informático, pero en ningún momento han dicho de que se trataba, ya veo...

[LUCKMCFLY]

Según este Ransonware se llama Ryuk y es desarrollado por el grupo de hackers rusos Grim Spider.

Según el ánime de la Death note, representa a este personaje:



la serie animada es muy buena en realidad, Ryuk representa a la muerte en cuyo cuaderno el nombre que escriba de una persona, ésta muere.

El modus operandi de Ryuk es muy parecido a otros ransomware, ya que puede difundirse gracias a troyanos escondidos en correos electrónicos. Asimismo, una nueva versión del malware puede propagarse por sí mismo utilizando las redes privadas de las empresas. Para ello posee un archivo conocido como Wake on LAN (WoL) que permite activar ordenadores si reciben una orden remota, expandiéndose así de una forma más rápida y silenciosa.

Es un virus muy potente y es actualizado constantemente por los hackers para destruir parches de seguridad, es muy usado en campañas, puede que dañe los archivos infectados y no vuelvan a funcionar más.

Lo más triste es:

El especialista en ciberseguridad apunta que este tipo de ransomware es muy difícil de desencriptar por cuenta propia, por lo cual en la mayoría de los casos se tiene que pagar un rescate. «Tienes que pagar o perder. Debes analizar todo lo que te han robado, ver las consecuencias y decidir»

En este tweet de Alex Barredo( Experto en ciberseguridad ):

Looks like
@everis
 has been completely hacked? All employees must turn off their computers. Looks like another ransomware attack hitting Europe. Ugh.

Traducido:

Parece
@everis
 ha sido completamente hackeado? Todos los empleados deben apagar sus computadoras. Parece otro ataque de ransomware que afecta a Europa. Ugh

Foto tomada por un trabajador de Everis.
Fuente: @somospostpc

El virus es altamente lucrativo y silencioso.

se han reportado pagos mínimos de 1,5 BTC para desencriptar archivos y un monto máximo de 99 BTC por empresa.

Fuente:https://www.criptonoticias.com/seguridad/malware/ryuk-ransomware-criptomonedas-empresas-instituciones-espana/

Vaya que para esto si que hay mucho ingenio, la verdad es un virus bien difícil para sacar, al parecer están en manos de los hackers completamente.

[seoincorporation]

No se que están esperando las empresas para empezar a usar linux, Estoy seguro de que este problema no existiría si las empresas acogieran Ubuntu o Fedora como su sistema operativo principal debido a que para instalar un programa es obligatorio ingresar la contraseña de Root.

[LUCKMCFLY]

No se que están esperando las empresas para empezar a usar linux, Estoy seguro de que este problema no existiría si las empresas acogieran Ubuntu o Fedora como su sistema operativo principal debido a que para instalar un programa es obligatorio ingresar la contraseña de Root.

Pues eso debería ser lo ideal colega, lo que pasa es que cuando le hablas a las personas, funcionarios acerca de Linux hay cierto rechazo, pues no les gusta  la idea de aprenderse los códigos, algunas palabras para ejecutar los comandos, están muy acostumbrados a los ambientes amigables gráficos como los tiene Microsoft, representaría un gasto para las empresas para dar capacitación a los trabajadores, aunque es lo ideal, es mejor invertir en capacitación para sus trabajadores que pagar un Antivirus, la mayoría lo ven como un esfuerzo y puede que tiendan a ser renuentes a ello, en 2012 trabajé en una empresa como Ingeniero de Soporte para equipos médicos Konica Minolta, y en un momento se propuso que cambiaran todos los sistemas operativos a Linux y nunca vi tanta gente tan unida en decir que no, era increíble, sólo algunos pocos dijeron que si y eran aquellos técnicos e Ingenieros que habían visto Linux en la Universidad como parte de su formación.

Pero asistentes, secretarias, gerentes de compras y ventas, los vendedores no les agradó la idea, a pesar que se les comentó todos los beneficios, que en un momento podrían trabajar bajo ciertos esquemas gráficos, pero el rechazo fué de inmediato, pienso que hoy día el rechazo sigue igual o tal vez un poco menos, pero es tratar de inculcar una cultura técnica necesaria a los trabajadores, lo mejor es que se tome como premisa exigir a aquellos aspirantes a entrar a los trabajos que sepan Linux o que sean capaces de aprender por su cuenta y que poco a poco vayan implementándolo de esa manera, y obviamente se debería comenzar por la parte técnica y de Ingeniería, luego tratar de dar algunos incentivos monetarios a aquellos trabajadores que comiencen a usar el Sistema Operativo, sería una forma suave de comenzar con ello.

[th3nolo]

No se que están esperando las empresas para empezar a usar linux, Estoy seguro de que este problema no existiría si las empresas acogieran Ubuntu o Fedora como su sistema operativo principal debido a que para instalar un programa es obligatorio ingresar la contraseña de Root.

Todo por la "simplicidad" de windows, creo que las empresas solo aprenderán luego de pagar un alto precio por perder todos sus archivos es algo que debe pasar y paso.

Por el lado de los hackers entiendo su razón de solicitar Bitcoins y no otra criptomoneda anónima tipo monero/zcash, y es que los usuarios promedio no saben cómo hacer uso de ellas.

[LUCKMCFLY]

Bueno al parecer ya están descubriendo cómo se pudo haber infectado y fué a través de un simple correo electrónico y éste infectó a todos los equipos Everis

Por otro lado, a través de nuestras fuentes internas, se nos ha facilitado el mail que presumiblemente infectó todos los equipos de Everis. Parece mentira que un mail tan surrealista pueda tener un impacto tan grande.

Aún el problema no ha podido ser resuelto.

Fuente: https://bitcoin.es/actualidad/se-filtra-el-mail-que-infecto-a-todo-everis/

Algunos métodos para tratar de desencriptar y buscar desinfectar han traído falsas alarmas, pues el parche simula haber creado nuevo virus pero es parte de la misma praxis al aplicar una actualización para fixear los equipos.

Fuente: https://bitcoin.es/actualidad/ha-vuelto-a-pasar-nuevo-ataque-a-everis/

[th3nolo]

snip

PÁNICO, yo siempre que veo links en los correos primero utilizó el escáner de url de virustotal claro esto no asegura que un link sea totalmente seguro pero al menos elimina muchos ataques ya neutralizados.

Para los que no saben que es virustotal, es una página web que se encarga de analizar ficheros, urls en busca de posibles ataques, virus. ect.

https://www.virustotal.com/gui/home/url

[DdmrDdmr]

<…>

Yo también soy de los habituales en usar VirusTotal para el escaneo de páginas y enlaces. No es 100% garantía de nada, sobre todo si uno es de los primeros en encontrarse con un foco infectado, pero es un paso previo necesario.

Destacar que cabe revisar ambos conceptos: la página web y los enlaces contenidos en caso de interesarse por alguno. No es infrecuente que alguien pase VirusTotal por la página, ésta retorne resultados limpios, pero los enlaces individuales si salten la alarma. No sé si esto es habitual o transitorio (positivos sobre enlaces escalan a la página al cabo de un rato), pero si lo he visto suceder.

Otra cosa que hago habitualmente es abrir entornos a validad desde el navegador Opera, con su vpn activado (que es un proxy realmente). Más que nada para que la IP de acceso no sea la mia real (que tampoco lo es, al usar una vpn de por sí).

[th3nolo]

<…>

Yo también soy de los habituales en usar VirusTotal para el escaneo de páginas y enlaces. No es 100% garantía de nada, sobre todo si uno es de los primeros en encontrarse con un foco infectado, pero es un paso previo necesario.

Destacar que cabe revisar ambos conceptos: la página web y los enlaces contenidos en caso de interesarse por alguno. No es infrecuente que alguien pase VirusTotal por la página, ésta retorne resultados limpios, pero los enlaces individuales si salten la alarma. No sé si esto es habitual o transitorio (positivos sobre enlaces escalan a la página al cabo de un rato), pero si lo he visto suceder.

Otra cosa que hago habitualmente es abrir entornos a validad desde el navegador Opera, con su vpn activado (que es un proxy realmente). Más que nada para que la IP de acceso no sea la mia real (que tampoco lo es, al usar una vpn de por sí).

Otra forma de asegurar tu computadora es usar un SO tipo QubesOS, ya que permite seperar la mayoria de las aplicaciones de SO en formas de una computadora virtual.

O bueno entornos virtuales separados.

[DdmrDdmr]

Si miramos el informe de BleepingComputer de esta semana, es para empezar a asustarse de la cantidad de variantes de ransomware que se van produciendo:
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-november-8th-2019-now-targeting-passwords

Cada dia se descubren casos y variantes distintos. En términos de empresas de renombre, la matriz de Billabong y QuickSilver, Boardriders, fue afectada ayer, obligándoles a cerrar sus sistemas informáticos a nivel mundial.

[th3nolo]

Si miramos el informe de BleepingComputer de esta semana, es para empezar a asustarse de la cantidad de variantes de ransomware que se van produciendo:
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-november-8th-2019-now-targeting-passwords

Cada dia se descubren casos y variantes distintos. En términos de empresas de renombre, la matriz de Billabong y QuickSilver, Boardriders, fue afectada ayer, obligándoles a cerrar sus sistemas informáticos a nivel mundial.

Que locura, el reloj cada vez suena más rápido avisándome que tengo que cambiar de SO, y.. migrar mi base de datos 😥. En fin tenía entendido que había pocas variantes. ¿Es esta una nueva etapa dorada del Ramsonware?

[DdmrDdmr]

Como es habitual, la resolución de estos casos se lleva con cierto secretismo, y no es infrecuente carecer de un seguimiento de su resolución. En el caso de la Cadena Ser, ayer estuve leyendo este artículo que desvela las vicisitudes derivadas de tener que operar sin el sistema informático habitual, tirando de cassettes, cds para los testimoniales de archivo, y realizando programas a capella: https://www.elconfidencial.com/tecnologia/2019-11-09/hackeo-ser-ramsomware-forma-de-trabajar-emision_2317743/

Hay una parte significativa cerca del final del artículo, que indica que "la SER ya tiene una vacuna contra el virus Ryuk”. Primero pensé que era una "vacuna" ante futuros ataques de esta índole, a expensas de ver cómo acaban de resolver éste. No obstante, citan que "necesitas que el técnico esté presencialmente, lo aplique a cada equipo afectado, vea los daños, calcule si se ha perdido algo y si se puede recuperar". Es decir, da la sensación de que han encontrado la manera de desencriptar los discos, en colaboración con el Centro Criptológico Nacional y el Instituto Nacional de Ciberseguridad. Si es así, querría decir que el método de encriptado del Randsomware no sería tan bueno como uno esperaría.

[paxmao]

Lo de la SER lo confirmo. Estaba escuchando un programa sobre cantos de pajaros y no pudieron reproducir las grabaciones... Los locutores no sabían ni que hacer ya jajaj

.... Si es así, querría decir que el método de encriptado del Randsomware no sería tan bueno como uno esperaría.

Si es que ya cualquiera se pone a hackear por vicio... no hay profesionalidad ninguna. 

[LUCKMCFLY]

Ahora hay otra variación de Ransomware, llamada  AnteFrigus, ahora no se dirige a la unidad C, va a otras unidades asociadas a dispositivos extraíbles y unidades de red mapeadas.

El RIG explotar usos del kit scripts maliciosos alojados en sitios o en peligro de propiedad atacante que aprovechan las vulnerabilidades en Internet Explorer. Si estas vulnerabilidades pueden ser explotadas, que a continuación se instalará una carga útil de la máquina del visitante sin su conocimiento.
El RIG explotar usos del kit scripts maliciosos alojados en sitios o en peligro de propiedad atacante que aprovechan las vulnerabilidades en Internet Explorer. Si estas vulnerabilidades pueden ser explotadas, que a continuación se instalará una carga útil de la máquina del visitante sin su conocimiento.

Se cree aún que este tipo de ransomware está en modo de desarrollo y pruebas porque no se muestra directorio hacia la unidad C, sin embargo en algún momento la crea.



Y finalmente:



Fuente: https://www.bleepingcomputer.com/news/security/strange-antefrigus-ransomware-only-targets-specific-drives/

Más variaciones de este Ransomware, la verdad están imponiéndolo como moda ya, se debe tener mucho cuidado...

[LUCKMCFLY]

Los ataques por Ransomware han seguido, ahora hasta tienen El Paraíso del Hacker...

Al menos dos ciudades de Florida y el Consejo Judicial de Georgia y la Oficina Administrativa de los Tribunales también fueron golpeados por ataques de “Triple Amenaza”. Según el testimonio del Suboficial de Información Neal Underwood ante el Comité Legislativo Conjunto de Presupuesto de la legislatura de Louisiana, solo el 10% de los 5,000 servidores del estado se vieron afectados por el ataque del ransomware, y un total de aproximadamente 1,500 computadoras de los 30,000 sistemas del estado fueron “Dañadas” por el ransomware.

Estos ataques han dado muy duro a los sistemas informáticos, y está lejos de solucionarse, al parecer la capacidad de solución es limitada...

https://cryptocurrencyprofits.com/noticia/el-paraiso-del-hacker-el-desastre-del-ransomware-de-louisiana-esta-lejos-de-terminar-2/

Es un pequeño artículo, donde enfatizan los ataques Ransomware y como está causando estragos aún, los sistemas más vulnerables son los que tienen en su poder, algunos no han entendido que deben darle prioridad de seguridad a sus empresas en seguridad informática, perder archivos importantes no es nada agradable.

[th3nolo]

Los ataques por Ransomware han seguido, ahora hasta tienen El Paraíso del Hacker...

Al menos dos ciudades de Florida y el Consejo Judicial de Georgia y la Oficina Administrativa de los Tribunales también fueron golpeados por ataques de “Triple Amenaza”. Según el testimonio del Suboficial de Información Neal Underwood ante el Comité Legislativo Conjunto de Presupuesto de la legislatura de Louisiana, solo el 10% de los 5,000 servidores del estado se vieron afectados por el ataque del ransomware, y un total de aproximadamente 1,500 computadoras de los 30,000 sistemas del estado fueron “Dañadas” por el ransomware.

Estos ataques han dado muy duro a los sistemas informáticos, y está lejos de solucionarse, al parecer la capacidad de solución es limitada...

https://cryptocurrencyprofits.com/noticia/el-paraiso-del-hacker-el-desastre-del-ransomware-de-louisiana-esta-lejos-de-terminar-2/

Es un pequeño artículo, donde enfatizan los ataques Ransomware y como está causando estragos aún, los sistemas más vulnerables son los que tienen en su poder, algunos no han entendido que deben darle prioridad de seguridad a sus empresas en seguridad informática, perder archivos importantes no es nada agradable.

Ayer, precisamente vi en un tweet de verdades de las industrias que todos saben, pero callan porque son destructivas para esta, donde un Investigador de Seguridad informática dijo, la mayoría de los programas actuales closed source, tienen algún tipo de fallos que pueden ser explotados por personas con algo de conocimiento de redes y programación, de ser así estaríamos jodidos.

Me pregunto si tendría razón o estaría exagerando, aunque el mal uso de las computadoras es el causante de este tipo de infecciones en computadoras gubernamentales, donde la vulnerabilidad más grande son las personas.

[DdmrDdmr]

Parece que Accenture no se vio afectada en absoluto. De hecho, tanto Accenture como KPMG están citados en los artículos iniciales, pero no he visto nada que apuntase a que fuesen ciertos los rumores al respecto. Las noticias corren que vuelan, y conlleva estos efectos laterales de confundir otras sintomatologías en un momento de cierto pánico.

Claro que estos rumores no salen gratuitos, dado que exige que las corporaciones realicen chequeos extensivos para asegurarse de que no están afectados. Mejor este conste interno no obstante, y un ápice de PR, que el coste de imagen que supondría un casos real como es el de Everis.

[LUCKMCFLY]

Este tema si que me ha despertado gran interés, ahora en el Centro de Datos con Sede en Texas CyrusOne sufre un ataque de Ransomware, donde CyrusONe representa uno de los Centros de datos más grande de E.E.U.U, pero este tipo de Ransomware es una variante de REvil (Sodinokibi, Ransomware), que atacaban a los proveedores de servicios, gobiernos locales y empresas que tiene el país, le está dando en comunicaciones, esto es un caso bastante delicado ya.

Y como ya es costumbre pues están es buscando dinero en BTC a cambio de no borrar su base de datos, porque los hackers son los que poseen las llaves privadas de los mismos, hasta ahora CyrusONe no ha dado declaraciones sobre este ataque.

Un conteo rápido de estos ataques:

Esta primavera, Riviera Beach, Florida, fue víctima de un ataque de hackers, en el que estos supuestamente cifraron registros gubernamentales, bloquearon el acceso a información crítica y dejaron la ciudad sin la capacidad de aceptar pagos de servicios públicos que no sean en persona o por correo ordinario. El ayuntamiento finalmente acordó pagar casi USD 600,000 en Bitcoin (BTC) para recuperar el acceso a los datos cifrados en el ataque.

Ahora en los ataques en Africa ( Johannesburgo) , se negaron a pagar recompensa.


Fuente: https://es.cointelegraph.com/news/texas-based-data-center-cyrusone-hit-by-ransomware-attack

Este tipo de ataques les ha dado buenos resultados a los hackers, pienso que por ahora se están concentrando en grandes corporaciones, pero es obvio que han estado desarrollando ramificaciones más específicas del Ransomware que no sólo se conformarán con los grandes, empezarán a cazar a personas comunes que sean rastreadas por medio de transacciones de bitcoin y comenzarán, ya hasta para leer un correo de una dirección desconocida será un reto, porque puede o no ser alguna trampa con un ransomware, sólo al abrir ya podría verse comprometido el sistema, ahora los desarrolladore de Antivirus tienen un buen reto por ahora para detectar los Ransomware  y eliminarlos y vaya que se les ha complicado y alargado las soluciones, porque llevan tiempo con este problema.

[th3nolo]

Esto tal vez es un poco offtopic con el tema pero.. hace poco ZDnet publicó una lista de todas las brechas de datos que ocurrieron en 2019

https://www.zdnet.com/article/these-are-the-worst-hacks-cyberattacks-and-data-breaches-of-2019/#ftag=RSSbaffb68

Tal vez por la cantidad de brechas de datos es porque ocurren esta cantidad de ataques de ransomware, así que hay que estar muy pendiente.

Las compañías tecnológicas no son capaces de proteger bien nuestros datos.

[DdmrDdmr]

<…>

La lista es brutal, y seguro que reducida en relación a la realidad desconocida global, destacándose los casos más notorios o de renombre. Algo de bases de datos sé, y gran parte de estos problemas se pueden mitigar encriptando los campos de las bases de datos que sean relativos a datos personales. Normalmente esto no se tiene en cuenta en el momento del diseño, y supone un sobrecoste de tiempo para los aplicativos, así como una carga adicional para trabajos de backoffice, pero con un diseño concienzudo se pueden evitar gran parte de los problemas derivados de las brechas de seguridad.

[th3nolo]

<…>

La lista es brutal, y seguro que reducida en relación a la realidad desconocida global, destacándose los casos más notorios o de renombre. Algo de bases de datos sé, y gran parte de estos problemas se pueden mitigar encriptando los campos de las bases de datos que sean relativos a datos personales. Normalmente esto no se tiene en cuenta en el momento del diseño, y supone un sobrecoste de tiempo para los aplicativos, así como una carga adicional para trabajos de backoffice, pero con un diseño concienzudo se pueden evitar gran parte de los problemas derivados de las brechas de seguridad.

Tenia entendido que la mayoría de las implementaciones de BD, vienen encriptadas y no son guardadas en texto plano, eso se considera una práctica de seguridad bochornosa. Enserio hay compañías que en 2019 guardan los datos de sus usuarios en texto plano, OMG.

Además entiendo que hay servicios que se encargan de desencriptar bases de datos enteras, tal vez no saques todos los resultados pero si es posible obtener una gran parte.

[DdmrDdmr]

<…>

Pues es así en general, aunque cuanto más sensible sea la información, y más seria la compañía, más posibilidades de que se encripten algunos campos (sensibles). Reitero no obstante que no es habitual encriptarlos, y lo que normalmente sucede es que se prima la seguridad en las capas de aplicación y/o gestor de Base de Datos, en detrimento de los campos físicos dentro de la Base de Datos en sí.

Edit: Hay soluciones hoy en día interesantes: https://docs.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-database-engine?redirectedfrom=MSDN&view=sql-server-ver15

[LUCKMCFLY]

Viendo en estos momentos un caso en Argentina se vió comprometido desde el 25 de noviembre.

Según Alicia Bañuelos,Ministro de Ciencia y Tecnología:

el centro ya había recuperado el 90 por ciento de los cifrados de datos . Algunos 7.700 GB - aproximadamente 10 años el valor de datos - se vio comprometida originalmente como un resultado del ataque .

También aseguró que descifrar estos archivos les tomará al menos unos 15 días, la recompensa que exigen los hackers es desconocida, pero qeu calculan unos $ 37.000 $ 370.000 (0,5 y 50 BTC)

Fuente: https://thenextweb.com/hardfork/2019/12/09/bitcoin-ransomware-government-data-argentina/

Lo bueno es que han recuperado una gran parte de los datos, esto es bueno, si encuentran un parche para neutralizar y defenderse sería el fín para este tipo de criminales..

Aunque me parece que la respuestas por parte de los Antivirus está tardando demasiado, ya es para que hayan desarrollado la solución para esto.

[LUCKMCFLY]

Dado todo el boom de los casos de Ransomware, quiero compartirles el caso de un Hacker atrapado por ser partícipe de Ransoware, algo que no tenía idea que esta práctica viene de algunos años atrás, creí que lo de Ransomware era después de 2017 hasta acá, sin embargo éste fué acusado y atrapado, es un estudiante de informática llamado Zain Qaiser que fué atrapado desde 2014, fué acusado en febrero de 2017, y tiene que pagar alrededor de $ 356K o pasar 2 años más de prisión.

Antes que lo atraparan tenía una vida algo alocada, pues vivía en hoteles de lujo, prostitutas, juego y drogas, reloj rolex, con tan solo 25 años de edad donde partipaba en un grupo Ruso dedicado a estafar a más de 20 países con esta prácitca de Ransomware, donde usaban un espacio publicitario por medio de anuncios que al clickear infectaban inmediatamente.

un tipo de malware que bloquear un usuario 's navegador - fue una de las cargas útiles creados por el grupo . Una vez comprometido , el dispositivo podría mostrar un mensaje que pretenden ser de aplicación de la ley o una agencia del gobierno , alegando un delito se había cometido y pidiendo a la víctima a pagar entre $ 300 y $ 1.000 en Bitcoin en el intercambio para desbloquear los archivos .

Luego después admitió ser culpable de varios delitos....


Fuente: https://thenextweb.com/hardfork/2019/12/10/bitcoin-ransomware-hacker-ordered-pay-court/
Ahora con esta fase de Ransomware a nivel mundial, de seguro pueden estar usándolo para extraerle información, pues con toda esta explosión de ransomware deben buscar todo tipo de soluciones..

[DdmrDdmr]

Una cuestión a considerar, que no evita la situación de randsomware, pero si supone un mecanismo de protección ante el robo del pc/portátil es tener los discos duros encriptados con algún software tipo Bitlocker. La posibilidad de activarlo va a depender de tu software/hardware (moderno), pero superada la fase del miedo a encriptar, permite que estés tranquilo si alguien roba tu dispositivo, extrae el disco, y lo monta como slave en otro entorno a fin de acceder a su contenido.

Ya puestos me pregunto si no se podría idear el sistema para evitar la encriptación si ya está encriptado. Es decir, si yo lo encripto voluntariamente, evitar que pueda ser encriptado nuevamente encima.

[LUCKMCFLY]

Con respecto a lo que dice DdmrDdmr, los hackers están tomando estos ataques más a un nivel muy particular, tal ves este caso está en la clasificación de Ransomware, pues recientemente han hackeado un dispositivo Amazon, el Amazon Ring, Lo cual siempre está conectado en internet y en este caso su usuario no tenía la seguridad adecuada, los hackers en este caso están buscando los usuarios más desprevenidos para comenzar su juego, aunque esta vez están implementando el terrorismo/terror, porque le estaban pidiendo 50BTC o sino sería exterminada.

Esto es algo bastante fuerte, la solución que dió soporte a los clientes es que desconectaran el dispositivo y así no los han vuelto a extorsionar.....

Recomiendan a todos los clientes de este dispositivo tener mucho cuidado cuando están sus dispositivos en línea y mantenerlos actualizados y afirmaron que la seguridad por parte del dispositivo no había sido violada, pero según algunos medios para llevar a cabo este ataque a un software de  $6 lo puede hacer hasta un niño.

Esto sucedió en Texas, pero qué es el Amazon Ring?

El Amazon Ring, es un dispositivo IOT, el cual sirve como timbre y al mismo tiempo de cámara de seguridad, instalado en la puerta principal de su casa, y que se conecta directamente con su teléfono inteligente.

Fuente: https://bitcoin.es/actualidad/hackean-dispositivo-amazon-y-exigen-50-btc-para-no-exterminarlos/

Este tipo de ataques están yendo muy lejos, ya amenazar con matar a una persona se están pasando, es una desesperación por hacer dinero de una manera extrema, esto puede producir muchos efectos trauma en personas con debilidad de personalidad, inseguras, baja autoestima, algunos le afecta su integridad completamente, tomando en cuenta que en el mundo hay personas de todo tipo.

[DdmrDdmr]

<...>

Es lo que me temo del IOT. Incluso con las cámaras de seguridad que uno puede tener conectado a una Central de Alarmas uno no está tranquilo, y de por sí no sabe si alguien les está espiando.

He mirado el caso del Amazon Ring hackeado, y hay voces en internet que lo ponen entre algo con intención seria o broma de mal gusto. No es el primer caso de hackeo del producto, como puede verse en el siguiente enlace (hay un video de un caso que se puede visualizar): https://www.pcmag.com/news/372513/hackers-hijack-ring-cameras-by-cracking-passwords

Amazon se defiende diciendo que son las claves de acceso las hackeadas, mientras que otras voces indican que por 6$ te venden un software para hackear el Amazon Ring. Si es que regalamos nuestra privacidad a cambio de fardar tecnológicamente …

[LUCKMCFLY]

<...>

Es lo que me temo del IOT. Incluso con las cámaras de seguridad que uno puede tener conectado a una Central de Alarmas uno no está tranquilo, y de por sí no sabe si alguien les está espiando.

He mirado el caso del Amazon Ring hackeado, y hay voces en internet que lo ponen entre algo con intención seria o broma de mal gusto. No es el primer caso de hackeo del producto, como puede verse en el siguiente enlace (hay un video de un caso que se puede visualizar): https://www.pcmag.com/news/372513/hackers-hijack-ring-cameras-by-cracking-passwords

Amazon se defiende diciendo que son las claves de acceso las hackeadas, mientras que otras voces indican que por 6$ te venden un software para hackear el Amazon Ring. Si es que regalamos nuestra privacidad a cambio de fardar tecnológicamente …

No sé si ud DdmrDdmr vió la película de Snowden, donde él enfatizaba mucho acerca de las cámaras de las computadoras, laptos, todo lo que tenga que ver con comunicaciones están y siempre han estado intervenidas, y nos espían, la verdad que si le creo todo lo que hablan allí, cada vez que me topo con esa película en algún canal de Tv la veo y descubro muchos detalles...

Claro Snowden en sus sistemas tiene doble cifrado, es una seguridad máxima, pero yéndonos más al futuro llegará el momento donde tendremos que tener o abordar este tipo de seguridad para protegernos, veo que estos ataques son cada vez más frecuentes y seguirán en aumento.

[DdmrDdmr]

<…>

Yo personalmente, casi siempre tengo la cámara de mis dispositivos tapada. No por nada, pero es un hábito ya longevo. Incluso los dispositivos de tipo altavoz inteligente los desenchufo y les doy un uso limitado (eso tras haber caído en su compra con ciertas reticencias).

Ayer leí esta noticia sobre cómo las cámaras de video vigilancia privadas fueron hackeadas en un domicilio, y el susto del copón que se llevó la niña del domicilio: https://www.lavanguardia.com/vida/20191214/472220642516/papa-noel-hacker-acosa-nina-camara-vigilancia-habitacion.html

Todo estos gadgets son armas de doble filo, donde la privacidad la ponemos en cierto peligro potencial de manera voluntaria, al amparo del último grito tecnológico o comodity-to-be.

[LUCKMCFLY]

<…>

Yo personalmente, casi siempre tengo la cámara de mis dispositivos tapada. No por nada, pero es un hábito ya longevo. Incluso los dispositivos de tipo altavoz inteligente los desenchufo y les doy un uso limitado (eso tras haber caído en su compra con ciertas reticencias).

Ayer leí esta noticia sobre cómo las cámaras de video vigilancia privadas fueron hackeadas en un domicilio, y el susto del copón que se llevó la niña del domicilio: https://www.lavanguardia.com/vida/20191214/472220642516/papa-noel-hacker-acosa-nina-camara-vigilancia-habitacion.html

Todo estos gadgets son armas de doble filo, donde la privacidad la ponemos en cierto peligro potencial de manera voluntaria, al amparo del último grito tecnológico o comodity-to-be.

En verdad es demasiado enfermo ese Hacker estar molestando a una niña, para él a lo mejor puede resultar gracioso, pero el daño psicológico que puede causarle es muy grande. Anteriormente usaba mi PC y Lapto con la cámara normal, ahora simplemente le coloco un tirro, pero claro no es que estemos excentos de estar seguros, el efecto de google también entra, cuando se habla normalmente y ocurre que en la búsqueda normal aparece lo que se habla( Ya esto lo habíamos hablado anteriormente en otro hilo), creo que todas estas muestras muchas personas no la toman en cuenta, o no les dan la importancia adecuada, tal vez se necesita incrementar la educación o cultura proteccionista de índole digital, para uno como adulto es bueno, pero es 100% obligatorio cuando hay niños en casa y usan la PC.

Estos casos de Ransomware es algo delicado, ya con todas estas infracciones cada vez más de cerca hacia la integridad de las personas, hace que cause  algo de miedo, es como los casos de seguimiento en las personas que las empiezan a extorsionar o buscar cuando entran a la DeepWeb, y cuando se hace un zoom, algunos Hackers mezclan la búsqueda de recompensa a través de Bitcoin para liberar sus archivos sin ser dañados + Terror... éstas personas si necesitan un castigo bien severo.

[seoincorporation]

...
Yo personalmente, casi siempre tengo la cámara de mis dispositivos tapada. No por nada, pero es un hábito ya longevo. Incluso los dispositivos de tipo altavoz inteligente los desenchufo y les doy un uso limitado (eso tras haber caído en su compra con ciertas reticencias).

Ayer leí esta noticia sobre cómo las cámaras de video vigilancia privadas fueron hackeadas en un domicilio, y el susto del copón que se llevó la niña del domicilio: https://www.lavanguardia.com/vida/20191214/472220642516/papa-noel-hacker-acosa-nina-camara-vigilancia-habitacion.html

Todo estos gadgets son armas de doble filo, donde la privacidad la ponemos en cierto peligro potencial de manera voluntaria, al amparo del último grito tecnológico o comodity-to-be.

Internet of things... ese paso evolutivo en el que todo hardware está conectado a internet. Que no nos espanten noticias como 'hackean 10,000 refrigeradores para minar monero'. Lo que es preocupante es que estos gadgets que son utilizados para mejorar la calidad de vida sean usado como una vulnerabilidad del hogar.

[LUCKMCFLY]

Ahora los encargados de Ransomware publicarán una lista de aquellos que no han querido pagar sus recompensas exigidas, esto incluyendo nombres de equipos, Ip, entre otros datos de las que han sido comprometidas.

“El modelo muestra las empresas no desean cooperar con nosotros, y tratando de ocultar nuestro exitoso ataque sobre sus recursos”, el sitio se lee en roto Inglés . “Esperar a que sus bases de datos y documentos privados aquí. Sigue la noticia !”

Un hacker encargado de difundir todo lo relacionado a Ransomware ha logrado obtener aproximadamente $287.499 en BTC.

La ciudad de New Orleans es víctima de este ataque y ha sido declarada como emergencia:



Traducción:

Se ha presentado una declaración de estado de emergencia ante el Tribunal del Distrito Civil en relación con el evento de seguridad cibernética de hoy.

Vía Twitter:

Más detalles de este ataque aquí: https://thenextweb.com/hardfork/2019/12/16/bitcoin-ransomware-cryptocurrency-new-orleans-state-of-emergency-ryuk-blockchain/

Fuente: https://thenextweb.com/hardfork/2019/12/17/bitcoin-ransomware-criminals-threaten-identify-victims-not-paying/

[DdmrDdmr]

<…>

Se supone que la web de Maze es abierta, aunque posiblemente no esté indexada por los buscadores. No he logrado dar con ella para ver qué información publican. De hecho, ya han dado una lista de 8 empresas que son sus próximas víctimas de estas prácticas (ver https://www.ibtimes.sg/warning-after-pensacola-maze-ransomware-target-eight-companies-hackers-release-list-36137).

Ya no es que puedas perder todos los datos del servidor si no llevas una excelente planificación de copias de seguridad y su correspondiente plan de contingencia, sino que pueden llegar a publicar datos de la corporación como elemento de presión para que la compañía pague …

[LUCKMCFLY]

Ahora el ascenso de Ransonware ha sido descomunal, el por Bitcoin a través de estas prácticas por los hackers es muy fuerte cada día, actualizan sus parches para que los expertos en seguridad los hagan ver como niños.


Según Coingionte:

“La mayoría de los casos requieren el pago, debido a que están usando el cifrado fuerte. Y no hay otra opinión que pagar o restaurar las copias de seguridad”

Sin duda alguna estos ataques perpretados han dejado ganancias a los hackers de más de $3M, puede ser esta la razón por la cual hagan ataques cada vez más fuertes, se espera que en 2020 estos ataques aumenten, lo único bueno de todo esto es que en las noticias sale de manera relevante el Bitcoin, lo cual, da algo de publicidad  y causa curiosidad en aquellos que no conocen el criptoactivo y los invita a investigar sobre el mismo, esto ayuda indudablemente a la adopción de Bitcoin.


Fuente originalmente en Inglés: https://laptopcapri.com/how-ransomware-exploded-in-the-age-of-bitcoin/

[LUCKMCFLY]

Ahora los Hackers atacaron a la Ciudad de Baltimore.

Están exigiendo 13 BTC.

El alcalde se pronunció en no dar ningún tipo de recompensa, esta vez los ataques fueron dirigidos hacia miles de computadoras con malware, éstas están infectadas y por ende no pueden procesar multas, facturas de servicios públicos, entre otras, están trabajando directamente con el FBI para tratar de tomar el control de nuevo.

«No podemos darle un cronograma especifico sobre cuándo se restablecerán todos los sistemas», dijo el alcalde Young. «Como toda gran empresa, tenemos miles de sistemas y Apps.

La forma de Ransomware con la cual atacaron se llama: RobbinHood...


Fuente: https://cryptoaldia.com/noticias-bitcoin/hackers-de-bitcoin-atacaron-la-ciudad-de-baltimore/

[DdmrDdmr]

No hay más que ver el siguiente titular para ver que este tipo de problemática está en auge, y supone una de las más graves amenazas sobre nuestra seguridad a mi entender a corto plazo:

Los expertos aseguran que las estafas con Bitcoin y los ataques de Ransomware están entre las principales amenazas para el 2020

https://es.cointelegraph.com/news/malware-de-mineracao-e-golpes-envolvendo-bitcoin-estao-entre-principais-ameacas-para-2020

No tanto quizás por extensión, pero si por la multiplicación de los casos respecto de ahora, y el agravio que supone para los afectados. Va siendo hora de asegurarnos tener un buen plan de contingencia preparado … (todos, empresas y particulares).

[DdmrDdmr]

Otra más para la lista: Travelex. La compañía de pagos internacionales, con sede en Londres ha tenido que apagar sus servidores y comenzar la ardua tarea controlar de verificar todos los puntos de su red para evaluar si hay datos encriptados debido al ransomware REvil (Sodinokibi) que les ha azotado de pleno.

Lo que parece ser una tónica es la de complementar el ataque con el robo de datos, a fin de jugar la baza del daño reputacional a la empresa en caso de que ésta no ceda a los chantajes. La petición actual es de 721 BTCs, el doble de lo solicitado inicialmente, y va de la mano de la amenaza del daño que podrían hacer para la marca la (supuesta) extracción de 5GB de información, conteniendo datos personales y transaccionales.

Ver: https://www.travelex.com y https://coinidol.com/attackers-demanding-bitcoin-ransom/

[LUCKMCFLY]

Ya confirmado que en Latinoamérica los casos de Ransoware en Colombia tienen el liderazgo, luego de Perú y México, "Colombia el páis más afectado de América Latina por ransomware con Bitcoin"

Ya es el 2do año consecutivo que Colombia toma el primer lugar en ataques de Ransomware, donde se manejan recompensas para los hackers del orden de los 0.5 a 5 Bitcoins, en dólares ($4k-$40k) en 2018 fué líder indiscultible de Latinoamérica con un 30% de ataques.

En esta ocasión, los tipos específicos de ransomware más vistos en el país fueron Wannacry, Crysis, Darma, y Ryuk; todos los cuales cobran su rescate en bitcoins. Este último tipo, de hecho, suele atacar solo a compañías con activos de información sensible y a cambio solicita entre 15 y 50 BTC (de 117.000 a 390.000 USD).

La estrategia de los Hackers es sencilla, envían correos masivos haciendo referencia a: Citas Judiciales, Transferencias no autorizadas, embargues judiciales, cosas extremas, cuando hacen click automáticamente se infecta la PC y toda la red a ella.



Fuente: https://es.beincrypto.com/colombia-pais-latino-afectado-america-latina-ransomware-bitcoin-btc/

[coinary]

Ya confirmado que en Latinoamérica los casos de Ransoware en Colombia tienen el liderazgo, luego de Perú y México, "Colombia el páis más afectado de América Latina por ransomware con Bitcoin"

Ya es el 2do año consecutivo que Colombia toma el primer lugar en ataques de Ransomware, donde se manejan recompensas para los hackers del orden de los 0.5 a 5 Bitcoins, en dólares ($4k-$40k) en 2018 fué líder indiscultible de Latinoamérica con un 30% de ataques.

En esta ocasión, los tipos específicos de ransomware más vistos en el país fueron Wannacry, Crysis, Darma, y Ryuk; todos los cuales cobran su rescate en bitcoins. Este último tipo, de hecho, suele atacar solo a compañías con activos de información sensible y a cambio solicita entre 15 y 50 BTC (de 117.000 a 390.000 USD).

La estrategia de los Hackers es sencilla, envían correos masivos haciendo referencia a: Citas Judiciales, Transferencias no autorizadas, embargues judiciales, cosas extremas, cuando hacen click automáticamente se infecta la PC y toda la red a ella.



Fuente: https://es.beincrypto.com/colombia-pais-latino-afectado-america-latina-ransomware-bitcoin-btc/

Esta técnica del email también la usan para robar información de las empresa, como enviar haciendose pasar por el presidente de la compañía pidiendo "estado de cuenta con urgencia", he conocido varios de esos casos, aunque con un buen sistema de e-mail pueden capturar todos esos problemas porque validarían correctamente desde dónde se envía y si es seguro o no, lastimosamente no siempre se invierte lo que se debería para prevenir estos problemas.

[LUCKMCFLY]

Puede que este sea un caso de Ransomware o Sextortion....

Me llamó la atención este artículo: "Ciberdelincuentes cobran 20 mil euros en Bitcoin para no difundir video sexual a entrenador de club de fútbol en España"

El entrenador del Málaga FC Víctor Sánchez, fué víctima de este acto al haberle difundido un video sexual, le estaban exigiendo 20k de Euros en Bitcoin, lo cual, fué viral y le costó la suspención de sus funciones en su equipo.

En su Twitter se manifestó:


Vía Twitter: https://twitter.com/Victor_SDA/status/1216383976664915969

y posterior a ello:


Via Twitter: https://twitter.com/Victor_SDA/status/1216383976664915969

Sólo se ha encontrado un culpable y le pidió perdón públicamente al entrenador, dijo que lo subió a Twitter porque creyó que era un montaje....


Fuente: https://es.cointelegraph.com/news/cybercriminals-charge-20-thousand-euros-in-bitcoin-to-not-spread-sex-video-to-football-club-coach-in-spain

Es increíble cómo esto puede quebrarle la vida a cualquier persona, con una intención de qué? verlos mal, por dinero... no sé , a veces el ser humano suele ser tan bajo en no medir las consecuencias de sus actos.... Esto es un claro ejemplo de que todo debe radicar en enfocarse en obtener la mayor seguridad posible, tanto en la PC como en dispositivos móviles.

[LUCKMCFLY]

Es interesante cómo la información de Ransomware tiene mucha relevancia:


Twitter: https://twitter.com/ProtAAPP/status/1221334504096391169

Los pagos a Ransomware cada día son más crecientes:




Sólo teniendo en cuenta en el 2019 se tiene que el porcentaje ascendió en Q4 al 104%= $84.116, frente a los $ 41,198 en Q3 donde se refleja como mayor afectados a las empresas, muchas veces no es recuperado la información, causando daños al mismo tiempo de los equipos afectados. Es destacable que la criptomoneda que más usan para solicitar recompensas es el Bitcoin, muy pocas veces exigen otra critptomoneda.

Los tipos más comunes de Ransomware:



Y el tipo de Industrias o empresas más afectadas:



Resalta mucho a la vista el Sector Público

Fuente en Inglés: https://www.coveware.com/blog/2020/1/22/ransomware-costs-double-in-q4-as-ryuk-sodinokibi-proliferate

[DdmrDdmr]

El informe de Coveware tiene adicionalmente una gráfica adicional que considero muy interesante, donde indica los vectores de ataque principales:

El RPD (Remote Desktop Protocol), que da acceso a los empleados a poder acceder remotamente a los recursos corporativos, es el foco principal, con 57,4% de los ataques en 2019 (un link dentro del artículo lleva a una explicación de prácticas para mitigar este vector de ataque). Usar puertos no estándar, VPN, 2FA en los accesos (un poco tostón, pero preciso), monitorización de los accesos y usos, delimitación de permisos, etc., todo esto ayuda a mitigar los riesgos en gran medida.

[DdmrDdmr]

Este artículo es interesante en el contexto de este hilo: https://www.coindesk.com/british-court-freezes-860000-in-bitcoin-linked-to-ransomware-payout y https://www.bailii.org/ew/cases/EWHC/Comm/2019/3556.html

Por un lado, según indica, un juzgado de UK ha ordenado a Bitfinex que congele el equivalente a 860k$ en una cuenta, con la base en que la compañía Chainanalysis (junto con el Exchange, según indica) había detectado que los fondos provenían de un pago de ransomware. No sólo se congela, sino que se espera se desvelen a la corte los datos KYC de la cuenta asociada. Y eso que el pago se efectuó hace un par de meses.

Por otro lado, también me ha llamado la atención que quién pagó el rescate fue una compañía de seguros. Según se desprende del artículo, una compañía de seguros británica (anónima) habría pagado, como resultado de la ejecución de una póliza de seguros de su cliente, otra compañía de seguros Canadiense. Es decir, hay pólizas que cubren estas eventualidades económicamente, aunque el susto operativo te lo llevas igualmente (la orden judicial cita que la compañía canadiense afectada se vio afectada en 20 servidores y 1000 ordenadores).

[VB1001]

Por un lado, según indica, un juzgado de UK ha ordenado a Bitfinex que congele el equivalente a 860k$ en una cuenta, con la base en que la compañía Chainanalysis (junto con el Exchange, según indica) había detectado que los fondos provenían de un pago de ransomware. No sólo se congela, sino que se espera se desvelen a la corte los datos KYC de la cuenta asociada. Y eso que el pago se efectuó hace un par de meses.

Pues esta sentencia puede sentar precedente, como empiecen a entrar demandas en los juzgados, a los ramson,s se les termina el chollo, tendrán que inventar otro tipo de extorsión pero si los jueces fallan a favor de la víctima cada vez que ocurra algo de este estilo con bitcoin, les veo poco recorrido, aveces KYC no es tan malo como parece.

[womanderful]

hay pólizas que cubren estas eventualidades económicamente

Y no solo eso, sino que el seguro se encargó de pagar el rescate en bitcoin, según se ve en el punto 8 de tu segundo enlace.

[LUCKMCFLY]

Al parecer una jugada a un hacker de Ransomware no le salió muy bien como lo planeó al enviar una parte de los Bitcoin que obtuvo de un ataque a una empresa del Reino Unido, pues una parte lo envió a Bitfinex y las autoridades pidieron al Exchange que bloquearan ese dinero allí.

96 Bitcoins fueron movidos a Bitfinex, dentro de las cuales una parte la cambiaron a USD y no pudieron hacerle seguimiento a la misma....


De hecho Bitfinex colabora con las autoridades, y al mismo tiempo envió un comunicado:

Bitfinex cuenta con sistemas robustos para apoyar a las autoridades y afectados en casos como este. Entendemos que la figura central de la investigación ya no es la plataforma de intercambio, ya que la empresa colabora activamente para esclarecer lo ocurrido… Bitfinex no tiene ningún tipo de nexo con este delito.

Fuente: https://www.diariobitcoin.com/index.php/2020/01/28/tribunal-del-reino-unido-ordena-a-bitfinex-bloquear-fondos-btc-asociados-con-ataque-ransomware/?from=bitven.com

Vaya que fué una pifia hecha por estos hackers, pues al enviarlo al Exchange pudieron congelarle una parte de ese dinero...Cada vez siguen cayendo más y más casos, será que las empresas, instituciones no les gusta invertir en seguridad y prefieren seguir pagando recompensas? Es algo como así como dice el refrán: En guerra avisada no muere soldado....

[DdmrDdmr]

<…>

Sí, es lo que he comentado unos posts más arriba ….

Aquí lo que me tiene intrigado es ver el desenlace del caso, que no sé si llegaremos a verlo (espero que sí). Dejar los activos en el Exchange durante este tiempo ha sido una torpeza, y ahí tengo dos dudas:

- Si el KYC en el Exchange está realmente a nombre de uno de los perpetradores, en contraposición a haberse realizado con datos KYC robados. En el primer caso, serán identificados y en segundo, habrán metido en un embrollo a un inocente y, de paso, a ver en qué dejaría el proceso KYC realizado por el Exchange.

- Quizás estuviesen tranquilos pensando que nadie les seguiría el rastro (como hizo por encargo ChainAnalysis), o puede que, de tener datos falsos en el KYC, no viesen la manera de retirarlos a una cuenta FIAT. Pienso que sería más bien la primera, pero no descarto la segunda.

[bitserve]

O a lo mejor quien tenía ahora los BTC procedentes del ransom era un tercero a quién se lo vendieron y ahora se ha encontrado con esto?

No me queda muy claro lo de enviar todos (o casi todos) los BTC de una tacada en vez de irlos convirtiendo poco a poco. Tanto si se trata de los "ramsoners" como si es un tercero que pueda sospechar de su procedencia ilícita. O a lo mejor no lo sabía?

No sé, como siempre faltan muchos detalles.... A ver si más adelante nos enteramos de algo más.

[LUCKMCFLY]

Otro caso más, esta vez 5 Firmas de Abogados en USA.

Hackers robaron y cifraron datos de 5 firmas de abogados de EE.UU., pidiendo 2 rescates en criptomonedas

Están solicitando 100 Bitcoin por cada firma, y hasta donde se sabe, ya han publicado datos de dos de las firmas comprometidas, este grupo atacante apodado Maze ya les hicieron una amenaza de seguir publicando más información mucho más delicada.

No solo los bufetes de abogados son víctimas, al parecer están atacando en todas las direcciones para obtener Bitcoin:

"los grupos han robado y publicado datos de bufetes de abogados (incluyendo información de clientes), empresas de contabilidad (incluyendo información de clientes), consultorios médicos y laboratorios de pruebas médicas (incluyendo información de pacientes) y compañías de seguros".

Fuente: https://es.cointelegraph.com/news/hackers-stole-and-encrypted-data-of-5-us-law-firms-demand-2-crypto-ransoms

Ya hay un gran descontrol, los ataques de Ransomware no han sido capaces de ser trancados de alguna manera, las compañías de Seguridad Informática no dan una solución a esto, los antivirus, todo es vulnerable, informaciones de todo tipo es lanzada a la web, aunque soy partidario que la información siempre debe ser libre, hay ciertos datos que deben mantenerse en el anonimato.

Puede que alguna compañía piense en hacer un tipo de Archivo protegido por Blockchain para resguardar información de manera segura, creo que ya es un claro aviso que no lo pueden controlar, al menos no por ahora.

[DdmrDdmr]

Parece nuestro particular coronavirus tecnológico (salvando las distancias): El ransomware. Si bien por lógica de expectativa el retorno de inversión es mayor en el ámbito empresarial que en el particular, la propagación de esta práctica puede extenderse como el aceite. Creo que sería una buena práctica revisar bien los planes de contingencia, incluso los particulares.

Yo en lo personal tengo copias esporádicas, pero no son periódicas por método. También dependerá de lo que uno tiene en sus ordenadores y el valor que le suponga a cada cual, pero el ejercicio es similar a suponer que tu ordenador se rompe mañana, sin posibilidad de acceder al contenido de los discos locales ni los que tengas montados en red (tipo NAS).

[LUCKMCFLY]

El Ransonware está dando de qué hablar por Argentina:

Hackean una aplicación de transporte público y piden rescate en Bitcoin

En Rosario ( Argentina ) hackearon la aplicasión del transporte público y para reactivar sus servidores están pidiendo una recompensa en Bitcoin, alrededor de  $50k y $200k.

“El lunes a las 4 de la mañana sufrimos un hackeo de nuestra base de datos por parte de hackers que no sabemos quiénes son. Técnicamente lo que han hecho es encriptar las bases de datos, luego te dejan un contacto como si fuese un secuestro. Te dicen ‘contactame, pagá en bitcoin y te doy una clave para liberar tus servidores’, se ve que es más común de lo que pensábamos, a pesar de todas las medidas de seguridad que tenemos”.

Fuente: https://es.cointelegraph.com/news/argentina-a-public-transport-application-was-hacked-and-a-bitcoin-rescue-was-asked

Bueno estos acontecimientos no se detienen a pesar de los múltiples problemas que hay en el mundo, el coronavirus ransonware, realmente estas cosas están al acecho.

[LUCKMCFLY]

Es impresionante las cifras por los ataques de Ransomware:

Los ataques de ransomware le costaron a las víctimas 144 millones de dólares en bitcoin en los últimos 6 años, según el FBI

Desde el año 2013 hasta el 2019 han robado el equivalente a $144M según indicó el supervisor del FBI.

El control sobre Ransomware fué amplio, donde la mayoría de recompensas fueron dadas en Bitcoin, algunas en otras criptomonedas.

Según que el FBI tomó el control:

Como parte de la presentación del FBI en la conferencia de la RSA, llamada "Feds Fighting Ransomware: How the FBI Investigaates and How You Can Help" (Federales luchando contra el ransomware: cómo el FBI investiga y cómo puedes ayudar), la agencia gubernamental ofreció información detallada sobre la escena del ransomware.

Fuente: https://es.cointelegraph.com/news/ransomware-hacks-cost-victims-144m-in-btc-over-last-6-years-fbi-says


Pienso que aún falta mucho más para tener el control, ya hasta en Australia un ministro criticó al gobierno  por la falta de seguridad cibernética y permitir esta creciente oleada de Ransomware, esto quiere decir ya mucho...

[Artemis3]

Otro caso más, esta vez 5 Firmas de Abogados en USA.

Hackers robaron y cifraron datos de 5 firmas de abogados de EE.UU., pidiendo 2 rescates en criptomonedas

Están solicitando 100 Bitcoin por cada firma, y hasta donde se sabe, ya han publicado datos de dos de las firmas comprometidas, este grupo atacante apodado Maze ya les hicieron una amenaza de seguir publicando más información mucho más delicada.

No solo los bufetes de abogados son víctimas, al parecer están atacando en todas las direcciones para obtener Bitcoin:

"los grupos han robado y publicado datos de bufetes de abogados (incluyendo información de clientes), empresas de contabilidad (incluyendo información de clientes), consultorios médicos y laboratorios de pruebas médicas (incluyendo información de pacientes) y compañías de seguros".

Fuente: https://es.cointelegraph.com/news/hackers-stole-and-encrypted-data-of-5-us-law-firms-demand-2-crypto-ransoms

Ya hay un gran descontrol, los ataques de Ransomware no han sido capaces de ser trancados de alguna manera, las compañías de Seguridad Informática no dan una solución a esto, los antivirus, todo es vulnerable, informaciones de todo tipo es lanzada a la web, aunque soy partidario que la información siempre debe ser libre, hay ciertos datos que deben mantenerse en el anonimato.

Puede que alguna compañía piense en hacer un tipo de Archivo protegido por Blockchain para resguardar información de manera segura, creo que ya es un claro aviso que no lo pueden controlar, al menos no por ahora.

Mientras sigan usando Windows, seguirán viendo esto, nunca acabará. ¿Solución? Claro que la hay, dejen el Windows, es un primer paso. Sin este paso no tendrán escapatoria, no importa lo que les digan los que venden el sistema o los que venden programas "de seguridad".

Una empresa de "seguridad informática" que use Windows para algo, para mi queda descalificada inmediatamente. Puedes invertir una montaña de dinero intentando proteger Windows, de todos modos lo derriban, no tiene salvación, es necesario abandonarlo completamente.

¿Te parece novedoso esto? Yo lo he visto por décadas. Aquello que está mal diseñado, inevitablemente se rompe, no importa cuanto lo repares. Así es Windows. Luego tenemos Android, OSX, iOS, el grupo de sistema operativos comerciales, pero no menos peligrosos.

Si tienes preocupación y seriamente quieres salir de esto, debes usar Linux o los BSD, no hay de otra. Mientras tanto, con aburrimiento sigo viendo este tipo de noticias recordando como año tras año, "se los dije", en este foro, en otros foros, en chats, en persona, etc. Pero no oyen y la abundancia de víctimas hace este negocio criminal tan lucrativo que por mas que capturen un grupo, aparecen 10 mas, y ellos no se dan abasto con tantas victimas vulnerable que aparecen mas rápido que su capacidad de robarles a todos. Estos, confiados que no los han robado aún, se creen que están a salvo... Hasta que les llega su turno.

Si te pasas a un sistema operativo Software Libre, habrás reducido en 80% el problema. Luego queda de tu parte, pero asegurar un sistema seguro es mucho mas fácil que intentar proteger uno inseguro. Incluso redes desconectas son vulnerables, como la idea esa del pendrive en el suelo.

Moraleja: Abandona Windows, elimínalo de tu vida, entonces habrás dado el primer paso hacía la libertad.

[LUCKMCFLY]

Los Hackers no tienen muchas veces ningún sentido de humanidad aprovechándose así de la situación que está viviendo el mundo.

En el artículo:

Usando ransomware, hackers roban y publican datos médicos de empresa que investiga el Coronavirus

Lo demuestran, ya que hackeaon el sitio y robaron datos sensibles en una empresa que busca la cura para el Covid-19, en Reino Unido llamada Hammersmith Medicines Research, entre los datos incluyen todo lo relacionado con los voluntarios, documentos de identidad, pasaportes, entre otros.

Según El analista de amenazas de Emsisoft, Brett Callow,

Callow le dijo a Cointelegraph que no sabe cuán alto fue el rescate exigido. Aún así, señaló que el grupo ha pedido previamente alrededor de 1 millón de dólares en Bitcoin para restaurar el acceso a los datos y otro millón de dólares en BTC para borrar su copia y dejar de publicarla.

Fuente: https://es.cointelegraph.com/news/hackers-steal-and-publish-medical-data-of-firm-researching-coronavirus-using-ransomware

En estos casos el oportunismo por parte de esta clase de personas es descarado, no hay palabras para darle un nombre a un tipo de crimen de estos.

[DdmrDdmr]

España tampoco se libra de los ataques por parte de desalmados:

Recientemente se ha producido un envío de correos electrónicos a personal sanitario de los centros hospitalarios, con el pretexto de presentar información relevante sobre el Coronavirus. En la práctica, el correo electrónico, a través de un adjunto, conlleva la instalación de un entorno que permite un ransomware llamado NetWalker (una evolución del Mailto).

https://www.elconfidencial.com/tecnologia/2020-03-23/policia-virus-informatico-hospitales-coronavirus_2512743/

Parece que no ha logrado tener un alcance de relevancia, pero sería lo que le falta a los hospitales en estos momentos ...

[LUCKMCFLY]

Debido a los ataques en los hospitales y clínicas de Ransomware, sobre todo en USA, y más con esta pandemia:

La Liga Mundial de la Ciberseguridad se formó para luchar contra el ransomware a los hospitales

Un grupo de Expertos se han unido de 65 países para luchar contra estos ataques,  ya que no es posible que con tantos índices de muertos y esta gente oportunista aprovechando de extraer dinero de la peor manera, el grupo de expertos que luchan contra Ransomware se denomina  la Liga CTI de COVID-19, lo cual, me parece grandioso.

Es notable hacer saber que los hospitales a nivel mundial tienen poco desarrollo en su infraestructura tecnológica, lo cual, lo hace un blanco fácil para ser atacados, y al mismo tiempo los hackers exigen Bitcoin a cambio de devolverles la clave de desencriptación.


El fundador del proyecto, Ohad Zaidenberg:

"Desde que salió la crisis del coronavirus, comprendí que atacar al sector médico es un cambio de juego que puede causar la muerte. Decidí crear una comunidad de expertos en ciberseguridad que quieran pasar su tiempo libre y utilizar sus habilidades para proteger el sector médico. Con mis amigos en el equipo de gestión, demostramos el verdadero poder de la comunidad de infosec. Nos dio tanto poder para seguir haciendo nuestro trabajo, para salvar una vida."

Fuente: https://es.cointelegraph.com/news/global-cybersecurity-league-formed-to-fight-hospital-ransomware

Creo que muchas organizaciones a nivel mundial deberían apoyar a estos expertos, para preservar todo lo relacionado a la información de la data de los hospitales y clínicas, más con la crisis mundial de salud que hay, donde se ha llevado a muchas personas, ancianos, niños, jóvenes, adultos, de todo se ha llevado esta pandemia.

[LUCKMCFLY]

Ahora los Hackers se han dedicado a otro tipo de Ransomware, atacan los Android de las personas diciéndoles que son el FBI y que tienen contenido pornográfico ,que deben pagar una multa por 500USD con tarjeta de crédito.

Según Brett Callow, analista de Amenazas Emsisoft:

“El hecho de que estos estafadores de sextortion de bajo nivel aparentemente realicen transacciones con tarjeta de crédito en lugar de Bitcoin es inusual, pero no es un desarrollo particularmente significativo. Ciertamente no esperaría ver a ninguno de los verdaderos grupos de ransomware adoptando la estrategia "..

A pesar que no piden Bitcoin directamente, aplican lo de las tarjetas de crédito....


Fuente: https://cointelegraph.com/news/mobile-ransomware-that-doesnt-ask-victims-for-crypto-emerges

[LUCKMCFLY]

Un nuevo acontecimiento, el día Anti-Ransomware:

La Interpol se une a Kaspersky para declarar el 'Día Anti-Ransomware'

Si, la Interpol unió fuerzas con Raspersky contra el Ransomware, con una campaña llamada:  “Anti-Ransomware Day.

Craig Jones, Director de Cibercrimen de la Interpol dijo:

"Los ciberdelincuentes están diversificando los vectores de ataque para lanzar ciberataques aprovechando el brote de COVID-19. Estas ciberamenazas están causando graves daños a las personas y organizaciones, lo que agrava una situación ya de por sí nefasta en el mundo físico. Ahora es el momento en que todos debemos unirnos para detenerlas".

Fuente: https://es.cointelegraph.com/news/interpol-teams-up-with-kaspersky-to-declare-anti-ransomware-day

En plena pandemia los casos de Ransomware han disminuido más no han cesado, como el caso del hospital de Alemania, donde comprometieron sistemas informáticos de Fresenius, considerado uno de los más grandes de Europa.

[LUCKMCFLY]

En todos las áreas está Ransomware:

Los ataques con ransomware están aumentando en el sector de la educación

En este 2020 los ataques han ido aumentando a pesar de la pandemia, se habla del  80% de los ataques informáticos sufridos según los informes de Verizon, donde el mayor motivo con un 92% es por razones económicas y un 3% se le da al espionaje.


Y con Pandemia en desarrollo, Casey Ellis es fundador y CTO de la compañía de seguridad, Bugcrowd:

"A medida que más organizaciones se inclinan por el trabajo a distancia, podemos esperar ver más ataques de rasomware dirigidos contra los empleados que trabajan a distancia. Los atacantes capitalizarán las vulnerabilidades en el perímetro exterior, permitiendo ataques de phishing más efectivos y destructivos, como la toma de subdominios, debido a la gran cantidad de cambios precipitados de dominios y configuraciones".

Source: https://es.cointelegraph.com/news/ransomware-attacks-are-exploding-in-the-education-sector

Todos los servicios educativos han sido testigos de este tipo de ataques, ya es bastante frecuente estar pendientes al navegar por la web tener el sumo cuidado con cualquier correo o enlaces que son o puedan resultar ser peligrosos, ransomware acecha cada vez más, esté en la crisis que se esté.

[DdmrDdmr]

<…>

De hecho, lo citado me ha hecho pensar en que la seguridad no es sólo un aspecto nuestro personal, sino que también familiar. Nosotros podemos ser muy precavidos, pero los demás miembros de la unidad familiar comparten ordenadores (o por lo menos los elementos de la red común que pudiese haber), haciendo que éstos sean más susceptibles de ser un vector de ataque.

Estos días están todos conectados virtualmente a trabajos y entornos educativos, pero también ha aumentado el acceso a descargas de juegos de entretenimiento, por lo que los focos de riesgo ensanchan su campo …

[DdmrDdmr]

En Italia, se ha sabido de un ataque ransomware que se orienta al usuario coloquial, y no a las grandes corporaciones, si bien el público objetivo impactado ha sido esencialmente personal de farmacias, universidades y médicos, solicitándoles 300€ de rescate.

El ataque se propagó mediante un correo electrónico que anunciaba la disponibilidad de la Beta de la App para el tracking del Covid-19. Eso sí, la Beta en PC (lo cual ya es inconsistente). El gobierno italiano va a distribuir una App de dicha naturaleza, por lo que el contexto era verosímil (hasta cierto punto), e incluso utilizaron un dominio muy similar al de la Federación Italiana de Farmacéuticos (fofi -> fofl).

https://www.bleepingcomputer.com/news/security/new-f-unicorn-ransomware-hits-italy-via-fake-covid-19-infection-map/

No sé cómo de efectivo ha sido, pues la dirección publicada no ha recibido ingreso alguno (no sé si el email personaliza la dirección, o usa una genérica, que es lo habitual).

[VB1001]

La última víctima más reciente de un ataque con ransomware es un contratista de la NASA

Mientras SpaceX y la NASA celebraban el lanzamiento de su primer cohete operado por humanos, el 30 de mayo, los ciberdelincuentes detrás de un ransomware conocido como, DopplePaymer, lanzaron un ataque contra uno de los contratistas de TI de la NASA.

Según una publicación en el blog de los piratas informáticos, el grupo logró violar la red de Digital Management Inc, o DMI, con sede en Maryland, esta compañía brinda servicios de TI y seguridad cibernética a varias de las compañías clasificadas entre las 100 más ricas del mundo y agencias gubernamentales.

https://es.cointelegraph.com/news/the-latest-ransomware-victim-is-a-nasa-contractor

Viendo todo esto, uno diría que hay mas conocimiento técnico en el lado oscuro que en la vida legal/real, esta gente cualquier día nos despluman a todos a modo de ataque global con todas las cuentas y tarjetas de crédito bloqueadas, después de lo visto esto año..., os imagináis todos los bancos bloqueados, mejor no pensarlo.

[LUCKMCFLY]

Puede que tenga un alcance significativo esto:

Lanzamiento de otro descifrador de ransomware gratuito

"(...) la herramienta solo funciona para archivos cifrados por la variante original de Tycoon, no para archivos cifrados por ninguna de las variantes posteriores. Esto significa que funcionará para archivos que tengan una extensión .RedRum, pero no para archivos con extensión .grinch o .thanos. Desafortunadamente, la única forma de recuperar archivos con esas últimas extensiones es pagar el rescate ".

Es necesario destacar que Telefónica creó: "VCrypt Decryptor", que es una herramienta para recuperar algunos archivos cifrados por Ransomware..


Fuente: https://cointelegraph.com/news/another-free-ransomware-decryptor-released

Es algo positivo, al menos se está atacando de alguna manera, pero la maquinaria que tienen en cuanto a inteligencia es muy grande por parte de los atacantes.

[DdmrDdmr]

Sigo pensando que los ataques ransomware son uno de los mayores peligros para nosotros en el terreno cibernético a corto plazo. Su auge apunta en esta dirección, y aunque no lo queramos, el hecho de poder solicitar los rescates en criptomonedas hace que la trazabilidad sea más complicada.

En todo caso, estoy igual de convencido que se pueden crear contramedidas preemptivas, combinando firmware, sistemas operativos y antivirus, para delimitar este tipo de procesos encriptadores.   

[LUCKMCFLY]

Cada vez están mejorando las técnicas para ataques de Ransomware:

Un nuevo ransomware que utiliza sofisticadas técnicas para evitar ser detectado

Ahora con el nombre de "Thanos" lo que hace referencia  al personaje de la película "Avengers" , está siendo promovido sobre todo en la Darkweb.

“Los ataques con ransomware, si tienen éxito, pueden ser enormemente debilitantes para las empresas, debido a que Thanos utiliza de forma predeterminada una clave de cifrado AES que se genera al momento de la ejecución, sin la clave privada del atacante, la recuperación de los archivos es imposible, dicho esto, para minimizar el riesgo de un ataque con Thanos, las organizaciones deberían seguir empleando las mejores prácticas de seguridad de la información para reducir las amenazas que plantea el ransomware"

Fuente: https://es.cointelegraph.com/news/new-ransomware-uses-sophisticated-evasion-techniques

La maquinaria para este tipo de amenazas son cada vez más fuerte, al nivel que van les será más difícil combatir este tipo de Ransonware.

[LUCKMCFLY]

Ya los hackers no les importa si atacan a expertos...

Compañía de robótica es victima de un ataque de ransomware

Este grupo en particular llamado "REvil" robó datos de una compañía de robótica en USA, y está comenzando a filtrar sus datos en la Darkweb.

Esto es algo bien delicado, porque los Hackers aseguran que la empresa no ha querido comunicarse con ellos para negociar la recompensa.

Los datos filtrados incluyen nombres de sus empleados, direcciones, números de seguro social, detalles salariales, acuerdos de no competencia y más, según los informes, el grupo solicitó tanto Bitcoin (BTC) como Monero (XMR) para cubrir el pago del rescate.

Fuente: https://es.cointelegraph.com/news/robotics-company-falls-prey-to-ransomware-attack

Ahora esto es de otro nivel, porque este tipo de empresas poseen especialistas y expertos en redes, aquí se demuestra que los hackers tienen un conocimiento muy elevado y una maquinaría que trabaja día y noche por ir mejorando sus algoritmos.

[Norkys.2020]

He estado leyendo acerca de la criptomoneda y los ransomware, lo que no me explico es porque las empresas siguen cayendo en este tipo de ataques, cuando deberían de hacer una buena inversión en seguridad informática, ya se ha comprobado que los antivirus tienen muchas debilidades acerca de ransomware, porque no quieren migrar hacia software libre, es preferible gastar en seguridad que en recuperación de datos e información importante.

[DdmrDdmr]

<…>

Hace poco estuve hablando al respecto con responsables de IT de una gran corporación. Dicha corporación si gasta cantidades ingentes en seguridad informática, con innumerables protocolos férreos de monitorización y actualización de los sistemas, además de restricciones en las posibilidades de descargas de ficheros.
Aun así, y a pesar de todos los controles, siempre es posible que alguien se cuele por algún agujero de seguridad, y ante ello, los planes de contingencia contemplan recuperar toda la información sobre servidores limpios, y reconstruir la situación.

Esta corporación, como comentaba, si invierte muchísimo en seguridad informática y protocolos, y no se han visto afectados en el pasado como otras corporaciones afines del entorno.

Hay mucho parque de empresas que, efectivamente, invierten menos en seguridad, y tienen problemas para el apoyo financiero a presupuestos de esta naturaleza, quizás por una falta de cultura corporativa en el terreno que preste los antecedentes para ello.

[LUCKMCFLY]

Ahora hay más datos, según esto:

La Universidad de York confirma que un ransomware causó la reciente violación de datos

Los sistemas educativos tampoco se salvan, también sufren de ataques de Ransomware, de hecho una Universidad pagó recompensa por 1.14Millones de Dólares en Bitcoin, la Universidad de California.

Pero esta vez la universidad de Nueva York confirmó un ataque en Mayo donde robaron datos de suma importancia como los datos y registros de los mismos.

a través del sitio web de la Universidad, Blackbaud, uno de los sistemas de gestión de relaciones con los clientes más grandes del mundo para sectores como la educación, confirmó que los ciberdelincuentes lograron extraer copias de los registros de personal, alumnos y estudiantes.

Fuente:https://es.cointelegraph.com/news/university-of-york-confirms-recent-data-breach-was-caused-by-ransomware

Todo apunta a que debe someterse a una gran revisión de seguridad en los sistemas educativos y de todos los niveles, estos ataques seguirán su ritmo acelerado.

[DdmrDdmr]

… Y en España tenemos el caso más reciente de renombre conocido: Adif (Empresa pública dedicada a la Administración de Infraestructuras Ferroviarias). Esta vez no parece que los discos estén encriptados, sino que los hackers (REvil) han logrado sacar 800 Gb de información relativa a la contabilidad, correos, contratos, (datos personales), etc., bajo la amenaza de publicarlos en un dominio público. Como ya sabemos, este tipo de extorsiones suele recurrir a Bitcoin como forma de resolución.
 
ver: https://es.beincrypto.com/ataque-ransomware-revil-infecta-800-gigabytes-empresa-publica-espanola-adif/

[DdmrDdmr]

Según este Ransonware se llama Ryuk y es desarrollado por el grupo de hackers rusos Grim Spider. <…>

Hoy han publicado que cuanto menos el equivalente a 1M$ procedentes de ataques ransomware de Ryuk han sido movidos a través de una wallet en Binance, si bien el FBI estima en 61M$ (equivalente) la cantidad de BTC atribuible a Ryuk.

Parece de elevado riesgo intentar blanquear importes de BTC tan elevados a través de Binance. Al fin y al cabo, el Exchange ya tiene numerosos precedentes de colaboración con las autoridades para hacerse con los BTCs procedentes de malhechores.

Ver (aún no está en Español): https://cointelegraph.com/news/report-suggests-1-million-of-ransomed-bitcoin-was-cashed-out-on-binance

[DdmrDdmr]

Un ciberataque con ransomware asociado, que inicialmente se pensaba circunscrito al hospital Moisès Broggi de Sant Joan Despí, ha tenido mayores dimensiones a la postre, afectando a 13 centros sanitarios más, en un ataque coordinado contra los centros del Consorci Sanitari Integral (CSI) de la provincia de Barcelona.

El ataque aparentemente se ha perpetrado desde IPs rusas, al cual el CSI por ahora parece no estar haciendo caso, e intenta recuperar los datos con ayuda de L'Agència de Ciberseguretat de Catalunya (ACC) i el Centre Nacional d'Intel·ligència (CNI).

A priori, no ha afectado a datos de usuarios (a saber …), sino a sistemas secundarios relativos al correo y los servicios de telefonía.

Ver (en catalán): https://www.ccma.cat/324/el-ciberatac-contra-lhospital-moises-broggi-afecta-13-centres-sanitaris-mes/noticia/3044998/

[DdmrDdmr]

Este caso también es de renombre en España: Adeslas – KO tres semanas por un ciberataque.

Adeslas es la aseguradora de salud de CaixaBank y Mutua Madrileña, pero ha sufrido su 11S particular. En dicha fecha, prácticamente todos los sistemas de la entidad se vieron afectados, al punto que han tenido que la factura por servicios llega a tener que hacerla a la vieja usanza: en papel (y no informatizado).

Más allá de los inconvenientes creados a todos los clientes, la segunda derivada está en los datos personales. Si bien no hay nada confirmado, el artículo cita:

<…> Según muestra a este periódico Brett Callow, experto en ciberseguridad de Emsisoft, alguien habría colgado en Happy Blog, una página de la 'dark web' solo accesible mediante la red Tor, un fichero que, según reza, serían datos de clientes de SegurCaixa Adeslas. Sin dar muchos más detalles, estaría pidiendo en una especie de subasta, más de un millón de dólares por esta información. <…>

Hay que tener un símil al cold wallet para los datos personales …

[famososMuertos]

Es bien sabido cuando uno se adentra en el mundo digital que en el momento que digitalizas "algo" esta disponible de manera segura o no, a cualquiera que tenga un Pc y una conexión a Internet.

Incluso en la Blockchain,con el tema de las Keys se dice que la manera mas segura es anotar en un papel tus claves, en fin, el papel y el lápiz, se vienen por el siguiente titular que leí:

Un ataque ransomware a ERT, que vende software para ensayos clínicos, provocó que algunos investigadores volviesen a lápiz y papel

^{Fuente: https://www.xataka.com/seguridad/ataque-ransomware-a-ert-que-vende-software-para-ensayos-clinicos-provoco-que-algunos-investigadores-volviesen-a-lapiz-papel}

Siempre se espera que el rasomware haga ataques en lo que cabe a nichos "vulnerables" por el tecnicismo practico que significa tanto en su distribución como de quienes acceden a trabajar en ciertos software o entornos, por ejemplo como se menciona en los post anteriores, en el sentido de las redes locales.

Recientemente una empresa que distribuye software para el ámbito de la investigación a nivel de la medicina sufrió un ataque , eResearchTechnoloy ERC, la noticia resalta porque entre sus clientes están varias  empresas que realizan investigaciones para encontrar la vacuna del Covid-19.

[LUCKMCFLY]

Ya los ataques de Ransonware están tomando más fuerza:

El primer ataque de ransomware en las elecciones de 2020 golpea la infraestructura electoral de Georgia

Fué un ataque dirigido a los sistemas gubernamentales en Georgia y afectó también la infraestructura electoral en la temporada política.

Las preocupaciones han ido en aumento en torno a la amenaza que los ransomware pueden suponer para las elecciones presidenciales de los Estados Unidos durante semanas; la empresa de seguridad NTT advirtió el mes pasado que los agentes criminales pueden haber penetrado ya en las principales redes gubernamentales y podrían esperar para causar estragos más cerca de las elecciones.

Source: https://es.cointelegraph.com/news/first-ransomware-attack-in-2020-election-hits-voting-infrastructure-in-georgia


Bueno los hackers esta vez están haciendo las cosas de manera más inteligente, están aprovechando la época electoral.

[DdmrDdmr]

Desde que empezamos con éste hilo que me pregunto si no se puede "detectar" que 1 o n procesos estén encriptando los archivos del disco, y proceder a bloquear los procesos. De hecho, acabo de mirar y la primera entrada que me encuentro es una de Kaspersky (https://go.kaspersky.com/KasperskyAnti-RansomwareTool (*)). Lo anuncian como 100% efectivo contra el ransomware, aunque con un asterisco para indicar la fuente de dicha afirmación. Se basa en el análisis comportamental, que es a lo que le estaba dando vueltas yo.

Me imagino que todas las compañías antivirus tienen o están en el desarrollo de una herramienta afín, si bien es cierto que no suenan con fuerza todavía.

(*) No he mirado la herramienta en sí todavía. Sencillamente lo anoto a modo de ejemplo (es la primea que me ha salido al realizar la búsqueda)

[DdmrDdmr]

Aunque ya hemos comentado aquí situaciones similares de ransomware, este caso es relevante por el filtrado de información de clientes, y por el importe increscendo solicitado (empezaron con 50 BTCs, pasaron a 100 BTC, y mañana será de 200 BTCs).

El objeto del ataque ha sido la aseguradora Israel Shirbit (cuya pagina web está caída en estos momentos). Para presionar, los atacantes han ido liberando información personal de sus clientes (documentos de identidad) y datos corporativos confidenciales.

El tema con esta estrategia es que, según la sensibilidad de la información, destroza el plan de contingencia informático que pudiese haber para resolver la situación técnica, al reventar el plano reputacional tanto por haber sufrido el ataque en sí, como por haberse hecho públicos datos de sus clientes. Esta doble estrategia de los hackers es la que parece erigirse en la nueva moda, para desgracia de todos...

ver: https://www.criptotendencias.com/seguridad/hackers-demandan-bitcoins-como-medio-de-pago-en-ataque-a-una-firma-de-seguros-israeli/

[DdmrDdmr]

Uno de los juegos más esperados, Cyberpunk 2077 (que no Cypherpunk) se está distribuyendo de manera maliciosa a través de una web falsa, que pretende ser Google Play Store. Como no, te encripta el dispositivo, y te pide el equivalente de 500$ en BTC para desencriptarlo. Por suerte, la clave de desencriptación es siempre la misma, y ya es de dominio público.

En mes pasado se detectó una versión de ransomware que pedía el doble, con el mismo pretexto del juego sobre la plataforma Windows.

Como vemos, y ya sabemos, a pequeña escala, la descarga pirata es un riesgo del copón. El incordio no es sólo económico (en BTCs), sino que tampoco sabemos si recuperaremos el contenido del disco eventualmente.

https://www.bleepingcomputer.com/news/security/ransomware-masquerades-as-mobile-version-of-cyberpunk-2077/

[Csmiami]

-----

Pero vamos a ver.... para windows incluso puede ser algo creible y viable; pero la gente es realmente tan.. ingenua (por decirlo suave) de creerse que un juego de más de 80GB de peso y con unos requisitos para tirarlo bastante elevados va a estar disponible para android??

Mira que no estoy a favor del malware, pero aveces, hay gente que realmente se va buscando que le roben por la vida.... Cuanta falta de pensamiento crítico, por dios.

[DdmrDdmr]

En el Reino Unido, hay compañías de seguros que ofrecen coberturas para pagar casos de ransomware que piden bitcoin para resolver la situación. No obstante, hay personas con cierta relevancia que están abogando que estas coberturas, y el pago de por sí de ransomware en bitcoins, sea prohibido.

El pretexto? Pues que se estaría financiando al crimen organizado, denotando una miopía de la gravedad de la situación para empresas que no tienen los planes de contingencia bien planificados y desarrollados, y para las cuales, un ataque de esta naturaleza puede suponer un golpe muy duro tanto en su operativo como es su reputación (máxime si se llegan a hacer públicos datos de clientes de la corporación).

Ver: https://www.criptonoticias.com/regulacion/reino-unido-podria-prohibir-aseguradoras-cubrir-pagos-bitcoin-ataques-ransomware/

[LUCKMCFLY]

Bueno ya se están empezando a descubrir algunos autores de los Ransomware, ahora han cesado este tipo de ataques a pesar del precio de Bitcoin:

EE.UU. acusa a tres hackers norcoreanos de ser autores de criptoataques y del ransomware WannaCry

Según el Departamento de Justicia de E.E.U.U, afirma que Korea del Norte dejó las armas para atacar desde los teclados, robando mediante las wallets y otras herramientas.

Son muy enfáticos...

"La amenaza cibernética de la RPDC ha hecho un seguimiento del dinero y ha dirigido sus miras de generación de ingresos hacia los aspectos más avanzados de las finanzas internacionales, incluso a través del robo de criptomonedas de los exchanges y otras instituciones financieras"

Fuente: https://es.cointelegraph.com/news/us-charges-three-north-korean-hackers-over-crypto-attacks-and-wannacry-ransomware

Este es un hilo muy importante, esperemos que no se sigan registrando más ataques y que sigan atrapando a estos hackers.

[DdmrDdmr]

<...>

La nota del departamento de justicia al respecto (
Ver https://www.justice.gov/opa/pr/assistant-attorney-general-john-c-demers-delivers-remarks-national-security-cyber) cita el nombre de los tres imputados, además de otra persona con nacionalidad dual de EEUU/Canadá, que se encargaba de blanquear las criptomonedas, con un equivalente de millones de dólares (no cuantificado).

Sería interesante conocer la trama de blanqueo con más detalle, dado que las sanciones sobre Corea del Norte no son fáciles de circunvalar (no me imagino que simplemente se conviertiesen las criptomonedas a USD en un Exchange, y las remitiese por transferencia a cuentas controladas por los destinatarios norcoreanos.

Lo malo de todo esto, más allá de la esencia agónica para las personas y corporaciones impactadas por el ransomware, es la asociación por n-ésima vez de las criptomonedas con el blanqueo de capitales. Por fortuna, hoy por hoy, este tipo de noticias se contrarresta con un chorro de noticias buenas procedentes de los actores inversores.

[DdmrDdmr]

Un presunto ataque informático con ransomware ha dejado al SEPE (Servicio Público de Empleo Estatal) sin servicio, tanto en sus oficinas como en su página web, dejando a miles de usuarios sin poder tramitar sus prestaciones de desempleo. Algunos empleados aseguran haber visto ficheros con el nombre Ryuk.

Según el director del SEPE, Gerardo Gutiérrez, no se ha pedido rescate aún en bitcoin (ni de ninguna otra forma), y asevera que los datos personales están a salvo, al verse afectado únicamente los archivos compartidos en Windows. Veremos el desarrollo en los próximos días …


Ver:
https://elpais.com/economia/2021-03-09/el-sistema-informatico-del-sepe-sufre-un-ciberataque.html
https://www.adslzone.net/noticias/seguridad/sepe-no-funciona-ataque-ransomware/

[DdmrDdmr]

119 GB de archivos confidenciales del Ayuntamiento de Castellón (España) circulando en abierto por la red oscura. Este es el resultado de un ataque ransomware efectuado este mes sobre el consistorio, el cual se negó a pagar el rescate (supuestamente en bitcoin).

El tema es que no sólo afectó a información interna del ayuntamiento, sino información que albergan en sus quehaceres: datos de víctimas de maltrato, atestados policiales, datos relativos a accidentados en accidentes de tráfico, etc.

Como vemos, toda entidad es potencial objetivo (colegio, ayuntamiento, hospital, empresa de todos los tamaños, etc.), amén de las personas individuales (quizás éstos últimos por otros malhechores de poca monta).

ver: https://www.elconfidencial.com/tecnologia/2021-04-17/varon-suicidarse-lejia-hackeo-ayuntamiento-espanol_3031408/

[DdmrDdmr]

Ayer vi imágenes de colas en las gasolineras de EEUU, y como estaba ocupado, no presté atención al motivo. Hoy he leído que el oleoducto Colonial Pipelines se ha visto afectado, prácticamente paralizado, por un ataque ransomware contra su red. La compañía está detrás del suministro de un tercio del combustible consumido en el país, de ahí la gravedad del asunto.

Para variar, el ransomware se ha logrado hacer eco en este caso, siendo el grupo ruso Darkside el que parece estar detrás del mismo. Y cuando hay ransomware, hay bitcoins demandados por medio. No he visto detalles de los montantes demandados, pero dada la importancia estratégica de las corporación, los bitcoins requeridos no serán pocos …

Ver: https://www.elconfidencial.com/tecnologia/2021-05-11/oleoducto-ransomware-eeuu-posible_3074784/

[womanderful]

Hoy he leído que el oleoducto Colonial Pipelines se ha visto afectado, prácticamente paralizado, por un ataque ransomware contra su red.

Ver: https://www.elconfidencial.com/tecnologia/2021-05-11/oleoducto-ransomware-eeuu-posible_3074784/

Me parece interesante señalar que en la noticia no hay reseñas a bitcoin ni a criptomonedas. Y en mi opinión tampoco debe haberlas. Deberían poner el foco en la deficiente seguridad informática de las empresas e instituciones. Medidas como PCI/DSS nos muestran que no es imposible alcanzar un grado de seguridad aceptable. Por supuesto que implementar medidas de seguridad es costoso, pero la alternativa es que tarde o temprano te hackeen, y en casos como este los curritos de a pie también sufrimos las consecuencias.

[DdmrDdmr]

Me parece interesante señalar que en la noticia no hay reseñas a bitcoin ni a criptomonedas. <...>

Sorprendentemente, en el caso tratado de Colonial Pipeline, ha transcendido que si accedieron a pagar el chantaje, y además la cantidad: 75 bitcoins (3,8M$ ahora mismo, pero 5M$ en cifras del artículo abajo referenciado).

No se suele ver este tipo de información publicada, y hasta el detalle de que la herramienta de desencriptación que proporcionaron los atacantes era una castaña de lenta, al punto que era más ágil recuperar desde backups (supongo que en parte).

Ver: https://www.bloomberg.com/news/articles/2021-05-13/colonial-pipeline-paid-hackers-nearly-5-million-in-ransom?srnd=premium

[DdmrDdmr]

Supongo que todos somos conscientes, pero los problemas de ransomware pueden llegarnos a todos, no solo a las corporaciones.

Hoy he leído como unos hackers crearon una página (falsa) de descargas de películas con el fin de, a la postre, distribuir BazaLoader; un entorno con capacidad de distribuir Ryuk y Conti para el ransomware, robar credenciales, hacer minería de criptonomedas, control remoto, etc.

El gancho era que, para darte de baja de la suscripción a la web de descargas, tenías que bajarte un Excel y seguir las instrucciones (con atención al usuario telefónica incluida). El Excel, con sus macros, es lógicamente el punto de arranque de la descarga de BazaLoader.

Lo de siempre, con otra cara …

Ver:
https://www.adslzone.net/noticias/seguridad/bravomovies-web-falsa-bazaloader/
https://getskout.com/cybersecurity-threat-advisory-0033-21-malicious-call-centers-spreading-bazarloader-malware/

[DdmrDdmr]

<...>Sorprendentemente, en el caso tratado de Colonial Pipeline, ha transcendido que si accedieron a pagar el chantaje, y además la cantidad: 75 bitcoins<...>

Aún más sorprendente es el hecho de que el FBI ha recuperado 63,7 BTCs del ransomware pagado. No han transcendido los detalles de cómo han logrado hacerse con los BTC, pero según figura en el artículo, parece que tenían controlada la dirección BTC, y lograron tener control de la misma.

Por ello, se especula que podría ser una dirección de un Exchange sobre el cual EEUU podría tener jurisdicción, lo cual parecería un acto de torpeza notorio por parte de los extorsionadores.

Ver: https://stockhead.com.au/cryptocurrency/crypto-prices-plunge-after-fbi-seizes-63-7-bitcoins-from-darkside-oil-attack/

[DdmrDdmr]

Puede que los Exchanges sean un honey pot para capturar estos ciberdelincuentes en el momento en el cual quieren convertir a fiat los ingresos derivados del ransomware. Así por lo menos le ha sucedido a miembros de Fancycat, los cuales se les atribuye un equivalente de 500 M$ ingresados en bitcoin por este concepto.

Binance, junto con la colaboración de TRM Labs, Crystal, y los cuerpos de Ucrania, Corea del Sur, Estados Unidos, España y Suiza, han logrado llevar a la detención de varios miembros de la organización (esencialmente en Ucrania), así como a la incautación de bienes y equipos informáticos.

La pregunta que planea es si lo incautado (bienes, posible fiat y cripto) servirá para resarcir en parte los pagadores de los rescates ransomware, o si técnicamente éstos no pueden ser resarcidos por el pago efectuado.

Ver: https://www.criptonoticias.com/seguridad-bitcoin/binance-colaboro-captura-ciberdelincuentes-lavaban-dinero-exchange/

[DdmrDdmr]

En esta ocasión, un ataque ransomware masivo parece haber afectado a más de 1000 compañías, siendo dichas compañías usuarias de VSA de Kaseya, un software para la administración remota de equipos y gestión de actualizaciones. El foco está en principio embedido en el propio software VSA.

No ha trascendido una lista extendida de afectados (ni la espero ver), pero si un caso sonado por su dimensión, obligando a cerrar a más de 800 supermercados de la cadena sueca Coops, al afectar el malware sus TPVs.

No hace falta verlo explicitado, pero uno intuye que lo solicitado será un rescate en bitcoin a cada una de los afectados. A ver si hay suerte y, siguiendo el rastro, logran detener a la postre a los que están detrás del ataque.


Ver: https://edition.cnn.com/2021/07/02/tech/ransomware-cybersecurity-attack-kaseya/index.html

Edit: Ya tenemos la cifra del rescate solicitado: unos 70M$ en BTC:
https://www.proactiveinvestors.co.uk/companies/news/954089/hackers-demand-us70mln-worth-of-bitcoin-in-attack-to-200-companies-954089.html

[zilogz80]

Joer, al final sí que va a ser verdad que habrá que tener en casa algo de dinero debajo del colchón. Como empiecen así a denegar el servicio con el consiguiente cierre de cadenas de tiendas, o cajeros, o lo que sea ya veréis la que se va a liar.
Me acuerdo del pequeño corralito de Grecia, antes de que dieran su brazo a torcer con la Unión Europea, cuando no podían sacar dinero de los cajeros, y los pobres pensionistas sobrevivieron como pudieron un par de meses. Mirad lo que ha pasado con el SEPE.
¡ Hay que preparase para lo que está por venir !

[DdmrDdmr]

Hemos visto ransomware afectando a todo tipo de negocio o entidad, y aunque algunas pueden ser más graves (militares, hospitales, telecos, energéticas por ejemplo) que otras por las consecuencias, hay casos que afectan a la vida mundana como la educación.

En Barcelona (Cerdanyola del Vallès para ser más preciso), una de sus universidades, la UAB (Universidad Autónoma de Barcelona) está ahora mismo lidiando con las consecuencias de uno de estos ataques. Esto afecta a los masters online, clases de tecnología, comunicación con los alumnos para poner y recibir las tareas del curso, acceso a la información de estudio creada para los alumnos, comunicación virtual profesor/alumno, WIFI en las instalaciones y demás. No es el fin del mundo, y se están montando estructuras de soporte paralelas, pero en su medida, es un incordio y entorpece el desarrollo de la actividad lectiva y formativa.

No ha trascendido nada de lo solicitado como rescate, ni si se atenderá en todo, lo que está claro es que no pedirán aprobados ni clases gratuitas. Más bien lo de siempre … bitcoin o alguna criptomoneda alternativa …

Ver: https://elpais.com/espana/catalunya/2021-10-14/la-universidad-autonoma-de-barcelona-lleva-tres-dias-sin-internet-por-un-ciberataque.html

Edit: Ya hay cifra -> 3M € en BTC ...

Además:

<...> Según publica el diario Ara, el ransomware PYSA ha afectado potencialmente a más de 650.000 carpetas y archivos, entre ellos currículos de docentes, evaluaciones, certificados académicos, listas de correos electrónicos, planos y órdenes de pago. <...>

https://www.eltriangle.eu/es/2021/10/15/los-ciberatacantes-de-la-uab-reclaman-3-millones-de-euros/

Edit: 09/11/2021:El ataque sigue afectando a la UAB, afectando a la operativa estidiantil de pleno.

[DdmrDdmr]

Ahora le ha tocado a MediaMarkt ser la nueva víctima de ransomware, siendo infectados por Hive, afectando seriamente a países como Alemania y Países Bajos, y en menor medida, pero con impacto en la operativa, en otros países como España.

La cantidad del rescate solicitado se cifra entre los 50M $ y los 240M $ según la fuente, habitualmente a pagar en bitcoin. Puede que sea un punto de partida de negociación, pero vamos, como para dejar al negocio tiritando …

Ver:
https://www.bleepingcomputer.com/news/security/mediamarkt-hit-by-hive-ransomware-initial-240-million-ransom/
https://notiulti.com/el-grupo-de-hackers-exige-50-millones-de-dolares-en-bitcoins-despues-del-ataque-a/

[DdmrDdmr]

Por anotar un contrapunto en este hilo, indicar que la Universidad de Maastricht, que fue víctima de ransomware, y habiendo optado por pagar en el 2019 200K € en bitcoin, ha logrado recuperar el capital tras la intervención policial.

De hecho, la policía ya logró dar con los fondos en el 2020, en posesión de lo que tildan como un blaqueador de capitales ucraniano, pero la burocracia hace que se precisen dos años más para retornar los fondos a la universidad.

Lo bueno: se lo han retornado en BTCs, con u contravalor actual de 500K € (y eso con el valor actual) …

Ver: https://pulsoslp.com.mx/mundo/universidad-holandesa-recupera-con-beneficios-un-rescate-que-pago-en-bitcoin/1508449

[Porfirii]

Pues les ha salido bien el cibersecuestro... y llegan a tardar un poco menos en devolvérselo y eso sí que habría sido una fiesta.

Hace tiempo que no oía noticias sobre ransomware. Supongo que irá por rachas, si interesa televisivamente hablando en el momento y si son grandes firmas las atacadas. Una buena noticia, para variar, en este tema.

[DdmrDdmr]

Un caso llamativo sobre el que he leído hoy es el del pago de 7,5M $ en BTC por parte de los joyeros de lujo Graff Diamonds Corp. a finales del 2021 (la mitad de lo inicialmente solicitado) al grupo de ransomware Conti.

Dicho grupo presionó la entidad para que realizase el pago, mediante la publicación de datos relativos a las compras de familias reales Saudíes, de los Emiratos Árabes Unidos, y de Quatar, tras lo cual Graff accedió al pago antes citado.

Ahora la compañía está de rifirrafe legal con la aseguradora, uno reclamando el pago del rescate desembolsado y el otro señalando que la póliza no cubre este tipo de siniestro.

[seoincorporation]

Un caso llamativo sobre el que he leído hoy es el del pago de 7,5M $ en BTC por parte de los joyeros de lujo Graff Diamonds Corp. a finales del 2021 (la mitad de lo inicialmente solicitado) al grupo de ransomware Conti.

Dicho grupo presionó la entidad para que realizase el pago, mediante la publicación de datos relativos a las compras de familias reales Saudíes, de los Emiratos Árabes Unidos, y de Quatar, tras lo cual Graff accedió al pago antes citado.

Ahora la compañía está de rifirrafe legal con la aseguradora, uno reclamando el pago del rescate desembolsado y el otro señalando que la póliza no cubre este tipo de siniestro.

Interesante caso, y entiendo perfectamente que la poliza no lo pague, ya que cualquiera podría fingir uno de estos ataques con la intención de bajarle $7.5M a la aseguradora.

Realmente no entiendo a las personas que pagan este tipo de 'Rescate'. El echo de que paguen solo empeora las cosas ya que el atacante puede exigir mas dinero en un futuro.

[Porfirii]

Vaya millonada!! Había oído de ransomwares, pero para nada tan altos (bueno, a 1.500€ por ordenador a una gran empresa con miles de ordenadores, pues igual también llega).

Sobre pagar o no pagar, no sé hasta qué punto con copias de seguridad se le puede poner remedio hasta cierto punto, pero en el caso de negocios tan grandes, probablemente estas cantidades sean el chocolate del loro.

[DdmrDdmr]

<...>

No es sólo un tema de recuperar los datos en sí, sino de qué hacen los ransomware boys con los datos. Es una práctica habitual que parte de los datos lleguen a ser filtrados para demostrar tener capacidad de hacer un mal reputacional adicional a la compañía, desvelando datos potencialmente delicados acerca de sus clientes. En el caso de la joyería, la privacidad es muy importante para muchos sus clientes, y esto lo usaron como argumento de presión. Luego el pago del rescate en BTC eximirá o no de chantajes futuros, pero la presión seguro que hace a más de uno tirar por la vía del pago (por si joderles el operacional era poco).

En cuanto a los datos de por sí, su recuperación y el restablecimiento operacional dependerá de tener un buen plan de contingencia establecido y probado a ser posible con anterioridad para testar su bondad. Más de uno se da cuenta que, llegado el caso, ni las copias se estaban haciendo como era necesario, ni se había probado bien el plan de recuperación, ni las copias contenían los datos tan al día como era preciso, ni se habían incluido todos los entornos en las copias, ni …

[Porfirii]

Ah, pues eso no sabía: pensaba que el tema de los ransomware se basaba en bloquearte el acceso al ordenador "simplemente", pero si le añades el factor de acceder y poder usar tus datos para fines ilícitos estás aumentando el factor de riesgo varios niveles.

En dicho contexto, es normal que varias empresas accedan al chantaje de los "ransom boys".

[DdmrDdmr]

He visto que el Tesoro de EEUU ha puesto en la lista negra a 10 individuos y dos entidades por, supuestamente, estar detrás de un conjunto de ataques de ransomware al país. Las personas sancionadas de esta manera son, o están vinculados, con la Guardia Revolucionaria de Irán, y entre las medidas tomadas, se ha decidido incluir en la lista negra sus direcciones de bitcoin.

Teniendo el perfil que tienen, y la capacidad técnica, me da que el hecho de que pongan unas pocas de sus direcciones de bitcoin en la lista negra, en la práctica, se las trae al pairo ..

Ver: https://decrypt.co/109710/treasury-blacklists-bitcoin-addresses-iran-ransomware-group

[Hispo]

He visto que el Tesoro de EEUU ha puesto en la lista negra a 10 individuos y dos entidades por, supuestamente, estar detrás de un conjunto de ataques de ransomware al país. Las personas sancionadas de esta manera son, o están vinculados, con la Guardia Revolucionaria de Irán, y entre las medidas tomadas, se ha decidido incluir en la lista negra sus direcciones de bitcoin.

Teniendo el perfil que tienen, y la capacidad técnica, me da que el hecho de que pongan unas pocas de sus direcciones de bitcoin en la lista negra, en la práctica, se las trae al pairo ..

Ver: https://decrypt.co/109710/treasury-blacklists-bitcoin-addresses-iran-ransomware-group

Me gustaría también compartir un caso bastante particular que solo es posible en el contexto histórico de mi país y las relaciones que tiene este con el resto de las potencias occidentales.

Resulta que un médico (un cardiólogo) recientemente se le ha acusado de programar/producir software de ransomware por las autoridades de los Estados Unidos.

Se puede encontrar más información aquí y otras páginas afines a las criptomonedas.
https://cnnespanol.cnn.com/2022/05/17/ransomware-medico-venezuela-acusado-ciberataque-trax/

Lo curioso es que este caso es que estamos hablando de un medico cardiólogo, que sabe programar y aún así, estando completamente identificado por Estados Unidos, nuestro gobierno no se ha pronunciado oficialmente al respecto. Este señor podría perfectamente estar durmiendo en su casa como si nada esta noche.

Verdaderamente, muy surrealista.

[DdmrDdmr]

<...>

Me sonaba el caso que comentas, y efectivamente lo había visto antes en este post. De hecho, la persona en cuestión, Moisés Luis Zagala González, está en la lista de los más buscados por parte del FBI por su pasión por el desarolllo de software para el ransomware.

Aquí hay un reportaje reciente bastante extenso al respecto, donde se indica que usaba tres pseudónimos, y aceptaba pagos en criptomonedas y Paypal. El tema es que los pagos en Paypal llevaron a su hermano, el dueño de la cuenta, y algunos pagos en criptomonedas se hicieron a lo que parece ser una wallet custodial. La empresa detrás de la wallet custodial dio los datos detrás de la cuenta al FBI, y tirando del hilo, montaron el caso en base a la identidad detectada.

Ver: https://armando.info/el-doctor-zagala-y-mister-cracker/

[Hispo]

<...>

-snip-

Me disculpo, al parecer tuve un lapso mental que me impidió recordar que ya tocamos este trema anteriormente.
Ahora bien, eso de utilizar paypal para recibir dinero obtenido por servicios ilegales suena como un error de novado, cuesta creer un poco que se trate de la decisión de la misma persona que se encargo de la programación del software en sí.

Yo personalmente tengo algo de curiosidad por ver como seguirá desarrollándose esta noticia, si efectivamente el gobierno de mi país tomará acciones en pro de ganarse un poco más el favor de la CIA/FBI y la administración de Biden, reclutarán a este criminal para sus propios planes a futuro o tomarán el comunicado de las Autoridades de USA como una injerencia y decidirán ignorar todo esto.

¿Con cual opción te juegas los satoshis?

[DdmrDdmr]

<…>

Ni lo menciones, nos sucede a todos.

En lo relativo al cardiólogo que parece estar detrás del desarrollo de software para el ransomware, el artículo último que referenciaba aportaba algo interesante, y es que parece tener doble nacionalidad al tildarlo de ciudadano venezolano-francés. Esto supone dos vectores de ataque para apresarlo, si bien a la postre, si no se mueve de Venezuela, son las autoridades del país los que pueden o no intervenir en favor de una extradición. Esto último, se me antoja poco probable, pero no conozco bien los antecedentes de casos similares con éxito (de haberlos) entre los países implicados.

Por otro lado, los pagos recibidos en criptomonedas es lo que uno esperaría en este caso, pero los de Paypal a nombre de un familiar parece de cajón que es dejar la puerta abierta a su identificación, y lo de la wallet custodial ni te digo. No me acaba de cuadrar del todo.

[DdmrDdmr]

Los hackers que han perpetrado el ataque al Hospital Clinic de Barcelona, RansomHouse, solicitan ahora 4,5M de dólares para no difundir información sensible del centro y sus pacientes. No lo cita expresamente, pero vamos, que la petición de pago seguro que no es transferencia bancaria, y lo habitual suele ser el pago mediante bitcoin.

El gobierno catalán no obstante no está por la labor de pagar el rescate, por lo que se especula que pronto podríamos ver circulando alguna parte de los 4Tb de datos que copiaron.

Esto es la Fase II de este tipo de ataques (pedir un rescate por no divulgar datos sensibles), siendo la Fase I pedir un rescate por desencriptar los servidores, algo a lo que se supone que tampoco accedió el gobierno de la Generalitat.

Ver:
https://www.lavanguardia.com/vida/20230310/8814931/ransom-house-exige-4-5-millones-euros-clinic-ciberataque.html

[DdmrDdmr]

Hacía algunos meses que no leía sobre un caso sonado de ransomware en España, y ya tenemos un caso destacable: en esta ocasión, la víctima es el Ayuntamiento de Sevilla, el cual está ahora mismo sometido al malware Lockbit.

Para variar, se ha pedido un rescate en criptomonedas (no he visto que se mencionase explícitamente bitcoin), demandando inicialmente un equivalente a 5M €, para rebajar la cifra sucesivamente hasta el actual 1M €.

Me constan casos de ransomware sobre alguna empresa de entidad, que no sale en los medios, por lo que no conocemos el impacto total, y si los malhechores persisten en el método, desde luego es por ser una actividad que les resulta netamente rentable y reiterativa.

Ver:
https://www.revistaciberseguridad.com/2023/09/el-ayuntamiento-de-sevilla-sufre-un-ciberataque-con-el-ransomware-lockbit/

[Hispo]

Hacía algunos meses que no leía sobre un caso sonado de ransomware en España, y ya tenemos un caso destacable: en esta ocasión, la víctima es el Ayuntamiento de Sevilla, el cual está ahora mismo sometido al malware Lockbit.

Para variar, se ha pedido un rescate en criptomonedas (no he visto que se mencionase explícitamente bitcoin), demandando inicialmente un equivalente a 5M €, para rebajar la cifra sucesivamente hasta el actual 1M €.

Me constan casos de ransomware sobre alguna empresa de entidad, que no sale en los medios, por lo que no conocemos el impacto total, y si los malhechores persisten en el método, desde luego es por ser una actividad que les resulta netamente rentable y reiterativa.

Ver:
https://www.revistaciberseguridad.com/2023/09/el-ayuntamiento-de-sevilla-sufre-un-ciberataque-con-el-ransomware-lockbit/

Si no recuerdo mal, en Estados Unidos se considera como ilegal pagar el rescate a los criminales para recuperar los datos, creo que lo hicieron bajo el pretexto de que el seguirles el juego es equivalente a enviar fondos a organizaciones terroristas o algo parecido. A pesar de ello, es muy tentador para empresas que tienen un monto de información privilegiada el ignorar la posibilidad de pagar el equivalente a una fracción de sus profits mensuales para evitar daños por mucho más.

Al final del día, los hackers pueden tener una idea de cuanto dinero puede pagar una empresa o persona, se puede especular sobre el valor de las mismas; pero al momento de robar información no saben que están robando.

¿Hay leyes similares en España que no solo criminalizan al atacante informático, sino también al que envia dinero?

[DdmrDdmr]

<...> ¿Hay leyes similares en España que no solo criminalizan al atacante informático, sino también al que envia dinero?

Si no voy errado, en España no es ilegal ni está penalizado pagar a los autores del ransomware, si bien está totalmente desaconsejado por parte del Incibe (Instituto Nacional de Ciberseguridad) por motivos lógicos: no hay garantías de recuperar los datos, te pueden subir el coste de reparación una vez pagado, pueden iterar, y fomenta la práctica.

Ver: https://www.incibe.es/empresas/te-ayudamos/servicio-antiransomware

Otra cosa es que, según se preste el caso, te pueden (por lo visto) acusar de colaborar con el crimen organizado:
https://www.eleconomista.es/legislacion/noticias/11214563/05/21/El-precio-de-pagar-el-rescate-a-los-hackers-delito-por-colaboracion-con-banda-criminal.html

Esto último no obstante puede me da que es genérico y teórico, y que los pagadores, salvo práctica flagrante contranatural, no creo que sean apaleados jurídicamente por realizar el pago.

[darbitmobilerecovery]

¿Hay leyes similares en España que no solo criminalizan al atacante informático, sino también al que envia dinero?

No estaria entendiendo cual seria el espiritu de la ley de esto si existiese. Ya que por lo unico que tendria un atisbo de ser, y ni asi es la de evitar que alguien desde adentro pague y este involucrado con los hackers pero no tendria sentido tampoco, ademas de que en una empresa o gobierno apra pagar pasa por mil areas.

Ademas llegado el caso, que quisiéramos recuperar nuestros datos, que incurririamos en un delito? No tiene sentido.

[Hispo]

¿Hay leyes similares en España que no solo criminalizan al atacante informático, sino también al que envia dinero?

No estaria entendiendo cual seria el espiritu de la ley de esto si existiese. Ya que por lo unico que tendria un atisbo de ser, y ni asi es la de evitar que alguien desde adentro pague y este involucrado con los hackers pero no tendria sentido tampoco, ademas de que en una empresa o gobierno apra pagar pasa por mil areas.

Ademas llegado el caso, que quisiéramos recuperar nuestros datos, que incurririamos en un delito? No tiene sentido.

Tiene que ver bastante con el aparente hecho de como la justicia de muchos países ve a esos grupos de criminales informáticos  que como hace un par de años ha logrado hitos que les pusieron la piel de gallina a algunos cuantos políticos en Washington, quizás recuerdes esa ocasión en la que pusieron en riesgo la el flujo de combustible de parte de los Estados Unidos, lograron introducir ransomware en la red interna de una refinería u central de bombeo de crudo.

Aunado a que muchos de esos grupos tienen bases de operaciones en países que son contrarios a los intereses de las alianzas occidentales (China, Rusia y Corea del Norte), entonces el criminalizar a los que deseen pagar por recuperar sus datos es una forma de desalentar a los hackers de tener como blancos a personas de Estados Unidos, etc. Sabiendo que es menos probable que paguen con Bitcoin/Monero, como a ellos les gustaría; pues la información personal de una persona random en USA no tiene mucho valor para los criminales Rusos. En el caso de las empresas es otro caso.

[DdmrDdmr]

El siguiente artículo al respecto es interesante:
https://www.merca2.es/2023/09/13/empresas-pagan-chantaje-1421734/

Cita que un 29% de las empresas en España, que sufrieron un ataque de ransomware, optó por pagar el rescate. A nivel global, el rescate medio se ubica en 1.542.333 $  (entiendo que hablamos de los solicitado), y lo pagado ronda los 400.000 $ en media (hay "rebajas").

Una cuestión interesante, que desconocemos, es cómo llegan a realizar el pago las empresas afectadas que acceden al abono del rescate. Hay empresas aseguradoras que tienen pólizas al respecto, pero para los casos que no, hay todo un mundo por descubrir a ritmo acelerado. Me imagino que los bufetes de abogados de prestigio les pueden asesorar al respecto con algún especialista en la materia, pero es mera especulación por mi parte.

Hay un párrafo interesante, relativo a la vertiente normativa del pago de los rescates, que vemos es dispar según el ámbito geográfico:

El RGPD de la UE aplica multas por incumplimientos relativos a violación de datos, algunas millonarias, pero no por el pago de los rescates al cibercrimen. En USA en cambio, en octubre de 2020 la Oficina de Control de Activos Extranjeros (OFAC), perteneciente al Departamento del Tesoro de EE.UU., estableció que las empresas que paguen rescates por Ransomware y las compañías que faciliten las negociaciones con los extorsionadores podrán ser sancionadas con multas de 20 millones de dólares. Y eso que es en USA donde algunos expertos recomiendan de tapadilla a las corporaciones que se hagan con reservas de bitcoin para atender estas circunstancias si se producen, según nos indican en el sector.

Fuente del estudio:

Sophos ha preguntado a 3000 responsables de Tecnología de la Información y ciberseguridad entre enero y marzo de 2023. Entre los 14 países repartidos por América, EMEA y Asia-Pacífico, España ha participado con la opinión de 150 empresas de diferentes tamaños y número de empleados.

[DdmrDdmr]

De vez en cuando se produce alguna noticia buena en este terreno. En este caso se trata de la desmantelación del grupo de Hackers Lockbit, que era de los grupos más conocidos dentro del ámbito del Ransomware previa encriptación de la información de las víctimas, y potencial extorsión adicional tras publicar parte de los datos en abierto.

En la operación se han detenido tanto a los responsables, como intervenido la infraestructura que soportaba las operaciones. Con ello, las autoridades animan a las víctimas a ponerse en contacto con ello para intentar recuperar la información cifrada.

El artículo cita también la existencia de la web "No more Ransom", que contienen soluciones para descifrar (según dicen) 150 tipos de ransomware, algo que desconocía.

Ver:
https://decrypt.co/es/218319/grupo-de-hackers-lockbit-es-desmantelado-tras-recaudar-120-millones-en-bitcoin
https://www.nomoreransom.org/en/decryption-tools.html

[airbin]

Iba a crear un hilo nuevo con la noticia, se comento en el post anterior.

Una actualizacion, se reporta actividad criminal, la banda ha dico que son un imperio y que no han sido desmnatelados.

La gran multinacional de los ciberataques LockBit niega haber sido desarticulada: “¡Somos un imperio!”

leer mas aqui https://www.eldiario.es/tecnologia/lockbit-cumple-amenaza-grupo-cibercriminal-danino-mundo-vuelve-actuar-dice-apoyar-trump_1_10956278.html

otro:

“En el sector siempre se ha tomado con cautela esto y nos parecía que había sido 'demasiado fácil' desmontar a Lockbit”, continúa este especialista, que destaca que la operación contra ellos ha derivado en “su primer posicionamiento político”: “Dicen abiertamente que quieren que gane Trump”.

leer mas aqui https://www.eldiario.es/tecnologia/lockbit-cumple-amenaza-grupo-cibercriminal-danino-mundo-vuelve-actuar-dice-apoyar-trump_1_10956278.html

[darxiaomi]

Buena info airbin, lo habia visto por medios locales ya que ellos habian hackeado a una empresa de seguros de las mas grandes de mi pais, asi que con su supuesta caida se hicieron eco los medios locales.

Yo creo que no debe ser algo muy centralizado y deben quedar muchos tentaculos dando vueltas, pero bueno veremos si lo que atraparon fue un tentaculo o la cabeza.