Víctimas de Ransomware ahora - y demás

[DdmrDdmr]

Aunque ya hemos comentado aquí situaciones similares de ransomware, este caso es relevante por el filtrado de información de clientes, y por el importe increscendo solicitado (empezaron con 50 BTCs, pasaron a 100 BTC, y mañana será de 200 BTCs).

El objeto del ataque ha sido la aseguradora Israel Shirbit (cuya pagina web está caída en estos momentos). Para presionar, los atacantes han ido liberando información personal de sus clientes (documentos de identidad) y datos corporativos confidenciales.

El tema con esta estrategia es que, según la sensibilidad de la información, destroza el plan de contingencia informático que pudiese haber para resolver la situación técnica, al reventar el plano reputacional tanto por haber sufrido el ataque en sí, como por haberse hecho públicos datos de sus clientes. Esta doble estrategia de los hackers es la que parece erigirse en la nueva moda, para desgracia de todos...

ver: https://www.criptotendencias.com/seguridad/hackers-demandan-bitcoins-como-medio-de-pago-en-ataque-a-una-firma-de-seguros-israeli/

[1714282136]

1714282136

[1714282136]

1714282136

[1714282136]

1714282136

[DdmrDdmr]

Uno de los juegos más esperados, Cyberpunk 2077 (que no Cypherpunk) se está distribuyendo de manera maliciosa a través de una web falsa, que pretende ser Google Play Store. Como no, te encripta el dispositivo, y te pide el equivalente de 500$ en BTC para desencriptarlo. Por suerte, la clave de desencriptación es siempre la misma, y ya es de dominio público.

En mes pasado se detectó una versión de ransomware que pedía el doble, con el mismo pretexto del juego sobre la plataforma Windows.

Como vemos, y ya sabemos, a pequeña escala, la descarga pirata es un riesgo del copón. El incordio no es sólo económico (en BTCs), sino que tampoco sabemos si recuperaremos el contenido del disco eventualmente.

https://www.bleepingcomputer.com/news/security/ransomware-masquerades-as-mobile-version-of-cyberpunk-2077/

[Csmiami]

-----

Pero vamos a ver.... para windows incluso puede ser algo creible y viable; pero la gente es realmente tan.. ingenua (por decirlo suave) de creerse que un juego de más de 80GB de peso y con unos requisitos para tirarlo bastante elevados va a estar disponible para android??

Mira que no estoy a favor del malware, pero aveces, hay gente que realmente se va buscando que le roben por la vida.... Cuanta falta de pensamiento crítico, por dios.

[DdmrDdmr]

En el Reino Unido, hay compañías de seguros que ofrecen coberturas para pagar casos de ransomware que piden bitcoin para resolver la situación. No obstante, hay personas con cierta relevancia que están abogando que estas coberturas, y el pago de por sí de ransomware en bitcoins, sea prohibido.

El pretexto? Pues que se estaría financiando al crimen organizado, denotando una miopía de la gravedad de la situación para empresas que no tienen los planes de contingencia bien planificados y desarrollados, y para las cuales, un ataque de esta naturaleza puede suponer un golpe muy duro tanto en su operativo como es su reputación (máxime si se llegan a hacer públicos datos de clientes de la corporación).

Ver: https://www.criptonoticias.com/regulacion/reino-unido-podria-prohibir-aseguradoras-cubrir-pagos-bitcoin-ataques-ransomware/

[LUCKMCFLY]

Bueno ya se están empezando a descubrir algunos autores de los Ransomware, ahora han cesado este tipo de ataques a pesar del precio de Bitcoin:

EE.UU. acusa a tres hackers norcoreanos de ser autores de criptoataques y del ransomware WannaCry

Según el Departamento de Justicia de E.E.U.U, afirma que Korea del Norte dejó las armas para atacar desde los teclados, robando mediante las wallets y otras herramientas.

Son muy enfáticos...

"La amenaza cibernética de la RPDC ha hecho un seguimiento del dinero y ha dirigido sus miras de generación de ingresos hacia los aspectos más avanzados de las finanzas internacionales, incluso a través del robo de criptomonedas de los exchanges y otras instituciones financieras"

Fuente: https://es.cointelegraph.com/news/us-charges-three-north-korean-hackers-over-crypto-attacks-and-wannacry-ransomware

Este es un hilo muy importante, esperemos que no se sigan registrando más ataques y que sigan atrapando a estos hackers.

[DdmrDdmr]

<...>

La nota del departamento de justicia al respecto (
Ver https://www.justice.gov/opa/pr/assistant-attorney-general-john-c-demers-delivers-remarks-national-security-cyber) cita el nombre de los tres imputados, además de otra persona con nacionalidad dual de EEUU/Canadá, que se encargaba de blanquear las criptomonedas, con un equivalente de millones de dólares (no cuantificado).

Sería interesante conocer la trama de blanqueo con más detalle, dado que las sanciones sobre Corea del Norte no son fáciles de circunvalar (no me imagino que simplemente se conviertiesen las criptomonedas a USD en un Exchange, y las remitiese por transferencia a cuentas controladas por los destinatarios norcoreanos.

Lo malo de todo esto, más allá de la esencia agónica para las personas y corporaciones impactadas por el ransomware, es la asociación por n-ésima vez de las criptomonedas con el blanqueo de capitales. Por fortuna, hoy por hoy, este tipo de noticias se contrarresta con un chorro de noticias buenas procedentes de los actores inversores.

[DdmrDdmr]

Un presunto ataque informático con ransomware ha dejado al SEPE (Servicio Público de Empleo Estatal) sin servicio, tanto en sus oficinas como en su página web, dejando a miles de usuarios sin poder tramitar sus prestaciones de desempleo. Algunos empleados aseguran haber visto ficheros con el nombre Ryuk.

Según el director del SEPE, Gerardo Gutiérrez, no se ha pedido rescate aún en bitcoin (ni de ninguna otra forma), y asevera que los datos personales están a salvo, al verse afectado únicamente los archivos compartidos en Windows. Veremos el desarrollo en los próximos días …


Ver:
https://elpais.com/economia/2021-03-09/el-sistema-informatico-del-sepe-sufre-un-ciberataque.html
https://www.adslzone.net/noticias/seguridad/sepe-no-funciona-ataque-ransomware/

[DdmrDdmr]

119 GB de archivos confidenciales del Ayuntamiento de Castellón (España) circulando en abierto por la red oscura. Este es el resultado de un ataque ransomware efectuado este mes sobre el consistorio, el cual se negó a pagar el rescate (supuestamente en bitcoin).

El tema es que no sólo afectó a información interna del ayuntamiento, sino información que albergan en sus quehaceres: datos de víctimas de maltrato, atestados policiales, datos relativos a accidentados en accidentes de tráfico, etc.

Como vemos, toda entidad es potencial objetivo (colegio, ayuntamiento, hospital, empresa de todos los tamaños, etc.), amén de las personas individuales (quizás éstos últimos por otros malhechores de poca monta).

ver: https://www.elconfidencial.com/tecnologia/2021-04-17/varon-suicidarse-lejia-hackeo-ayuntamiento-espanol_3031408/

[DdmrDdmr]

Ayer vi imágenes de colas en las gasolineras de EEUU, y como estaba ocupado, no presté atención al motivo. Hoy he leído que el oleoducto Colonial Pipelines se ha visto afectado, prácticamente paralizado, por un ataque ransomware contra su red. La compañía está detrás del suministro de un tercio del combustible consumido en el país, de ahí la gravedad del asunto.

Para variar, el ransomware se ha logrado hacer eco en este caso, siendo el grupo ruso Darkside el que parece estar detrás del mismo. Y cuando hay ransomware, hay bitcoins demandados por medio. No he visto detalles de los montantes demandados, pero dada la importancia estratégica de las corporación, los bitcoins requeridos no serán pocos …

Ver: https://www.elconfidencial.com/tecnologia/2021-05-11/oleoducto-ransomware-eeuu-posible_3074784/

[womanderful]

Hoy he leído que el oleoducto Colonial Pipelines se ha visto afectado, prácticamente paralizado, por un ataque ransomware contra su red.

Ver: https://www.elconfidencial.com/tecnologia/2021-05-11/oleoducto-ransomware-eeuu-posible_3074784/

Me parece interesante señalar que en la noticia no hay reseñas a bitcoin ni a criptomonedas. Y en mi opinión tampoco debe haberlas. Deberían poner el foco en la deficiente seguridad informática de las empresas e instituciones. Medidas como PCI/DSS nos muestran que no es imposible alcanzar un grado de seguridad aceptable. Por supuesto que implementar medidas de seguridad es costoso, pero la alternativa es que tarde o temprano te hackeen, y en casos como este los curritos de a pie también sufrimos las consecuencias.

[DdmrDdmr]

Me parece interesante señalar que en la noticia no hay reseñas a bitcoin ni a criptomonedas. <...>

Sorprendentemente, en el caso tratado de Colonial Pipeline, ha transcendido que si accedieron a pagar el chantaje, y además la cantidad: 75 bitcoins (3,8M$ ahora mismo, pero 5M$ en cifras del artículo abajo referenciado).

No se suele ver este tipo de información publicada, y hasta el detalle de que la herramienta de desencriptación que proporcionaron los atacantes era una castaña de lenta, al punto que era más ágil recuperar desde backups (supongo que en parte).

Ver: https://www.bloomberg.com/news/articles/2021-05-13/colonial-pipeline-paid-hackers-nearly-5-million-in-ransom?srnd=premium

[DdmrDdmr]

Supongo que todos somos conscientes, pero los problemas de ransomware pueden llegarnos a todos, no solo a las corporaciones.

Hoy he leído como unos hackers crearon una página (falsa) de descargas de películas con el fin de, a la postre, distribuir BazaLoader; un entorno con capacidad de distribuir Ryuk y Conti para el ransomware, robar credenciales, hacer minería de criptonomedas, control remoto, etc.

El gancho era que, para darte de baja de la suscripción a la web de descargas, tenías que bajarte un Excel y seguir las instrucciones (con atención al usuario telefónica incluida). El Excel, con sus macros, es lógicamente el punto de arranque de la descarga de BazaLoader.

Lo de siempre, con otra cara …

Ver:
https://www.adslzone.net/noticias/seguridad/bravomovies-web-falsa-bazaloader/
https://getskout.com/cybersecurity-threat-advisory-0033-21-malicious-call-centers-spreading-bazarloader-malware/

[DdmrDdmr]

<...>Sorprendentemente, en el caso tratado de Colonial Pipeline, ha transcendido que si accedieron a pagar el chantaje, y además la cantidad: 75 bitcoins<...>

Aún más sorprendente es el hecho de que el FBI ha recuperado 63,7 BTCs del ransomware pagado. No han transcendido los detalles de cómo han logrado hacerse con los BTC, pero según figura en el artículo, parece que tenían controlada la dirección BTC, y lograron tener control de la misma.

Por ello, se especula que podría ser una dirección de un Exchange sobre el cual EEUU podría tener jurisdicción, lo cual parecería un acto de torpeza notorio por parte de los extorsionadores.

Ver: https://stockhead.com.au/cryptocurrency/crypto-prices-plunge-after-fbi-seizes-63-7-bitcoins-from-darkside-oil-attack/

[DdmrDdmr]

Puede que los Exchanges sean un honey pot para capturar estos ciberdelincuentes en el momento en el cual quieren convertir a fiat los ingresos derivados del ransomware. Así por lo menos le ha sucedido a miembros de Fancycat, los cuales se les atribuye un equivalente de 500 M$ ingresados en bitcoin por este concepto.

Binance, junto con la colaboración de TRM Labs, Crystal, y los cuerpos de Ucrania, Corea del Sur, Estados Unidos, España y Suiza, han logrado llevar a la detención de varios miembros de la organización (esencialmente en Ucrania), así como a la incautación de bienes y equipos informáticos.

La pregunta que planea es si lo incautado (bienes, posible fiat y cripto) servirá para resarcir en parte los pagadores de los rescates ransomware, o si técnicamente éstos no pueden ser resarcidos por el pago efectuado.

Ver: https://www.criptonoticias.com/seguridad-bitcoin/binance-colaboro-captura-ciberdelincuentes-lavaban-dinero-exchange/

[DdmrDdmr]

En esta ocasión, un ataque ransomware masivo parece haber afectado a más de 1000 compañías, siendo dichas compañías usuarias de VSA de Kaseya, un software para la administración remota de equipos y gestión de actualizaciones. El foco está en principio embedido en el propio software VSA.

No ha trascendido una lista extendida de afectados (ni la espero ver), pero si un caso sonado por su dimensión, obligando a cerrar a más de 800 supermercados de la cadena sueca Coops, al afectar el malware sus TPVs.

No hace falta verlo explicitado, pero uno intuye que lo solicitado será un rescate en bitcoin a cada una de los afectados. A ver si hay suerte y, siguiendo el rastro, logran detener a la postre a los que están detrás del ataque.


Ver: https://edition.cnn.com/2021/07/02/tech/ransomware-cybersecurity-attack-kaseya/index.html

Edit: Ya tenemos la cifra del rescate solicitado: unos 70M$ en BTC:
https://www.proactiveinvestors.co.uk/companies/news/954089/hackers-demand-us70mln-worth-of-bitcoin-in-attack-to-200-companies-954089.html

[zilogz80]

Joer, al final sí que va a ser verdad que habrá que tener en casa algo de dinero debajo del colchón. Como empiecen así a denegar el servicio con el consiguiente cierre de cadenas de tiendas, o cajeros, o lo que sea ya veréis la que se va a liar.
Me acuerdo del pequeño corralito de Grecia, antes de que dieran su brazo a torcer con la Unión Europea, cuando no podían sacar dinero de los cajeros, y los pobres pensionistas sobrevivieron como pudieron un par de meses. Mirad lo que ha pasado con el SEPE.
¡ Hay que preparase para lo que está por venir !

[DdmrDdmr]

Hemos visto ransomware afectando a todo tipo de negocio o entidad, y aunque algunas pueden ser más graves (militares, hospitales, telecos, energéticas por ejemplo) que otras por las consecuencias, hay casos que afectan a la vida mundana como la educación.

En Barcelona (Cerdanyola del Vallès para ser más preciso), una de sus universidades, la UAB (Universidad Autónoma de Barcelona) está ahora mismo lidiando con las consecuencias de uno de estos ataques. Esto afecta a los masters online, clases de tecnología, comunicación con los alumnos para poner y recibir las tareas del curso, acceso a la información de estudio creada para los alumnos, comunicación virtual profesor/alumno, WIFI en las instalaciones y demás. No es el fin del mundo, y se están montando estructuras de soporte paralelas, pero en su medida, es un incordio y entorpece el desarrollo de la actividad lectiva y formativa.

No ha trascendido nada de lo solicitado como rescate, ni si se atenderá en todo, lo que está claro es que no pedirán aprobados ni clases gratuitas. Más bien lo de siempre … bitcoin o alguna criptomoneda alternativa …

Ver: https://elpais.com/espana/catalunya/2021-10-14/la-universidad-autonoma-de-barcelona-lleva-tres-dias-sin-internet-por-un-ciberataque.html

Edit: Ya hay cifra -> 3M € en BTC ...

Además:

<...> Según publica el diario Ara, el ransomware PYSA ha afectado potencialmente a más de 650.000 carpetas y archivos, entre ellos currículos de docentes, evaluaciones, certificados académicos, listas de correos electrónicos, planos y órdenes de pago. <...>

https://www.eltriangle.eu/es/2021/10/15/los-ciberatacantes-de-la-uab-reclaman-3-millones-de-euros/

Edit: 09/11/2021:El ataque sigue afectando a la UAB, afectando a la operativa estidiantil de pleno.

[DdmrDdmr]

Ahora le ha tocado a MediaMarkt ser la nueva víctima de ransomware, siendo infectados por Hive, afectando seriamente a países como Alemania y Países Bajos, y en menor medida, pero con impacto en la operativa, en otros países como España.

La cantidad del rescate solicitado se cifra entre los 50M $ y los 240M $ según la fuente, habitualmente a pagar en bitcoin. Puede que sea un punto de partida de negociación, pero vamos, como para dejar al negocio tiritando …

Ver:
https://www.bleepingcomputer.com/news/security/mediamarkt-hit-by-hive-ransomware-initial-240-million-ransom/
https://notiulti.com/el-grupo-de-hackers-exige-50-millones-de-dolares-en-bitcoins-despues-del-ataque-a/

[DdmrDdmr]

Por anotar un contrapunto en este hilo, indicar que la Universidad de Maastricht, que fue víctima de ransomware, y habiendo optado por pagar en el 2019 200K € en bitcoin, ha logrado recuperar el capital tras la intervención policial.

De hecho, la policía ya logró dar con los fondos en el 2020, en posesión de lo que tildan como un blaqueador de capitales ucraniano, pero la burocracia hace que se precisen dos años más para retornar los fondos a la universidad.

Lo bueno: se lo han retornado en BTCs, con u contravalor actual de 500K € (y eso con el valor actual) …

Ver: https://pulsoslp.com.mx/mundo/universidad-holandesa-recupera-con-beneficios-un-rescate-que-pago-en-bitcoin/1508449

[Porfirii]

Pues les ha salido bien el cibersecuestro... y llegan a tardar un poco menos en devolvérselo y eso sí que habría sido una fiesta.

Hace tiempo que no oía noticias sobre ransomware. Supongo que irá por rachas, si interesa televisivamente hablando en el momento y si son grandes firmas las atacadas. Una buena noticia, para variar, en este tema.