En este artículo te presentamos un resumen de dos semanas sobre los recientes ataques e investigaciones de ransomware. Destacando en las noticias, el grupo BlackCat/ALPHV enfrentó una interrupción en su infraestructura durante casi cinco días. Según varias fuentes, esta interrupción podría estar relacionada con una operación policial, aunque BlackCat atribuye las interrupciones a problemas de hardware o alojamiento.
Se ha informado que algunos afiliados de BlackCat/ALPHV dudan de esta explicación y han empezado a contactar directamente a las víctimas por correo electrónico para negociar fuera de los sitios de Tor de la operación de ransomware. Esto plantea dudas sobre si están concluyendo sus actividades con las últimas víctimas antes de unirse a otra organización criminal o si consideran que la operación ALPHV está comprometida.
La operación LockBit parece estar capitalizando esta situación. Este grupo de ciberdelincuentes ha empezado a reclutar afiliados de ALPHV, considerando la situación como una oportunidad.
Además, se han reportado varios ataques de ransomware en las últimas dos semanas, incluyendo:
- Investigaciones sobre acusaciones de que BlackCat comprometió los sistemas de Tipalti y robó datos, aunque no hay confirmación de esto.
- Norton Healthcare anunció una violación de datos tras un ataque de ransomware BlackCat en mayo.
- Toyota Financial Servers reportó una violación de datos después de que Medusa filtrara información.
- Kraft Heinz está investigando acusaciones de un ataque del grupo de extorsión Snatch Team.
- HTC Global Services confirmó un ciberataque tras la filtración de datos por BlackCat.
- Austal USA, contratista de la Marina, confirmó un ciberataque después de que Hunters International filtrara datos.
- Sony está investigando afirmaciones de que Rhysida comprometió Insomniac Games.
Resumen Semanal
3 de diciembre de 2023
Se encontró una muestra del ransomware Qilin diseñada específicamente para atacar sistemas VMware ESXi. Esta variante demostró ser una de las más sofisticadas y personalizables dirigidas a sistemas Linux hasta la fecha.
Te podrá interesar leer: Ataque de Ransomware Qilin a Yanfeng: Comprendiendo el Impacto
4 de diciembre de 2023
La empresa Tipalti estaba investigando acusaciones de un ataque de ransomware perpetrado por la banda ALPHV, que habría comprometido su red y robado una cantidad significativa de datos, incluyendo información relacionada con Roblox y Twitch.
Además, se detectó una nueva variante del ransomware Phobos, la cual utilizaba la extensión de archivo .elpy y mostraba notas de rescate bajo los nombres info.txt e info.hta.
También se identificó una nueva variante de Xorist que utilizaba la extensión .xro y mostraba una nota de rescate denominada "CÓMO DESCIFRAR ARCHIVOS.txt".
Podría interesarte: Ataque Ransomware ALPHV/BlackCat contra Tipalti: Amenaza a Clientes
5 de diciembre de 2023
HTC Global Services, una empresa de consultoría empresarial y servicios de TI, confirmó haber sido víctima de un ciberataque, después de que la banda ALPHV comenzara a filtrar capturas de pantalla de datos robados.
Podría interesarte: HTC Global Services Confirma Ataque Cibernético
6 de diciembre de 2023
El ransomware Qilin ESXi había creado una familia de malware altamente configurable que aprovechaba las herramientas locales de ESXi para mejorar su capacidad de cifrar y extorsionar a sus víctimas.
Por otra parte, la empresa de construcción naval Austal USA, contratista del Departamento de Defensa y el Departamento de Seguridad Nacional de Estados Unidos, confirmó ser víctima de un ciberataque y estaba investigando el alcance del incidente.
Se identificaron una serie de nuevas variantes del ransomware STOP que utilizaban las extensiones .nbwr y .nbzi.
Además, se detectó una nueva variante del ransomware Phobos que utilizaba la extensión .GrafGrafel y mostraba notas de rescate bajo los nombres info.txt e info.hta.
Podría interesarte: Detección de Ataques de Ransomware con Wazuh
7 de diciembre de 2023
Un ciudadano ruso llamado Anatoly Legkodymov se declaró culpable de gestionar un intercambio de criptomonedas llamado Bitzlato, el cual había sido utilizado por bandas de ransomware y otros ciberdelincuentes para lavar grandes sumas de dinero, superando los 700 millones de dólares.
8 de diciembre de 2023
Surgió un rumor que sugería que la interrupción de los sitios web de la banda de ransomware ALPHV durante las últimas 30 horas podría estar relacionada con una operación policial.
Además, Norton Healthcare, un sistema de salud en Kentucky, reveló que fue víctima de un ataque de ransomware en mayo, lo que resultó en la exposición de información personal de pacientes, empleados y dependientes.
Se identificó una nueva variante del ransomware HiddenTear que utilizaba la extensión .funny y mostraba una nota de rescate llamada "readme.txt".
Te podrá interesar: Costo de Inacción en Ciberseguridad
11 de diciembre de 2023
Toyota Financial Services (TFS) advirtió a sus clientes sobre una violación de datos que expuso información personal y financiera confidencial como resultado de un ataque de ransomware.
Además, se detectaron nuevas variantes del ransomware STOP que utilizaban las extensiones .hhuy y .hhaz.
Te podrá interesar: Toyota y la Amenaza del Ransomware Medusa: Brecha de seguridad
12 de diciembre de 2023
El operador de ransomware Rhysida afirmó haber hackeado con éxito al desarrollador de videojuegos Insomniac Games y había publicado datos limitados como prueba de ello.
13 de diciembre de 2023
La operación de ransomware LockBit comenzó a reclutar afiliados y desarrolladores de BlackCat/ALPHV y NoEscape después de una serie de interrupciones y estafas de salida.
Además, las autoridades francesas arrestaron a un ciudadano ruso en París por su presunta participación en el lavado de pagos de rescate para la banda de ransomware Hive.
También se publicó un análisis técnico del ransomware Rhysida por parte de ShadowStackRE.
Mallox, un grupo que utilizaba ataques de ransomware que explotaban vulnerabilidades en MS-SQL, siguió afectando a empresas, y se proporcionó un análisis detallado de sus actividades recientes.
Te podrá interesar: Lockbit: Peligroso Tipo de Ransomware
14 de diciembre de 2023
La empresa Kraft Heinz investigaba acusaciones de piratería, aunque aseguraba que sus sistemas seguían funcionando normalmente y no había evidencia de violación de datos, a pesar de que un grupo de extorsión afirmaba lo contrario en un sitio de filtración de datos.
15 de diciembre de 2023
Un reciente compromiso de Digital Forensics & Incident Response (DFIR) con una agencia de aplicación de la ley reveló una colaboración entre las bandas de ransomware BianLian, White Rabbit y Mario en una campaña de extorsión dirigida a empresas de servicios financieros que cotizan en bolsa.
Conclusión
El panorama del ransomware en 2023 es un recordatorio crítico de la importancia de la ciberseguridad. Con ataques cada vez más sofisticados y dañinos, es esencial que individuos y organizaciones adopten medidas proactivas para protegerse. La educación, las prácticas de seguridad rigurosas y una respuesta informada son claves para mitigar el impacto de estos ataques devastadores.