A principios de este mes, se produjo una interrupción de cinco días en las operaciones de BlackCat/ALPHV, un grupo de ransomware conocido por sus actividades en la dark web. Se rumorea que esta interrupción fue causada por una acción policial.
Recientemente, el FBI reveló que había intervenido en las actividades de BlackCat/ALPHV, un grupo que había recaudado más de 300 millones de dólares de más de 1,000 víctimas. Durante un período en el que estaban observando discretamente las actividades del grupo de ransomware, las autoridades lograron obtener acceso a las claves de descifrado y las claves privadas de la red Tor utilizadas por el grupo.
Te podrá interesar leer: FBI Desmantela la Operación Ransomware BlackCat
Las fuerzas del orden informaron que pudieron ayudar a descifrar los archivos de al menos 400 víctimas de forma gratuita utilizando las claves recuperadas. Además, utilizaron las claves privadas de Tor para tomar el control de los sitios web utilizados por el grupo para filtrar datos y llevar a cabo sus operaciones de negociación.
Sin embargo, debido a que tanto los actores de amenazas como el FBI poseen las mismas claves, ha habido una especie de enfrentamiento constante a medida que ambas partes compiten por el control de las URL de los sitios web.
Algunas personas han interpretado este constante cambio en la propiedad de las URL como una falta de éxito por parte de las autoridades. No obstante, la recuperación de las claves de descifrado y la posibilidad de acceder a datos desde los servidores comprometidos han afectado significativamente la reputación de BlackCat/ALPHV y han llevado a que algunos de sus afiliados se comuniquen directamente con las víctimas por correo electrónico debido a la falta de confianza en la seguridad del grupo. Se informa que algunos de estos afiliados han cambiado a operaciones de ransomware competidoras, como LockBit.
En un giro interesante, los operadores de LockBit y BlackCat han discutido la posibilidad de crear un "cártel" para unir fuerzas contra las fuerzas del orden.
Comunicado emitido por el grupo BlackCat acerca de la formación de un Cartel
Es importante mencionar que cárteles de ransomware anteriores, supuestamente creados por Maze, no lograron mantener su operatividad, ya que la policía ucraniana arrestó a miembros de las pandillas después de que cambiaron su nombre a Egregor.
Además de esta noticia, se ha informado sobre otros ataques de ransomware recientes, incluyendo el ataque de Akira a Nissan Australia, el incidente de ransomware que expuso los datos de 2.7 millones de personas en ESO Solutions, y un ciberataque de ransomware contra la Universidad de Buenos Aires (UBA). También se ha informado sobre un ataque de ransomware que afectó a VF Corp, propietario de marcas como Vans y North Face.
Resumen Semanal
18 de diciembre de 2023
- Cooper, el gigante hipotecario, sufre filtración de datos que afecta a 14,7 millones de personas: Cooper ha emitido notificaciones de violación de datos, informando que un reciente ciberataque ha expuesto la información de 14,7 millones de clientes que han tenido, o tienen actualmente, hipotecas con la empresa.
- 300 víctimas afectadas por el ransomware Play, incluyendo organizaciones críticas: El FBI ha anunciado que el grupo de ransomware Play ha comprometido aproximadamente a 300 organizaciones a nivel mundial desde junio de 2022 hasta octubre de 2023, incluyendo algunas entidades de infraestructura crítica.
- Ataque de ransomware afecta a VF Corp: Una importante empresa estadounidense de indumentaria y calzado que posee marcas como Supreme, Vans, Timberland y The North Face, ha revelado un incidente de seguridad que resultó en interrupciones operativas.
- Ciberataque ransomware paraliza a la Universidad de Buenos Aires (UBA): La Universidad de Buenos Aires (UBA) ha sido víctima de un ataque de ransomware, que cifra archivos y exige un rescate a cambio de su liberación. Desde el jueves, algunos servidores de la institución educativa han estado comprometidos, lo que ha impedido que profesores y estudiantes realicen tareas administrativas como calificaciones y registros para cursos de verano.
Te podrá interesar leer: Ransomware: Resumen Semanal - 15 Dic 2023
19 de diciembre de 2023
- El FBI interviene en la operación de ransomware BlackCat y desarrolla una herramienta de descifrado: El Departamento de Justicia ha anunciado que el FBI logró infiltrarse en los servidores de la operación ransomware ALPHV con éxito, lo que les permitió supervisar las actividades y obtener claves de descifrado.
- Revelación de cómo el FBI confiscó los servidores del ransomware BlackCat (ALPHV): Una orden de registro del FBI ha revelado el procedimiento utilizado por las autoridades para apoderarse de los sitios web operados por el grupo ransomware ALPHV/BlackCat, incluyendo las URL asociadas.
- El ransomware ALPHV recaudó 300 millones de dólares de más de 1.000 víctimas: El FBI ha informado que el grupo de ransomware ALPHV/BlackCat obtuvo más de 300 millones de dólares en pagos de rescate de más de 1.000 víctimas en todo el mundo hasta septiembre de 2023.
- Análisis detallado de Wazawaka y sus tácticas en el panorama de amenazas: Una investigación exhaustiva proporciona información detallada sobre los antecedentes, afiliaciones y tácticas del grupo Wazawaka en el contexto de las actividades de amenaza. Incluye datos sobre el equipo detrás de Wazawaka y sus relaciones con otros actores de amenazas.
Podría interesarte: Detección de Ataques de Ransomware con Wazuh
20 de diciembre de 2023
- Filtración de datos de proveedores de software sanitario afecta a 2,7 millones: ESO Solutions, una empresa que proporciona software para organizaciones de atención médica y departamentos de bomberos, ha anunciado que los datos de 2,7 millones de pacientes se vieron comprometidos debido a un ataque de ransomware.
- Advertencia sobre correos electrónicos falsos de día cero de F5 BIG-IP por parte de la Dirección Cibernética Nacional de Israel: La Dirección Cibernética Nacional de Israel ha emitido una advertencia sobre correos electrónicos de phishing que se hacen pasar por actualizaciones de seguridad de día cero de F5 BIG-IP y que implementan limpiadores de datos en sistemas Windows y Linux.
- Nueva variante del ransomware Phobos descubierta por PCrisk: Se ha identificado una nueva variante de ransomware Phobos que utiliza una extensión única y presenta notas de rescate llamadas info.txt e info.hta.
- Nuevo ransomware Tprc detectado por PCrisk: PCrisk ha detectado un nuevo ransomware que añade la extensión .tprc a los archivos y muestra una nota de rescate llamada !RESTORE!.txt.
Podrá interesarte: Evita el Pago de Ransomware: Riesgos del Rescate
21 de diciembre de 2023
Akira, el ransomware que sigue causando estragos: Según Sophos Después de nuestro informe inicial sobre el ransomware Akira, Sophos ha respondido a más de una docena de incidentes relacionados con Akira que han afectado a diversas industrias y regiones. Según sus datos, Akira ha atacado principalmente a organizaciones en Europa, América del Norte y Australia, en sectores como el gubernamental, manufacturero, tecnológico, educativo, de consultoría, farmacéutico y de telecomunicaciones.
Exploits del controlador CLFS y el uso por parte de operadores de ransomware: Se ha observado un aumento inusual en el uso de exploits del controlador CLFS en ataques de ransomware, lo que ha generado preocupaciones en la comunidad de seguridad.
22 de diciembre de 2023
- Ciberataque a Nissan Australia atribuido a la banda de ransomware Akira: El fabricante de automóviles japonés Nissan está investigando un ciberataque dirigido a sus sistemas en Australia y Nueva Zelanda, el cual podría haber permitido a los piratas informáticos acceder a información personal.
Te podrá interesar: Costo de Inacción en Ciberseguridad
Conslusión
Las noticias recopiladas en este resumen abarcan una amplia gama de incidentes de ciberseguridad que ocurrieron en un corto período de tiempo. Lo que resalta en todas estas historias es la creciente y perjudicial amenaza que representa el ciberdelito en la era digital. Estos eventos subrayan la importancia crítica de la ciberseguridad en la sociedad actual.
En este contexto, es fundamental que las organizaciones inviertan en medidas de ciberseguridad robustas, incluyendo la educación y concienciación de su personal, así como la implementación de tecnologías de prevención y detección avanzadas. La colaboración entre países y la cooperación público-privada también son esenciales para enfrentar de manera efectiva las amenazas cibernéticas.
En resumen, la ciberseguridad no es solo una preocupación tecnológica, sino un imperativo que afecta a la sociedad en su conjunto. Los incidentes mencionados enfatizan la necesidad de una vigilancia constante y de una acción proactiva para proteger nuestros datos, sistemas y activos críticos en un mundo digital cada vez más interconectado y vulnerable.