in

The Week Inside Ransomware – 17 de septiembre de 2021


Clave de descifrado

Ha sido una semana interesante con los descifradores lanzados, las bandas de ransomware continúan incitando a los negociadores y se espera que el gobierno de los EE. UU. Sancione los intercambios de cifrado la próxima semana.

La noticia más importante de esta semana es que poco después de que REvil regresara de su ausencia de dos meses, Bitdefender lanzó un descifrador maestro que permite a las víctimas cifradas por REvil antes del 13 de julio restaurar sus archivos de forma gratuita.

Tiempo El descifrado tiene un par de errores que aún deben resolverse y dan lugar a datos dañados en ciertas situaciones, nuestras pruebas de descifrado muestran que funciona con muestras de REvil ya en mayo de 2019.

Se espera que el gobierno de los EE. UU. Interrumpa los ataques de ransomware al sancionar los intercambios de cifrado, las billeteras y los comerciantes que ayudan a los ciberdelincuentes.

Por último, las bandas de ransomware utilizan ataques de phishing con documentos de Word maliciosos que aprovechan la vulnerabilidad de Windows MSHTML registrada como CVE-2021-40444. Cuando se abrieron, los documentos maliciosos instalaron Cobalt Strike para dar acceso a la red a los atacantes.

Finalmente, en publicaciones de DoppelPaymer y Grief, las bandas de ransomware continúan criticando a los negociadores que se cree que están dirigidos por los mismos actores de amenazas.

Los colaboradores y aquellos que contribuyeron con nueva información e historias sobre ransomware esta semana incluyen: @ demonios335, @Seifreed, @DanielGallagher, @malwrhunteequipo, @CuatroOctetos, @malwareforme, @jorntvdw, @fwosar, @VK_Intel, @serghei, @PolarToffee, @Dormircomputadora, @LawrenceAbrams, @struppigel, @Ionut_Ilascu, @RiskIQ, @sixdub, @Bitdefender, @zackwhittaker, @AdvIntel, @siri_urz, @martinmatishak, @pcrisk, @TheDFIRReport, y @PogoWasRight.

11 de septiembre de 2021

El ransomware REvil está de vuelta en modo de ataque completo y está perdiendo datos

La banda de ransomware REvil ha regresado por completo y está atacando a nuevas víctimas nuevamente, publicando archivos robados en un sitio de filtración de datos.

12 de septiembre de 2021

Missouri Delta Medical Center guarda silencio sobre el volcado de datos de pacientes, alegando ataque de ransomware

Y como si ya no hubieran luchado lo suficiente, parece que el Centro Médico Delta de Missouri (MDMC) también está lidiando con un ataque de ransomware de los actores de amenazas de Hive. Sin embargo, hasta ahora MDMC ha guardado silencio sobre el presunto ataque y no ha respondido a las solicitudes que les solicitan que confirmen o nieguen la acusación.

13 de septiembre de 2021

BlackMatter ransomware golpea al gigante de dispositivos médicos Olympus

Olympus, líder en tecnología médica, está investigando un «posible incidente de ciberseguridad» que afectó a algunos de sus sistemas de TI en EMEA (Europa, Oriente Medio, África) la semana pasada.

BazarLoader a Conti Ransomware en 32 horas

En julio, fuimos testigos de una campaña de BazarLoader que utilizó Cobalt Strike y terminó con el cifrado de todo el dominio con el ransomware Conti.

Nueva variante STOP ransomware

PCrisk encontró una nueva variante STOP ransomware que agrega este .wiot Renovación.

Nuevo ransomware JamesBond

PCrisk encontró el nuevo ransomware JamesBond que tiene esto adjunto .jamesbond2021[@]tutanotacom_jamesbond Extensión y deja una nota de rescate llamada read_it.txt.

Nuevo ransomware Dharma

PCrisk ha encontrado una nueva variante de Dharma que agrega que .yUixN Renovación.

14 de septiembre de 2021

«No hay indicios» Rusia tomó medidas enérgicas contra las bandas de ransomware, dijo el funcionario del FBI.

El número 2 del FBI dijo el martes que la agencia no vio evidencia de que el gobierno ruso haya tomado medidas contra las bandas de ransomware que operan en su territorio.

Nueva variante del ransomware Atom Slio

S! Ri encontró una nueva variante de ransomware llamada Atom Slio con este adjunto .ATOMSILO Extensión a archivos encriptados.

Silo atómico

15 de septiembre de 2021

Pandilla de ransomware amenaza con eliminar la clave de descifrado si se contrata a un negociador

La banda de ransomware Grief amenaza con borrar los datos de la víctima si contrata a un negociador, lo que imposibilita la recuperación de archivos cifrados.

«Russian Hacker» confirma la resurrección del grupo ruso más famoso

Un «hacker ruso» que trabajaba con el conocido grupo REvil confirmó a Lente.ru que los ciberdelincuentes están reaccionando después de una pausa de dos meses. Citó razones políticas como la principal razón de su retirada a las sombras. Esto refuta las afirmaciones de los propios miembros de REvil que explicaron las simples precauciones a corto plazo que se tomaron tras la desaparición de uno de los miembros de la comunidad.

16.09.2021

El descifrador maestro de ransomware gratuito REvil lanzado para víctimas pasadas

Se ha lanzado un descifrador maestro gratuito para la operación de ransomware REvil que permitirá a todas las víctimas cifradas antes de la desaparición de la pandilla recuperar sus archivos de forma gratuita.

Microsoft: el error de Windows MSHTML ahora está siendo explotado por bandas de ransomware

Microsoft dice que varios actores de amenazas, incluidos los socios de ransomware, están apuntando a la vulnerabilidad de ejecución remota de código MSHTML de Windows recientemente parcheada.

17 de septiembre de 2021

EE. UU. Sanciona los intercambios de cifrado y las billeteras utilizadas por ransomware

Se espera que el gobierno de Biden imponga sanciones a los intercambios de cifrado, billeteras y comerciantes utilizados por las bandas de ransomware para convertir los pagos de rescate en dinero fiduciario.

¡Eso es todo por esta semana! ¡Espero que todos tengan un buen fin de semana!



What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Una herramienta para generar múltiples tipos de archivos de robo de hash NTLMv2

Windows 11 ya no es compatible con las VM de Oracle VirtualBox