Los ataques a hospitales continuaron esta semana, con operaciones de ransomware que interrumpieron la atención al paciente y obligaron a las organizaciones a responder a los ciberataques. Si bien muchos, como LockBit, afirman tener políticas implementadas para evitar el cifrado de hospitales, seguimos viendo afiliados que apuntan a la atención médica sin tener en cuenta la interrupción que están causando a los pacientes al intentar recibir atención. LockBit dice que los afiliados sólo pueden robar datos y no cifrar hospitales, pero ignoran intencionalmente el hecho de que atacar a una organización hará que apaguen el sistema de TI para evitar la propagación del ataque. Para los hospitales, esto significa que ya no tienen acceso a los historiales médicos, no pueden recetar recetas electrónicas, responder a los pacientes a través de portales en línea o, en algunos casos, acceder a informes de diagnóstico médico. Parece que escuchamos sobre nuevos ataques a hospitales cada semana, y esta semana nos enteramos de un ataque al Lurie Children’s Hospital en Chicago y un ataque al Saint Anthony Hospital en diciembre, este último reivindicado por LockBit. A las bandas de ransomware les gusta decir: “No es personal, es un negocio. Sólo nos preocupamos por su dinero”. Sin embargo, tener que posponer la cirugía cardíaca de su hijo seguramente se siente personal. Los contribuyentes y aquellos que proporcionaron nueva información e historias sobre ransomware esta semana incluyen: @Seifreed, @malwrhunterteam, @Ionut_Ilascu, @LawrenceAbrams, @BleepinComputer, @billtoulas, @demonslay335, @serghei, @fwosar, @CyberArk, @coveware, @pcrisk, @USGAO, @Jon__DiMaggio, @ThierryBreton, @Truesec, @Analyst1, @AhnLab_SecuInfo, @RakeshKrish12, @Netenrich, @jgreigj y @AJVicens. 27 de enero de 2024 Ciberfraude con sede en Ottawa condenado a 2 años Un hombre de Ottawa condenado por cargos relacionados con un ataque de ransomware que afectó a cientos de víctimas fue sentenciado a dos años de prisión el viernes. 29 de enero de 2024 Los pagos de ransomware caen a un mínimo histórico debido a que las víctimas se niegan a pagar El número de víctimas de ransomware que pagan demandas de rescate se redujo a un mínimo histórico del 29% en el último trimestre de 2023, según la firma de negociación de ransomware Coveware. El gigante energético Schneider Electric afectado por el ataque de ransomware Cactus El gigante de automatización y gestión de energía Schneider Electric sufrió un ataque de ransomware Cactus que provocó el robo de datos corporativos, según personas familiarizadas con el asunto. Akira Ransomware y explotación de la vulnerabilidad CVE-2020-3259 de Cisco Anyconnect En varias misiones recientes de respuesta a incidentes, el equipo CSIRT de Truesec realizó observaciones forenses que indican que es probable que la antigua vulnerabilidad CVE-2020-3259 sea explotada activamente por el grupo de ransomware Akira. Presentación de Alpha Ransomware: una inmersión profunda en sus operaciones Alpha ransomware, un grupo distinto que no debe confundirse con ALPHV ransomware, surgió recientemente con el lanzamiento de su sitio dedicado/de fuga de datos (DLS) en la Dark Web y una lista inicial de seis datos de las víctimas. Como historia en desarrollo, continuaré brindando actualizaciones. Nueva variante del ransomware Phobos PCrisk encontró una nueva variante del ransomware Phobos que agrega la extensión .Ebaka. Nueva variante de ransomware Chaos PCrisk encontró una nueva variante de ransomware Chaos que agrega la extensión .NOOSE y arroja una nota de rescate llamada OPEN_ME.txt. Nuevo ransomware Secles PCrisk encontró un nuevo ransomware que agrega la extensión .secles y suelta una nota de rescate llamada ReadMe.txt. 30 de enero de 2024 El descifrador de ransomware en línea ayuda a recuperar archivos parcialmente cifrados CyberArk ha creado una versión en línea de ‘White Phoenix’, un descifrador de ransomware de código abierto dirigido a operaciones que utilizan cifrado intermitente. Protección de infraestructura crítica: las agencias necesitan mejorar la supervisión de las prácticas de ransomware y evaluar el apoyo federal La mayoría de las agencias federales que lideran y gestionan el riesgo para cuatro sectores críticos (manufactura, energía, atención médica y salud pública, y sistemas de transporte) han evaluado o planean evaluar los riesgos asociados. con ransomware. Pero las agencias no han evaluado completamente el uso de prácticas líderes en ciberseguridad o si el apoyo federal ha mitigado los riesgos de manera efectiva en los sectores. Ransomware Diaries Volumen 4: Ransomed and Exposed – La historia de RansomedVC RansomedVC se destaca como una de las operaciones de ransomware menos convencionales que he investigado. Su liderazgo emplea estratégicamente propaganda, campañas de influencia y tácticas de desinformación para ganar fama y notoriedad dentro de la comunidad criminal. Si bien puedo tener mi evaluación de RansomedVC, no puedo negar la efectividad de sus tácticas. También molestó a muchas personas, incluidos otros delincuentes. El actor de amenazas Trigona Ransomware utiliza Mimic Ransomware El Centro de inteligencia de seguridad de AhnLab (ASEC) ha identificado recientemente una nueva actividad del actor de amenazas Trigona ransomware que instala Mimic ransomware. Al igual que en casos anteriores, el ataque detectado recientemente tiene como objetivo servidores MS-SQL y se destaca por explotar la utilidad Bulk Copy Program (BCP) en servidores MS-SQL durante el proceso de instalación de malware. Ransomware JUGANDO un juego roto El grupo de ransomware Play es uno de los sindicatos de ransomware más exitosos en la actualidad. Todo lo que se necesita es un vistazo rápido con un desensamblador para saber por qué este grupo se ha vuelto infame. Esto se debe a que realizar ingeniería inversa en el malware sería una tarea de Sísifo llena de técnicas antianálisis. Dicho esto, puede resultar sorprendente que el malware se bloquee con bastante frecuencia cuando se ejecuta. En esta publicación de blog, cubriremos algunas de las técnicas antianálisis utilizadas por Play y analizaremos el proceso que utiliza el malware para cifrar unidades de red y cómo eso puede provocar que el malware falle. Nuevo ransomware Silent Anonymous PCrisk encontró un nuevo ransomware llamado Silent Anonymous que agrega la extensión .SILENTATTACK y suelta una nota de rescate llamada Silent_Anon.txt. Nueva variante de ransomware Chaos PCrisk encontró una nueva variante de ransomware Chaos que agrega la extensión .slime. 31 de enero de 2024 Johnson Controls dice que el ataque de ransomware costó 27 millones de dólares y se robaron datos Johnson Controls International ha confirmado que un ataque de ransomware de septiembre de 2023 le costó a la empresa 27 millones de dólares en gastos y provocó una filtración de datos después de que los piratas informáticos robaran datos corporativos. La UE y los Estados Unidos mejoran la cooperación en materia de ciberseguridad. Junto con nuestros socios estadounidenses, estamos actuando con rapidez y ambición para contrarrestar la creciente amenaza de los ciberactores maliciosos en todos los frentes. En primer lugar, con el Plan de Acción Conjunto para Productos Cibernéticos Seguros, ahora trabajaremos juntos de manera concreta para fomentar un mercado transatlántico para productos digitales confiables y promover nuestros altos estándares de ciberseguridad a nivel mundial. Además, asumimos el firme compromiso de que ni las instituciones, órganos y agencias de la UE ni las autoridades gubernamentales nacionales de nuestros Estados miembros pagarán rescates a estos ciberdelincuentes. El Pentágono investiga el robo de archivos confidenciales por parte de un grupo de ransomware El grupo de ransomware ALPHV amenaza con filtrar datos obtenidos de una empresa de servicios de TI de Virginia que tiene contratos con el ejército estadounidense. Ciberataque de diciembre en un hospital comunitario de Chicago reivindicado por la banda LockBit Un ciberataque anunciado recientemente en un gran hospital comunitario en Chicago fue reivindicado por la banda de ransomware LockBit. Nueva variante del ransomware Phobos PCrisk encontró una nueva variante del ransomware Phobos que agrega la extensión .dx31. 2 de febrero de 2024 El administrador del servidor BTC-e acusado de blanquear pagos de rescate y criptomonedas robadas Aliaksandr Klimenka, ciudadano bielorruso y chipriota, ha sido acusado en los EE. UU. por su participación en una operación internacional de lavado de dinero de cibercrimen. La operación Synergia de Interpol derriba 1.300 servidores utilizados para delitos cibernéticos Una operación policial internacional denominada ‘Synergia’ ha derribado más de 1.300 servidores de comando y control utilizados en campañas de ransomware, phishing y malware. Nueva variante del ransomware Dharma PCrisk encontró una nueva variante del ransomware Phobos que agrega la extensión .Mr y suelta una nota de rescate llamada info-MIRROR.txt. ¡Eso es todo por esta semana! ¡Espero que todos tengan un buen fin de semana! URL de la publicación original: https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-february-2nd-2024-no-honor-among-thieves/

Source link