Isla informática

Todo lo que necesitas saber sobre tecnología

Etiqueta: malware ransomware

Acusan a australiano de estafa por conexión Wi-Fi falsa en vuelos nacionales

por

el julio 2, 2024

en Ciberseguridad

02 de julio de 2024Sala de prensaRobo de datos / Seguridad Wi-Fi Un hombre australiano ha sido acusado de operar un punto de acceso Wi-Fi falso durante un vuelo nacional con el objetivo de robar credenciales y datos de los usuarios. El hombre de 42 años, cuyo nombre no se dio a conocer, «supuestamente estableció puntos de acceso Wi-Fi gratuitos falsos, que imitaban redes legítimas, para capturar datos personales de víctimas desprevenidas que se conectaron a ellos por error», dijo la Policía Federal Australiana (AFP) en un comunicado de prensa la semana pasada. La agencia dijo que el sospechoso fue acusado en mayo de 2024 después de que iniciara una investigación un mes antes tras un informe de una aerolínea sobre una red Wi-Fi sospechosa identificada por sus empleados durante un vuelo nacional. Una revisión posterior de su equipaje el 19 de abril condujo a la incautación de un dispositivo de acceso inalámbrico portátil, una computadora portátil y un teléfono móvil. Fue arrestado el 8 de mayo después de que se ejecutara una orden de registro en su casa. El individuo habría organizado lo que se denomina un ataque de Wi-Fi gemelo malvado en varios lugares, incluidos vuelos nacionales y aeropuertos en Perth, Melbourne y Adelaida, para hacerse pasar por redes Wi-Fi legítimas. Los usuarios que intentaron conectarse a la red gratuita falsa fueron invitados a ingresar su dirección de correo electrónico o credenciales de redes sociales a través de una página web de portal cautivo. «Los detalles de correo electrónico y contraseña recopilados podrían usarse para acceder a más información personal, incluidas las comunicaciones en línea de la víctima, imágenes y videos almacenados o detalles bancarios», dijo la AFP. El acusado ha sido acusado de tres cargos de deterioro no autorizado de la comunicación electrónica y tres cargos de posesión o control de datos con la intención de cometer un delito grave. También ha sido acusado de un cargo de acceso no autorizado o modificación de datos restringidos, un cargo de obtención o tráfico deshonesto de información financiera personal y un cargo de posesión de información de identificación. Si es declarado culpable, se enfrenta a un máximo de 23 años de prisión. «Para conectarse a una red wifi gratuita, no debería tener que introducir ningún dato personal, como iniciar sesión a través de un correo electrónico o una cuenta de redes sociales», dijo a la AFP la inspectora de delitos cibernéticos del Comando Oeste, Andrea Coleman. «Si desea utilizar puntos de acceso wifi públicos, instale una red privada virtual (VPN) de confianza en sus dispositivos para cifrar y proteger sus datos cuando utilice Internet». ¿Le ha parecido interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El software espía CapraRAT disfrazado de aplicaciones populares amenaza a los usuarios de Android

por

el julio 1, 2024

en Ciberseguridad

01 de julio de 2024Sala de prensaSeguridad móvil/spyware El actor de amenazas conocido como Transparent Tribe ha seguido desatando aplicaciones de Android con malware como parte de una campaña de ingeniería social dirigida a personas de interés. «Estos APK continúan la tendencia del grupo de incorporar software espía en aplicaciones de navegación de videos seleccionadas, con una nueva expansión dirigida a jugadores móviles, entusiastas de las armas y fanáticos de TikTok», dijo el investigador de seguridad de SentinelOne, Alex Delamotte, en un nuevo informe compartido con The Hacker News. La campaña, denominada CapraTube, fue descrita por primera vez por la empresa de ciberseguridad en septiembre de 2023, y el equipo de piratas informáticos empleó aplicaciones de Android armadas que se hacían pasar por aplicaciones legítimas como YouTube para entregar un software espía llamado CapraRAT, una versión modificada de AndroRAT con capacidades para capturar una amplia gama de informacion delicada. La Tribu Transparente, que se sospecha es de origen paquistaní, ha aprovechado CapraRAT durante más de dos años en ataques contra el gobierno y el personal militar de la India. El grupo tiene un historial de recurrir al phishing y a los ataques de abrevadero para entregar una variedad de software espía para Windows y Android. «La actividad destacada en este informe muestra la continuación de esta técnica con actualizaciones de los pretextos de ingeniería social, así como esfuerzos para maximizar la compatibilidad del software espía con versiones anteriores del sistema operativo Android mientras se expande la superficie de ataque para incluir versiones modernas de Android». explicó Delamotte. La lista de nuevos archivos APK maliciosos identificados por SentinelOne es la siguiente: Crazy Game (com.maeps.crygms.tktols) Sexy Videos (com.nobra.crygms.tktols) TikToks (com.maeps.vdosa.tktols) Weapons (com. maeps.vdosa.tktols) CapraRAT utiliza WebView para iniciar una URL a YouTube o a un sitio de juegos móviles llamado CrazyGames[.]com, mientras que, en segundo plano, abusa de sus permisos para acceder a ubicaciones, mensajes SMS, contactos y registros de llamadas; hacer llamadas telefónicas; tomar capturas de pantalla; o grabar audio y vídeo. Un cambio notable en el malware es que permisos como READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS y ​​REQUEST_INSTALL_PACKAGES ya no se solicitan, lo que sugiere que los actores de amenazas pretenden utilizarlo como una herramienta de vigilancia y no como una puerta trasera. «Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable», dijo Delamotte. «La decisión de pasar a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinea con el objetivo sostenido del grupo de individuos en el gobierno indio o en el espacio militar, que probablemente no utilicen dispositivos que ejecuten versiones anteriores de Android, como Lollipop, que fue lanzado hace 8 años.» La divulgación se produce cuando Promon reveló un nuevo tipo de malware bancario para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los métodos de detección y hacer uso de la API de servicios de accesibilidad del sistema operativo de manera subrepticia. «Ciego de nieve […] realiza un ataque de reempaquetado normal, pero utiliza una técnica menos conocida basada en seccomp que es capaz de eludir muchos mecanismos anti-manipulación», dijo la compañía. «Curiosamente, FjordPhantom y Snowblind apuntan a aplicaciones del sudeste asiático y aprovechan nuevas y poderosas técnicas de ataque. Eso parece indicar que los autores de malware en esa región se han vuelto extremadamente sofisticados». «Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable. » Dijo Delamotte. «La decisión de pasar a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinee con el objetivo sostenido del grupo de personas en el gobierno indio o en el espacio militar, que es poco probable que utilicen dispositivos que ejecutan versiones anteriores de Android, como como Lollipop, que se lanzó hace 8 años». La divulgación se produce cuando Promon reveló un nuevo tipo de malware para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los métodos de detección y hacer uso de la API de servicios de accesibilidad del sistema operativo de forma subrepticia. manera. […] «FjordPhantom y Snowblind realizan un ataque de reempaquetado normal, pero utilizan una técnica menos conocida basada en seccomp que es capaz de eludir muchos mecanismos antimanipulación», afirmó la empresa. «Curiosamente, FjordPhantom y Snowblind apuntan a aplicaciones del sudeste asiático y utilizan nuevas y poderosas técnicas de ataque. Eso parece indicar que los autores de malware en esa región se han vuelto extremadamente sofisticados». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Google bloqueará los certificados Entrust en Chrome a partir de noviembre de 2024

por

el junio 29, 2024

en Ciberseguridad

29 de junio de 2024Sala de prensaCiberseguridad/Seguridad de sitios web Google ha anunciado que comenzará a bloquear sitios web que utilizan certificados de Entrust a partir del 1 de noviembre de 2024 en su navegador Chrome, citando fallas de cumplimiento y la incapacidad de la autoridad certificadora para abordar problemas de seguridad en de manera oportuna. «En los últimos años, los informes de incidentes divulgados públicamente resaltaron un patrón de comportamientos preocupantes por parte de Entrust que no cumplen con las expectativas anteriores y han erosionado la confianza en su competencia, confiabilidad e integridad como empresa de confianza pública. [certificate authority] propietario», dijo el equipo de seguridad de Chrome de Google. Con ese fin, el gigante tecnológico dijo que tiene la intención de ya no confiar en los certificados de autenticación del servidor TLS de Entrust a partir de las versiones 127 y superiores del navegador Chrome de forma predeterminada. Sin embargo, dijo que estas configuraciones se pueden anular Por parte de los usuarios de Chrome y los clientes empresariales si así lo desean, Google señaló además que las autoridades de certificación desempeñan un papel privilegiado y confiable al garantizar conexiones cifradas entre navegadores y sitios web, y que la falta de progreso de Entrust en lo que respecta a informes de incidentes divulgados públicamente y no realizados. Los compromisos de mejora plantean riesgos para el ecosistema de Internet. Se espera que la acción de bloqueo cubra las versiones del navegador para Windows, macOS, ChromeOS, Android y Linux. La excepción notable es Chrome para iOS y iPadOS, debido a las políticas de Apple que no lo permiten. Como resultado, los usuarios que navegan a un sitio web que ofrece un certificado emitido por Entrust o AffirmTrust serán recibidos con un mensaje intersticial que les advierte que su conexión no es segura ni privada. Se insta a los operadores de sitios web afectados a que recurran al propietario de una autoridad de certificación de confianza pública para minimizar las interrupciones antes del 31 de octubre de 2024. Según el sitio web de Entrust, sus soluciones son utilizadas por Microsoft, Mastercard, VISA y VMware, entre otros. «Si bien los operadores de sitios web podrían retrasar el impacto de la acción de bloqueo al optar por recopilar e instalar un nuevo certificado TLS emitido por Entrust antes de que comience la acción de bloqueo de Chrome el 1 de noviembre de 2024, los operadores de sitios web inevitablemente necesitarán recopilar e instalar un nuevo certificado TLS de uno de las muchas otras CA incluidas en Chrome Root Store», dijo Google. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Kimsuky usa la extensión TRANSLATEXT de Chrome para robar datos confidenciales

por

el junio 28, 2024

en Ciberseguridad

28 de junio de 2024Sala de prensaEspionaje cibernético / Ataque cibernético El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky ha sido vinculado al uso de una nueva extensión maliciosa de Google Chrome que está diseñada para robar información confidencial como parte de un esfuerzo continuo de recopilación de inteligencia. Zscaler ThreatLabz, que observó la actividad a principios de marzo de 2024, ha denominado a la extensión TRANSLATEXT, destacando su capacidad para recopilar direcciones de correo electrónico, nombres de usuario, contraseñas, cookies y capturas de pantalla del navegador. Se dice que la campaña dirigida ha estado dirigida contra el mundo académico de Corea del Sur, específicamente aquellos centrados en los asuntos políticos de Corea del Norte. Kimsuky es un conocido equipo de piratas informáticos de Corea del Norte que se sabe que está activo desde al menos 2012, orquestando espionaje cibernético y ataques con motivaciones financieras dirigidos a entidades surcoreanas. Un grupo hermano del grupo Lazarus y parte del Reconnaissance General Bureau (RGB), también se lo rastrea bajo los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima. En las últimas semanas, el grupo ha utilizado como arma una falla de seguridad conocida en Microsoft Office (CVE-2017-11882) para distribuir un keylogger y ha utilizado señuelos con temas de trabajo en ataques dirigidos a los sectores aeroespacial y de defensa con el objetivo de lanzar una herramienta de espionaje con funcionalidades de recopilación de datos y ejecución de carga útil secundaria. «La puerta trasera, que no parece haber sido documentada públicamente antes, permite al atacante realizar un reconocimiento básico y lanzar cargas útiles adicionales para tomar el control de la máquina o controlarla de forma remota», dijo la empresa de ciberseguridad CyberArmor. Le ha dado a la campaña el nombre de Niki. El modo exacto de acceso inicial asociado con la actividad recién descubierta actualmente no está claro, aunque se sabe que el grupo aprovecha los ataques de phishing y de ingeniería social para activar la cadena de infección. El punto de partida del ataque es un archivo ZIP que supuestamente trata sobre la historia militar de Corea y que contiene dos archivos: un documento de procesador de textos Hangul y un ejecutable. Al ejecutar el ejecutable, se recupera un script de PowerShell de un servidor controlado por el atacante, que, a su vez, exporta información sobre la víctima comprometida a un repositorio de GitHub y descarga código de PowerShell adicional mediante un archivo de acceso directo de Windows (LNK). Zscaler dijo que encontró la cuenta de GitHub, creada el 13 de febrero de 2024, que aloja brevemente la extensión TRANSLATEXT con el nombre «GoogleTranslate.crx», aunque actualmente se desconoce su método de entrega. «Estos archivos estaban presentes en el repositorio el 7 de marzo de 2024 y se eliminaron al día siguiente, lo que implica que Kimsuky tenía la intención de minimizar la exposición y usar el malware durante un corto período para atacar a individuos específicos», dijo el investigador de seguridad Seongsu Park. TRANSLATEXT, que se hace pasar por Google Translate, incorpora código JavaScript para eludir las medidas de seguridad de servicios como Google, Kakao y Naver; extraer direcciones de correo electrónico, credenciales y cookies; capturar capturas de pantalla del navegador; y exfiltrar datos robados. También está diseñado para obtener comandos de una URL de Blogger Blogspot con el fin de tomar capturas de pantalla de las pestañas recién abiertas y eliminar todas las cookies del navegador, entre otras cosas. «Uno de los principales objetivos del grupo Kimsuky es llevar a cabo vigilancia sobre el personal académico y gubernamental con el fin de reunir información valiosa», dijo Park. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

GitLab lanza un parche para una vulnerabilidad crítica en el pipeline de CI/CD y otras 13

por

el junio 28, 2024

en Ciberseguridad

28 de junio de 2024Sala de prensaSoftware Security / DevOps GitLab ha lanzado actualizaciones de seguridad para abordar 14 fallas de seguridad, incluida una vulnerabilidad crítica que podría explotarse para ejecutar canales de integración e implementación continuas (CI/CD) como cualquier usuario. Las debilidades, que afectan a GitLab Community Edition (CE) y Enterprise Edition (EE), se solucionaron en las versiones 17.1.1, 17.0.3 y 16.11.5. La más grave de las vulnerabilidades es CVE-2024-5655 (puntuación CVSS: 9,6), que podría permitir a un actor malintencionado activar una canalización como otro usuario en determinadas circunstancias. Afecta a las siguientes versiones de CE y EE: 17.1 anterior a 17.1.1, 17.0 anterior a 17.0.3 y 15.8 anterior a 16.11.5. GitLab dijo que la solución introduce dos cambios importantes como resultado de los cuales la autenticación GraphQL usando CI_JOB_TOKEN está deshabilitada por default y las canalizaciones ya no se ejecutarán automáticamente cuando se redireccione una solicitud de fusión después de fusionar su rama de destino anterior. Algunas de las otras fallas importantes corregidas como parte de la última versión se enumeran a continuación: CVE-2024-4901 (puntaje CVSS: 8.7) – Una vulnerabilidad XSS almacenada podría importarse desde un proyecto con notas de confirmación maliciosas CVE-2024-4994 (CVSS puntuación: 8.1) – Un ataque CSRF a la API GraphQL de GitLab que conduce a la ejecución de mutaciones arbitrarias de GraphQL CVE-2024-6323 (puntuación CVSS: 7.5) – Una falla de autorización en la función de búsqueda global que permite la fuga de información confidencial de un sitio privado repositorio dentro de un proyecto público CVE-2024-2177 (puntuación CVSS: 6,8): una vulnerabilidad de falsificación de ventanas cruzadas que permite a un atacante abusar del flujo de autenticación OAuth a través de una carga útil diseñada. Si bien no hay evidencia de explotación activa de las fallas, los usuarios Se recomienda aplicar los parches para mitigar posibles amenazas. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

TeamViewer detecta una violación de seguridad en el entorno de TI corporativo

por

el junio 28, 2024

en Ciberseguridad

28 de junio de 2024Sala de prensaViolación de datos/Seguridad empresarial TeamViewer reveló el jueves que detectó una «irregularidad» en su entorno de TI corporativo interno el 26 de junio de 2024. «Inmediatamente activamos nuestro equipo y procedimientos de respuesta, iniciamos investigaciones junto con un equipo de expertos en seguridad cibernética de renombre mundial e implementaron las medidas correctivas necesarias», dijo la compañía en un comunicado. Además, señaló que su entorno de TI corporativo está completamente aislado del entorno del producto y que no hay evidencia que indique que los datos de los clientes se hayan visto afectados como resultado del incidente. No reveló ningún detalle sobre quién pudo haber estado detrás de la intrusión y cómo pudieron lograrla, pero dijo que se está llevando a cabo una investigación y que proporcionaría actualizaciones de estado a medida que haya nueva información disponible. TeamViewer, con sede en Alemania, es el fabricante de software de administración y monitoreo remoto (RMM) que permite a los proveedores de servicios administrados (MSP) y departamentos de TI administrar servidores, estaciones de trabajo, dispositivos de red y puntos finales. Lo utilizan más de 600.000 clientes. Curiosamente, el Centro de Análisis e Intercambio de Información de Salud de EE. UU. (Health-ISAC) ha emitido un boletín sobre la explotación activa de TeamViewer por parte de los actores de amenazas, según la Asociación Estadounidense de Hospitales (AHA). «Se ha observado que los actores de amenazas aprovechan herramientas de acceso remoto», supuestamente dijo la organización sin fines de lucro. «Se ha observado que Teamviewer está siendo explotado por actores de amenazas asociados con APT29». Actualmente no está claro en esta etapa si esto significa que los atacantes están abusando de las deficiencias de TeamViewer para violar las redes de los clientes, utilizando prácticas de seguridad deficientes para infiltrarse en los objetivos e implementar el software, o si han llevado a cabo un ataque a los propios sistemas de TeamViewer. APT29, también llamado BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard y The Dukes, es un actor de amenazas patrocinado por el estado y afiliado al Servicio de Inteligencia Exterior de Rusia (SVR). Recientemente, se lo vinculó con las infracciones de Microsoft y Hewlett Packard Enterprise (HPE). Desde entonces, Microsoft ha revelado que APT29 también accedió a las bandejas de entrada de correo electrónico de algunos clientes luego del hack que salió a la luz a principios de este año, según informes de Bloomberg y Reuters. «Esta semana continuaremos con las notificaciones a los clientes que mantuvieron correspondencia con cuentas de correo electrónico corporativas de Microsoft que fueron exfiltradas por el actor de amenazas Midnight Blizzard», dijo el gigante tecnológico a la agencia de noticias. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Nacional ruso acusado de ciberataques a Ucrania antes de la invasión de 2022

por

el junio 27, 2024

en Ciberseguridad

27 de junio de 2024Sala de prensaCibercrimen/Guerra cibernética Un ciudadano ruso de 22 años ha sido acusado en Estados Unidos por su presunto papel en la organización de ciberataques destructivos contra Ucrania y sus aliados en los días previos a la invasión militar en toda regla de Rusia. de Ucrania a principios de 2022. Se considera que Amin Timovich Stigal, el acusado en cuestión, está afiliado a la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU). Sigue prófugo. Si es declarado culpable, enfrenta una pena máxima de cinco años de prisión. Simultáneamente con la acción, el programa de Recompensas por la Justicia del Departamento de Estado de EE.UU. ofrece una recompensa de hasta 10 millones de dólares por información relativa a su paradero o los ataques cibernéticos maliciosos con los que está asociado. «El acusado conspiró con la inteligencia militar rusa en vísperas de la injusta y no provocada invasión rusa de Ucrania para lanzar ataques cibernéticos contra el gobierno ucraniano y luego contra sus aliados, incluido Estados Unidos», dijo el fiscal general Merrick B. Garland en un comunicado. Los ataques implicaron el uso de un malware de limpieza con nombre en código WhisperGate (también conocido como PAYWIPE) que se utilizó en intrusiones dirigidas a entidades gubernamentales, sin fines de lucro y de tecnología de la información en Ucrania. Los ataques se registraron por primera vez a mediados de enero de 2022. «El malware está disfrazado de ransomware pero, si el atacante lo activa, dejaría el sistema informático infectado inoperable», dijo Microsoft en ese momento. El gigante tecnológico está rastreando el grupo bajo su apodo de temática meteorológica Cadet Blizzard. Según documentos judiciales, se dice que Stigal et al utilizaron los servicios de una empresa anónima con sede en EE. UU. para distribuir WhisperGate y extraer datos confidenciales, incluidos los registros médicos de los pacientes. Además, desfiguraron los sitios web y pusieron a la venta la información robada en foros sobre delitos cibernéticos en un aparente esfuerzo por sembrar preocupación entre la población ucraniana en general con respecto a la seguridad de los sistemas y datos gubernamentales. «Desde el 5 de agosto de 2021 hasta el 3 de febrero de 2022, los conspiradores aprovecharon la misma infraestructura informática que utilizaron en los ataques relacionados con Ucrania para investigar las computadoras pertenecientes a una agencia del gobierno federal en Maryland de la misma manera que habían investigado inicialmente a Ucrania. Redes gubernamentales», dijo el Departamento de Justicia (DoJ). Hombre de Florida condenado por robos violentos en viviendas para robar criptomonedas El acontecimiento se produce un día después de que el Departamento de Justicia anunciara la condena de Remy St Felix, un hombre de Florida de 24 años, por irrumpir en las casas de las personas, secuestrarlas y agredirlas violentamente, y robar criptomoneda. Fue arrestado en julio de 2023. «Las víctimas de los allanamientos de viviendas de San Félix fueron secuestradas en sus propios hogares y se les dijo que accedieran y vaciaran sus cuentas de criptomonedas», dijo la agencia, y agregó que «San Félix y sus cómplices obtuvieron acceso no autorizado a sus objetivos». ‘cuentas de correo electrónico y realizó vigilancia física antes de intentar los robos con allanamiento de morada». En un caso destacado por el Departamento de Justicia, St Felix y un cómplice agredieron, ataron y retuvieron a una víctima y a su cónyuge a punta de pistola, mientras que los demás transfirieron más de $150,000 en criptomonedas desde la cuenta Coinbase de la víctima utilizando el escritorio remoto AnyDesk. software. El brutal incidente tuvo lugar en Carolina del Norte en abril de 2023. Los activos digitales robados luego se lavaron a través de servicios como Monero y plataformas financieras descentralizadas que no siguieron los controles de conocimiento de su cliente (KYC) para encubrir el rastro, y los acusados ​​hicieron uso de aplicaciones de mensajería cifrada para tramar sus esquemas. St Felix, quien fue declarado culpable de nueve cargos relacionados con conspiración, secuestro, robo según la Ley Hobbs, fraude electrónico y blandir un arma de fuego, enfrenta una pena mínima de cárcel de siete años y una pena máxima de cadena perpetua. Su sentencia debe ser el 11 de septiembre de 2024. ¿Le pareció interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Hackers chinos y norcoreanos atacan la infraestructura global con ransomware

por

el junio 26, 2024

en Ciberseguridad

26 de junio de 2024Sala de prensaCyber ​​Attack/Malware Los actores de amenazas con presuntos vínculos con China y Corea del Norte han sido vinculados a ataques de ransomware y cifrado de datos dirigidos a sectores gubernamentales y de infraestructura crítica en todo el mundo entre 2021 y 2023. Si bien se ha identificado un grupo de actividades, Asociado con ChamelGang (también conocido como CamoFei), el segundo grupo se superpone con actividad previamente atribuida a grupos patrocinados por el estado de China y Corea del Norte, dijeron las firmas de ciberseguridad SentinelOne y Recorded Future en un informe conjunto compartido con The Hacker News. Esto incluye los ataques de ChamelGang dirigidos al All India Institute of Medical Sciences (AIIMS) y a la Presidencia de Brasil en 2022 utilizando el ransomware CatB, así como a una entidad gubernamental en el este de Asia y una organización de aviación en el subcontinente indio. «Los actores de amenazas en el ecosistema de ciberespionaje están participando en una tendencia cada vez más inquietante de utilizar ransomware como etapa final de sus operaciones con el fin de obtener ganancias financieras, perturbaciones, distracciones, atribuciones erróneas o eliminación de pruebas», afirman los investigadores de seguridad Aleksandar Milenkoski y Julian. -Dijo Ferdinand Vögele. Los ataques de ransomware en este contexto no solo sirven como salida para el sabotaje, sino que también permiten que los actores de amenazas oculten sus huellas destruyendo artefactos que de otro modo podrían alertar a los defensores de su presencia. Se considera que ChamelGang, documentado por primera vez por Positive Technologies en 2021, es un grupo nexo con China que opera con motivaciones tan variadas como la recopilación de inteligencia, el robo de datos, las ganancias financieras, los ataques de denegación de servicio (DoS) y las operaciones de información, según a la empresa taiwanesa de ciberseguridad TeamT5. Se sabe que posee una amplia gama de herramientas en su arsenal, incluidas BeaconLoader, Cobalt Strike, puertas traseras como AukDoor y DoorMe, y una cepa de ransomware conocida como CatB, que ha sido identificada como utilizada en ataques dirigidos a Brasil e India basándose en puntos en común en el nota de rescate, el formato de la dirección de correo electrónico de contacto, la dirección de la billetera de criptomonedas y la extensión del nombre de los archivos cifrados. Los ataques observados en 2023 también aprovecharon una versión actualizada de BeaconLoader para entregar Cobalt Strike para actividades de reconocimiento y posteriores a la explotación, como colocar herramientas adicionales y filtrar el archivo de base de datos NTDS.dit. Además, vale la pena señalar que el malware personalizado utilizado por ChamelGang, como DoorMe y MGDrive (cuya variante de macOS se llama Gimmick), también se ha vinculado a otros grupos de amenazas chinos como REF2924 y Storm Cloud, aludiendo una vez más a la posibilidad de un «Intendente digital que suministra malware a distintos grupos operativos». El otro conjunto de intrusiones implica el uso de Jetico BestCrypt y Microsoft BitLocker en ciberataques que afectan a varios sectores verticales de la industria en Norteamérica, Sudamérica y Europa. Se estima que hasta 37 organizaciones, predominantemente del sector manufacturero estadounidense, han sido atacadas. Las tácticas observadas en el grupo, según las dos empresas de ciberseguridad, son consistentes con las atribuidas a un equipo de hackers chino llamado APT41 y a un actor norcoreano conocido como Andariel, debido a la presencia de herramientas como el shell web China Chopper y una puerta trasera conocida como DTrack. . «Las operaciones de ciberespionaje disfrazadas de actividades de ransomware brindan una oportunidad para que los países adversarios afirmen una negación plausible al atribuir las acciones a actores cibercriminales independientes en lugar de entidades patrocinadas por el estado», dijeron los investigadores. «El uso de ransomware por parte de grupos de amenazas de ciberespionaje desdibuja las líneas entre el cibercrimen y el ciberespionaje, proporcionando a los adversarios ventajas tanto desde perspectivas estratégicas como operativas». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Funciona con WordPress & Tema de Anders Norén