Grupo de extorsión de Donut ataca a las víctimas mediante ransomware

por Pablo Álvarez Corredera
Grupo de extorsión de Donut ataca a las víctimas mediante ransomware

Se ha confirmado que el grupo de extorsión Donut (D0nut) implementa ransomware en ataques de doble extorsión a las empresas atacadas.

Los primeros ataques informadas del grupo D0nut aparecen en Agosto de este año y se vinculan a un ataque contra la empresa griega de gas natural DESFA, el estudio de arquitectura del Reino Unido Sheppard Robson y la empresa multinacional de construcción Sando.

Curiosamente, los datos de Sando y DESFA se publicaron en varios sitios de operaciones de ransomware, reclamados los ataques de Sando por Hive ransomware y el ataque de DESFA por Ragnar Locker.

Malware, ¿Qué es el Ransomware?

Esta publicación cruzada de datos robados y afiliación nos lleva a creer que el actor de amenazas detrás de Donut Leaks es un afiliado de numerosas operaciones, que ahora intenta monetizar los datos en su propia operación.

El ransomware Donut

Esta semana se encontró una muestra de un cifrador para la operación Donut, también conocido como D0nut, en la que se muestra que el grupo está utilizando su propio ransomware personalizado para realizar ataques de doble extorsión.

El ransomware aún se está analizando, pero cuando se ejecuta, busca archivos que coincidan con las extensiones específicas para cifrarlas.

Ataque de ransomware detiene la impresión de algunos periódicos alemanes

En el cifrado de archivos, el ransomware evita los archivos y carpetas que que contengan las siguientes cadenas:

Edge
ntldr
Opera
bootsect.bak
Chrome
BOOTSTAT.DAT
boot.ini
AllUsers
Chromium
bootmgr
Windows
thumbs.db
ntuser.ini
ntuser.dat
desktop.ini
bootmgr.efi
autorun.inf

Cuando se encripta un archivo, el ransomware Donut agrega la extensión .d0nut a los archivos encriptados. Entonces, los archivos pasan a denominarse: prueba.jpg.d0nut.

La operación Donut Leaks tiene un toque teatral puesto que utiliza curiosos gráficos, un poco de humor e incluso ofrece un generador para un ejecutable que actúa como una puerta de entrada a su sitio de fuga de datos Tor.

RELACIONADOS:  El fabricante Alemán de Baterías Varta Detiene su Producción tras un Ciberataque

Este estilo se muestra especialmente en sus notas de rescate, donde utilizan diferentes gráficos ASCII, como un donut giratorio generado mediante código ASCII.

¿Cómo reducir el riesgo de ransomware?

Las notas de rescate están muy ofuscadas para evitar la posible detección, con todas las cadenas codificadas y JavaScript decodificando la nota de rescate en el navegador.

Estas notas de rescate incluyen diferentes formas de contactar a los actores de amenazas, incluso a través de TOX y un sitio de negociación Tor.

La operación de ransomware Donut también incluye un constructor en su sitio de fuga de datos que consiste en un script bash para crear una aplicación Electron de Windows y Linux con un cliente Tor incluido para acceder a sus sitios de fuga de datos.

Esta aplicación actualmente está rota ya que usaba URL HTTPS, actualmente no operativas.

En general, el grupo de extorsiones es uno a los que hay que estar atento, no solo por sus habilidades aparentes sino también por su gran capacidad para promocionarse.

Relacionado

5 Pasos para Mejorar la Seguridad en Microsoft Teams

En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!

RELACIONADOS:  ¿Cómo reducir el riesgo de ransomware?
Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware

Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!

Malware de Android roba datos financieros de 378 aplicaciones de bancos y billeteras digitales

Los creadores del malware móvil BlackRock han aparecido con un nuevo troyano bancario de Android denominado ERMAC con sus raíces en el malicioso malware Cerberus. "El nuevo troyano tiene campañas de distribución activas y apunta a 378 aplicaciones bancarias y de billeteras", según el CEO de ThreatFabric. Se cree que las primeras campañas que involucran a ERMAC comenzaron a finales de Agosto. Desde entonces, los ataques ¡SEGUIR LEYENDO!

ClamAV: El antivirus de código abierto para detectar troyanos, virus, malware, etc

ClamAV es un motor antivirus de código abierto para detectar troyanos, virus, malware y otras amenazas maliciosas. ClamAV es un código abierto (GPL) motor anti-virus utilizado en una variedad de situaciones, incluyendo análisis de correo electrónico, la exploración web, y la seguridad de punto final. ClamAV proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y ¡SEGUIR LEYENDO!

RELACIONADOS:  El Malware Android XLoader ahora puede Ejecutarse luego de su Instalación
Anuncios de Facebook Impulsa el Nuevo Malware de Robo de Contraseñas Ov3r_Stealer

Un nuevo malware para robar contraseñas llamado Ov3r_Stealer se está propagando a través de anuncios de trabajo falsos en Facebook, con el objetivo de robar credenciales de cuentas y criptomonedas. Los anuncios de trabajo falsos son para puestos gerenciales y llevan a los usuarios a una URL de Discord donde un script de PowerShell descarga la carga útil del malware desde un repositorio de GitHub. Los ¡SEGUIR LEYENDO!

Aplicaciones de Android Plagadas de Malware detectadas en Google Play

Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023. Descubrimiento del malware El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones ¡SEGUIR LEYENDO!

Aplicaciones de Android e iOS con 15 millones de instalaciones han extorsionado a infinidad de solicitantes de préstamos

Más de 280 aplicaciones de Android e iOS en Google Play y las tiendas de aplicaciones de Apple atraparon a los usuarios en esquemas de préstamos con términos engañosos y emplearon varios métodos para extorsionar. https://ciberninjas.com/malware-extension-chrome-venomsoftx/ Para alimentar los intentos de extorsión de la operación, las aplicaciones robaban cantidades excesivas de datos de teléfonos móviles que normalmente no se requieren para ofrecer préstamos. En un nuevo ¡SEGUIR LEYENDO!

Salir de la versión móvil