La banda LockBit está relanzando su operación de ransomware en una nueva infraestructura menos de una semana después de que las fuerzas del orden piratearan sus servidores y amenaza con centrar más ataques en el sector gubernamental.
En un mensaje debajo de una filtración simulada del FBI, específicamente para llamar la atención, la pandilla publicó un mensaje extenso sobre su negligencia al permitir la violación y los planes para la operación en el futuro.
LockBit Ransomware continúa los Ataques
El 19 de febrero, las autoridades derribaron la infraestructura de LockBit, que incluía 34 servidores que alojaban el sitio web de filtración de datos y sus espejos, datos robados de las víctimas, direcciones de criptomonedas, claves de descifrado y el panel de afiliados.
Cinco días después, LockBit regresa y brinda detalles sobre la infracción y cómo administrarán el negocio para hacer que su infraestructura sea más difícil de piratear.
Inmediatamente después del derribo, la pandilla confirmó la infracción diciendo que solo perdieron los servidores que ejecutaban PHP y que los sistemas de respaldo sin PHP estaban intactos.
El sábado, LockBit anunció que reanudaría el negocio de ransomware y publicó un comunicado de control de daños admitiendo que “negligencia personal e irresponsabilidad” llevaron a las fuerzas del orden a interrumpir su actividad en la Operación Cronos.
La pandilla mantuvo la marca y trasladó su sitio de filtración de datos a una nueva dirección .onion que enumera cinco víctimas con temporizadores de cuenta regresiva para publicar información robada.
Algunas de las organizaciones en la página de “datos filtrados” de LockBit parecen ser víctimas de ataques previamente conocidos.
Servidor PHP Obsoleto
LockBit dice que las fuerzas del orden, a las que se refieren colectivamente como el FBI, violaron dos servidores principales “porque durante 5 años nadando en dinero me volví muy vago”.
“Debido a mi negligencia e irresponsabilidad personal, me relajé y no actualicé PHP a tiempo”. El actor de amenazas dice que el servidor de paneles de chat y administración de la víctima y el servidor del blog ejecutaban PHP 8.1.2 y probablemente fueron pirateados utilizando una vulnerabilidad crítica rastreada como CVE-2023-3824.
LockBit dice que actualizaron el servidor PHP y anunciaron que recompensarían a cualquiera que encontrara una vulnerabilidad en la última versión.
Especulando sobre el motivo por el que “el FBI” hackeó su infraestructura, el ciberdelincuente dice que fue por el ataque de ransomware al condado de Fulton en enero, que planteaba el riesgo de filtrar información con “muchas cosas interesantes y los casos judiciales de Donald Trump que podrían afectar las próximas elecciones estadounidenses”.
Esto llevó a LockBit a creer que al atacar “al sector .gov con más frecuencia” obligarán al “FBI” a demostrar si tiene la capacidad de atacar a la pandilla.
El actor de amenazas dice que las fuerzas del orden “obtuvieron una base de datos, fuentes de paneles web, resguardos de casilleros que no son fuentes como afirman y una pequeña porción de descifradores desprotegidos”.
Paneles de Afiliados Descentralizados
Durante la Operación Cronos, las autoridades recolectaron más de 1.000 claves de descifrado. LockBit afirma que la policía obtuvo las claves de “descifradores desprotegidos” y que en el servidor había casi 20.000 descifradores, aproximadamente la mitad de los aproximadamente 40.000 generados durante toda la vida de la operación.
El actor de amenazas define los “descifradores desprotegidos” como compilaciones de malware de cifrado de archivos que no tenían habilitada la función de “protección máxima de descifrado”, utilizada normalmente por afiliados de bajo nivel que cobran rescates más pequeños de sólo 2.000 dólares.
LockBit planea actualizar la seguridad de su infraestructura y pasar a liberar manualmente descifradores y descifrados de archivos de prueba, así como alojar el panel de afiliados en múltiples servidores y brindar a sus socios acceso a diferentes copias según el nivel de confianza.
El largo mensaje de LockBit parece un control de daños y un intento de restaurar la credibilidad de una reputación manchada.
La pandilla recibió un duro golpe e incluso si logró restaurar los servidores, los afiliados tienen buenas razones para desconfiar.
Relacionado
15.000 Sitios WordPress pirateados por campaña masiva de envenenamiento SEO Piratas informáticos están llevando a cabo una campaña masiva de optimización de motores de búsqueda (SEO) de sombrero negro, comprometiendo casi a 15.000 sitios web para redirigir a los visitantes a foros de discusión de preguntas y respuestas falsos. Los ataques fueron detectados por primera vez por Sucuri, quien dice que cada sitio comprometido contiene aproximadamente 20.000 archivos utilizados como parte de la campaña de spam ¡SEGUIR LEYENDO!
30.000 Organizaciones hackeadas por un ataque a través de Microsoft Exchange Server En los últimos días, al menos 30.000 organizaciones en los Estados Unidos, incluida una cantidad significativa de pequeñas empresas, pueblos, ciudades y gobiernos locales; han sido pirateadas por una unidad de ciberespionaje china inusualmente agresiva que se enfoca en robar correos electrónicos de organizaciones. El grupo de espionaje está explotando cuatro fallas recientemente descubiertas en el software de correo electrónico de Microsoft Exchange Server y ha ¡SEGUIR LEYENDO!
45K de Servidores Jenkins Expuestos a Ataques de Ejecución Remota de código (RCE) mediante Exploits En hallazgos recientes, los investigadores de seguridad han descubierto aproximadamente 45,000 instancias de Jenkins expuestas en línea, susceptibles a CVE-2024-23897. Esta vulnerabilidad crítica de ejecución remota de código (RCE) ha generado preocupaciones debido a la existencia de múltiples exploits de prueba de concepto (PoC) públicos. ¿Qué es Jenkins? Jenkins es un destacado servidor de automatización de código abierto para Integración Continua/Despliegue Continuo (CI/CD). Los desarrolladores utilizan ¡SEGUIR LEYENDO!
5 Pasos para Mejorar la Seguridad en Microsoft Teams En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
9 Amenazas Clave para la Seguridad Informática en 2024 Los ataques a la cadena de suministros, las campañas de desinformación, el malware móvil y las filtraciones de datos a gran escala son solo algunas de las grandes amenazas a tener en cuenta para el próximo año. En 2021, los ciberdelincuentes se aprovecharon de la pandemia del coronavirus, el cambio en curso hacia el trabajo remoto y la vulnerabilidad de las organizaciones al ransomware. En 2022, ¡SEGUIR LEYENDO!
¿Qué significa AAA? Autentificación, autorización y contabilidad La autenticación, autorización y contabilidad (AAA) es un sistema para rastrear las actividades de los usuarios en una red basada en IP y controlar su acceso a los recursos de la red. AAA a menudo se implementa como un servidor dedicado. Es un marco utilizado para controlar y rastrear el acceso dentro de una red informática. Este término también se conoce como el Protocolo AAA y ¡SEGUIR LEYENDO!
¿Qué significa ABAC? Control de acceso basado en atributos El control de acceso basado en atributos (ABAC) es un enfoque diferente al control de acceso en el que los derechos de acceso se otorgan mediante el uso de políticas compuestas por atributos que trabajan juntos. ABAC utiliza atributos como bloques de construcción para definir reglas de control de acceso y solicitudes de acceso. Esto se hace a través de un lenguaje estructurado llamado Lenguaje de ¡SEGUIR LEYENDO!
Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!
¿Qué es acceso? Desde el punto de vista de la seguridad informática El acceso, en el contexto de la seguridad, es el privilegio o permiso asignado para utilizar datos o recursos informáticos de alguna manera. Por ejemplo, un usuario puede tener acceso de lectura a un archivo, pero no podrá editarlo ni eliminarlo. El acceso también es la cantidad de admisión permitida a cualquier entidad determinada; o simplemente puede significar el permiso de admisión. El acceso es importante ¡SEGUIR LEYENDO!
¿Qué es ACE? Entrada de control de acceso en seguridad informática Las entradas de control de acceso (ACE) son entradas en una lista de control de acceso que contiene información que describe los derechos de acceso relacionados con un identificador de seguridad o usuario en particular. Cada entrada de control de acceso contiene una ID que identifica al individuo o al grupo de sujetos. Una lista de control de acceso puede tener varias entradas de control de ¡SEGUIR LEYENDO!
Acer recibió un supuesto ataque de ransomware que le exigía 50 millones de dólares Según los últimos informes, la compañía Acer, se habría visto afectada por un ataque del ransomware REvil y sus atacantes "aparentemente" habrían exigido 50 millones de dólares como rescate. La banda de ransomware supuestamente violó la seguridad de Acer y compartió algunas imágenes de archivos presuntamente robados, como prueba de haber accedido al sitio interno de Acer. Las imágenes filtradas, aparentemente, incluían documentos de hojas de ¡SEGUIR LEYENDO!
