#malware #ransomware

https://unaaldia.hispasec.com/2020/04/el-ransomware-lockbit-toma-ejemplo-de-revil-y-maze-para-mantenerse-actualizado.html

#malware #ransomware #hackingcampaign

https://www.bleepingcomputer.com/news/security/large-scale-snake-ransomware-campaign-targets-healthcare-more/

Ragnar Locker usa máquinas virtuales para evadir a los antivirus.

Ragnar Locker está desplegando máquinas virtuales de Windows XP para encriptar los ficheros de las victimas mientras evade ser detectado por antivirus instalados en el host.

En un nuevo reporte de Sophos, los cibercriminales detrás de Ragnar Locker están usando VirtualBox para desplegar máquinas virtuales de Windows XP para ejecutar el Ransomware y encriptar ficheros sin ser detectados por los antivirus instalados en el host.

Este ataque empieza creando un directorio con las herramientas necesarias, que incluye VirtualBox, un mini Windows XP en formato VDI llamado micro.vdi, y varios ejecutables y scripts para preparar el sistema.

Como todos sabéis, al igual que VMWare, VirtualBox nos permite compartir carpetas entre el host y el invitado, montando la carpeta o el disco compartido como una unidad de red en la máquina virtual.

Los cibercriminales, se aprovechan de esto, usando un install.bat que contiene un sencillo escaner de unidades de red mapeadas y disco, y luego construye un fichero de configuración que hace que se comparta con la máquina virtual automáticamente.

Una vez realizado, el script creará un fichero denominado sf.txt que contendrá la configuración para que el VirtualBox usado por los criminales comparta de forma automática todos los discos y unidades de red presentes en el equipo, a la máquina virtual.

Seguidamente, los atacantes inician el mini Windows XP con la configuración creada anterior mente, estando el ejecutable del Ransomware listo para su ejecución en la unidad C: de la máquina virtual e incluido con este, un archivo bat que montará todas las unidades compartidas y las encriptará.

Como VirtualBox y una máquina virtual de Windows XP no son considerados maliciosos, es inocuo para los antivirus, y que solo se puede detectar mediante técnicas de monitorización de comportamiento, como es en este caso, la escritura masiva de ficheros.

Fuente: https://www.bleepingcomputer.com/news/security/ransomware-encrypts-from-virtual-machines-to-evade-antivirus/

#RagnarLocker #Ransomware #Cibercrimen #EvasionAV

Muere una paciente del hospital Universitario de Düsseldorf tras sufrir el propio hospital un ataque de Ransomware.

El BSI ya alerto previamente al hospital de que su sistema Citrix era vulnerable y que se debía de parchear.

El Ransomware llevaba una nota de rescate dirigida a la Universidad de Heinrich Heine, que la investigación por parte de la policia encontró en uno de los servidores.

La policía se puso en contacto con los ciberdelincuentes tras recibir el Ransomware y les advirtieron de que habían atacado a un hospital, y de forma inmediata, los ciberdelincuentes les dieron las claves de desencriptado para que volvieran a poner todos los sistemas del hospital en marcha.

Sin embargo, la parte más trágica de todo, es que un paciente en estado muy grave, iba a ser atendido de urgencia en ese hospital, pero no fue posible por que en ese momento el hospital estaba completamente paralizado por el Ransomware, y tuvieron que derivar al paciente al hospital de Wuppertal, donde murió al instante, sin que los médicos pudieran hacer nada para salvar su vida.

Esta es la primera vez que un Ransomware se cobra una vida humana, lo cual, nos hace plantearos, tanto a nosotros como a vosotros, una seria pregunta.

Están los sistemas críticos de nuestro país preparados ante un ataque de Ransomware como este? Se debería de invertir más en ciberseguridad tanto en PYMES como en grandes empresas y sistemas criticos?

Fuente: Traducción de las noticias alemanas gracias a @cibernicola, el cual es un seguidor y colaborador de Security News. https://pastebin.com/UBqyFtkr

#Ransomware #Hospital #Alemania #Cibercrimen #Ciberseguridad #Muerte

ℹ️FIN11, se ha involucrado en un patrón de campañas de ciberdelito dirigido a los sectores financiero, minorista, de restauración y farmacéutico.

#ransomware

https://thehackernews.com/2020/10/fin11-hackers-spotted-using-new.html

👾 Campari Group se ha visto afectado por un ataque de ransomware y ha derribado gran parte de su red de TI.

https://www.zdnet.com/article/italian-beverage-vendor-campari-knocked-offline-after-ransomware-attack/

🔈@LightEyesNewsandAlerts
#ransomware

#Ransomware #Cibercrimen #Twitter #ThePhoneHouse

The Phone House España, afectada por un ransomware.

Tal y como la usuaria de Twitter @Placi__ comenta en su Twitt, La filial española de The Phone House se ha visto afectada por un ransomware.

Según una de las capturas del Tweet, los cibercriminales tienen en su poder unas 10 bases de datos que contienen información sensible y protegida por la GDPR, de más de 3 millones de empleados y clientes.

Tal y como indica la captura, los cibercriminales han amenazado en publicar estas bases de datos si no se paga el rescate.

Ampliaremos está noticia conforme obtengamos más información del ciberataque.

Fuente: https://twitter.com/Placi__/status/1383415349857583106

Actualización:
The Phone House parece haber caído víctima del ransomware Babuk según la siguiente fuente:
https://twitter.com/VicDPzgz/status/1383368781389471755?s=20

Más información:
https://elandroidelibre.elespanol.com/2021/04/ciberataque-a-phone-house-3-millones-de-clientes-afectados.html

#Avalia #DataLeak #Ransomware

Un ciberataque a Avalia compromete los datos de cientos de empresas

La entidad aragonesa dedicada a facilitar avales a pymes y autónomos sufrió un ciberataque dónde substrajeron alrededor de 7GB de información confidencial.

Entre la información filtrada figuran DNI, cuentas bancarias y datos de operaciones mercantiles. Todo esto quedo expuesto en un foro de la Dark Web.

Fuente:
https://www.elperiodicodearagon.com/noticias/aragon/ciberataque-avalia-robo-datos-sensibles-cientos-empresas_1465124.html

#Kaseya #KaseyaVSA #Ransomware #REvil

REvil afecta a 200 compañías a través de un ataque de cadena de suministro

Kaseya VSA es una plataforma MSP en la nube que permite a proveedores gestionar parches y monitorizar clientes.

Las empresas afectadas utilizaban este servicio. Kaseya advierte a sus clientes que deben desconectar sus servidores cuanto antes para prevenir la propagación del ataque.

Fuente en inglés:
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/amp/#click=https://t.co/3J94Vrsg80

Países afectados:
https://twitter.com/ESETresearch/status/1411230750318411776?s=19

#Bitdefender #Evil #Ransomware

Bitdefender: Herramienta gratuita para ransomware Revil/Sodinokibi

REvil es un operador de Ransomware-as-a-Service que podría tener su sede en un país de la Comunidad de Estados Independientes. Surgió en 2019 como sucesor del ahora desaparecido ransomware GandCrab, convirtiéndose en uno de los ransomwares más activos en la Dark Web.

Después de cifrar con éxito los datos de una empresa, los afiliados de REvil exigen importantes rescates, de hasta 70 millones de dólares, a cambio de una clave de descifrado y la garantía de que no publicarán los datos internos de la empresa extraídos durante el ataque.

La nueva herramienta de descifrado ha sido desarrollada por Bitdefender, la cuál podéis descargar desde aquí:
http://download.bitdefender.com/am/malware_removal/BDREvilDecryptor.exe

Fuentes en Español:
https://www.incibe-cert.es/blog/sodinokibi-caracteristicas-y-funcionamiento
https://cybersecuritynews.es/bitdefender-ofrece-una-herramienta-de-descifrado-universal-para-el-ransomware-revil-sodinokibi/

🚨 La amenaza del #ransomware persiste en el ciberespacio.
👀 Conoce las principales vías de propagación, desde el #phishing hasta la explotación de vulnerabilidades de red 🌐.

👉 ¡Mantente informado y protegido en el blog de INCIBE-CERT: https://www.incibe.es/incibe-cert/blog/familias-ransomware-acciones-de-respuesta-y-recuperacion