Generic selectors
Exact matches only
Search in title
Search in content
Filtra por categorías
Actualidad
Aerolíneas
Alianzas
Alianzas
Audífonos con Tinta
Canales
Ciberseguridad
Cine
Cine y TV
Columna
Columna de opinión
Columna de opinión
Conectividad
Cultura
Danza
Economía
Económicas
Emprendimiento
Emprendimiento
Emprendimiento
Estilo de Vida
Estilo de Vida
Estilo de Vida
Estilo de Vida
Eventos
Exposiciones
Festival
Festivales
Gamer
Gastronomía
Gastronomía
Gobierno
Gobierno
Gobierno
Gobierno
Hoteles
Infraestructura
Innovación
Innovación
Innovación
Inversiones
Literatura
Lugares
Medio Ambiente
Movilidad
Música
Negocios
Planes
Planes
Planes
Productos
Pymes
Reconocimiento
Recursos Humanos
RSE
Seguridad
Seguridad
Servicio
Servicios
Servicios
Sociales
Sociales
Sociales
Sostenibilidad
Sostenibilidad
Sostenibilidad
Teatro
Tecnología
Telecomunicaciones
Televisión
Tendencias
Tendencias
Turismo
Uncategorized

Nuevo ransomware desactiva los sistemas de seguridad

Síguenos en Google News

Conviértenos en tu fuente de información en Google News.

CLM, distribuidor de valor agregado enfocado en seguridad de la información, protección de datos, infraestructura para data centers y cloud, advierte sobre nuevos ataques de ransomware que utilizan herramientas de evasión EDR – Endpoint Detection and Response.

Se trata del ransomware Black Basta que ha utilizado técnicas, hasta ahora desconocidas, capaces de deshabilitar sistemas de seguridad como Windows Defender, obteniendo accesos privilegiados y camuflándose en el sistema.

El descubrimiento fue realizado por investigadores de Sentinel Labs, el laboratorio de investigación de delitos digitales de SentinelOne, cuya solución para proteger contra Ransomware y otros malwares se basa en inteligencia artificial.

El CEO de CLM, Francisco Camargo, explica que los investigadores de Sentinel Labs describieron las tácticas, técnicas y procedimientos operativos de Black Basta en un informe detallado que muestra la seriedad de los estudios publicados en el espacio abierto. “En su análisis, los investigadores encontraron que Black Basta instala herramientas personalizadas, sus ataques usan una versión encubierta de ADFind y explotan las vulnerabilidades PrintNightmare, ZeroLogon y NoPac para escalar privilegios”.

Además, añade el ejecutivo, los ciberdelincuentes inician sus ataques con un Qakbot, entregado por correo electrónico y documentos de MS Office, que contienen macros, cuentagotas ISO+LNK y documentos .docx que explotan la vulnerabilidad de ejecución remota de código MSDTC, CVE-2022-30190. “Después de utilizar meticulosas técnicas de piratería, incluida la de convertirse en el administrador del sistema con una contraseña propia, borran sus huellas”, describe Camargo.

En su informe, Sentinel Labs explica que Black Basta usa varios métodos para el movimiento lateral, implementando diferentes scripts, en lotes, a través de Psexec en diferentes máquinas para automatizar la terminación de procesos y servicios y socavar las defensas. El ransomware también se implementó en varias máquinas a través de Psexec.

En los análisis más recientes de Black Basta, Sentinel Labs observó un archivo por lotes llamado SERVI.bat implementado a través de Psexec en todos los puntos finales de la infraestructura de destino. Este script, instalado por el atacante, tiene como objetivo eliminar servicios y procesos para maximizar el impacto del ransomware y eliminar ciertas soluciones de seguridad.

El ransomware Black Basta surgió en abril de 2022 y ha invadido más de 90 organizaciones hasta septiembre de 2022. La velocidad y el volumen de los ataques demuestran que los actores detrás de Black Basta están bien organizados y cuentan con los recursos necesarios.

Según los investigadores de Sentinel Labs, aún no ha habido indicios de que Black Basta esté reclutando afiliados o promocionandose como RaaS – Ransomware as a Service – en foros de darknet o mercados de crimeware.

Esto ha llevado a mucha especulación sobre el origen, la identidad y el funcionamiento del grupo.

Las investigaciones indican que las personas detrás del ransomware Black Basta desarrollan y mantienen su propio conjunto de herramientas y excluyen a los afiliados o solo colaboran con un conjunto limitado y confiable de afiliados, similar a otros grupos de ransomware “privados”, como Conti, TA505 y Evilcorp.

Personajes conocidos detrás del nuevo ransomware

SentinelLabs evalúa que el desarrollador de estas herramientas de evasión de EDR probablemente sea o haya sido el desarrollador de FIN7. Según los investigadores, el ecosistema del crimeware está en constante expansión, cambio y evolución.

FIN7 (o Carbanak) frecuentemente se le atribuye haber abierto nuevos caminos en el espacio criminal, llevando los ataques contra bancos y sistemas PoS a nuevos niveles, mucho más allá de los esquemas de otros grupos.

“A medida que logramos arrojar luz detrás de la escurridiza operación de ransomware Black Basta, no nos sorprendería encontrar una cara familiar detrás de esta ambiciosa operación. Si bien hay muchas caras nuevas y diversas amenazas en el espacio del ransomware y la extorsión dual, se espera que los equipos criminales profesionales existentes den su propio giro para maximizar las ganancias ilícitas de nuevas maneras”.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Más tinta y tecnología