Grupo de piratas informáticos iraníes no calificados detrás de los recientes ataques con el ransomware Dharma



Getty Images / iStockphoto La firma de ciberseguridad Group-IB dice que identificó a un grupo de piratas informáticos poco calificados que operan en Irán y que han estado lanzando ataques contra empresas que lanzan ataques contra empresas en Asia e intentan cifrar sus redes con una versión del Dharma. Secuestro de datos. Los ataques han tenido como objetivo empresas ubicadas en Rusia, Japón, China e India, según un informe de investigadores de Group-IB publicado el 24 de agosto.
La firma de seguridad describió al grupo como "piratas informáticos novatos" basándose en el bajo nivel de sofisticación y las tácticas y herramientas simples empleadas durante los ataques. Según el informe, el grupo utilizó solo herramientas de piratería disponibles públicamente, ya sea de código abierto en GitHub o descargadas de los canales de piratería de Telegram. Esto incluía los de Masscan, NLBrute, Advanced Port Scanner, Defender Control o Your Uninstaller.
Esto sugiere que el grupo no es capaz de desarrollar sus propias herramientas de piratería, o que (todavía) no poseen los recursos monetarios para comprar acceso a utilidades de piratería privadas y más avanzadas. Incluso el uso del ransomware Dharma se considera un signo de un atacante poco cualificado en la actualidad, principalmente porque el código fuente del ransomware se puso a la venta y luego se filtró en línea a principios de este año, poniéndolo a disposición de los recién llegados, literalmente, sin costo de desarrollo. Group-IB dice que esta banda de piratas informáticos prefiere apuntar a los terminales del Protocolo de escritorio remoto (RDP) para violar la red de un objetivo.
Los puntos finales de RDP son el principal vector de entrada a las redes empresariales para las bandas de ransomware, según informes de múltiples empresas de ciberseguridad, principalmente debido a la facilidad para identificar los sistemas RDP y la fuerza bruta de sus credenciales. Group-IB dice que, a pesar de atacar a empresas del sector privado, este grupo de piratería iraní en particular no ha exigido rescates por valor de cientos de miles o millones de dólares estadounidenses, lo que se ha convertido en la norma para la mayoría de las bandas de ransomware en la actualidad. En cambio, el grupo ha solicitado pequeños pagos de rescate que van de 1 a 5 bitcoins ($ 10k a $ 50k), muy probablemente para garantizar que se les pague y que pasen desapercibidos, mientras que las autoridades se centran en las pandillas más grandes que rescatan a las empresas por millones.
En el gran esquema de las cosas, este grupo de "novatos" está muy lejos de la banda de ransomware más infame de Irán: los operadores del ransomware SamSam. SamSam era un grupo de piratas informáticos profesionales que desarrolló una variedad de ransomware muy avanzada que usaban para atacar a grandes corporaciones y entidades gubernamentales. El grupo causó estragos en los EE. UU. En 2018 antes de desaparecer después de que el Departamento de Justicia de EE. UU. Acusara a dos de sus miembros en diciembre de 2018.
Sin embargo, incluso si este grupo más nuevo no es tan avanzado y capacitado como SamSam, las empresas no deben ignorar el riesgo que representan. Desde 2017-2018, el ecosistema de la ciberdelincuencia ha evolucionado para automatizar, simplificar y monetizar todo el proceso de infringir empresas e implementar ransomware. Mientras que en 2017-2018, un grupo necesitaba piratas informáticos talentosos para realizar un ataque de ransomware, hoy en día, incluso los grupos de "novatos" como los del informe Group-IB pueden descargar herramientas de piratería y seguir los tutoriales compartidos en foros de piratería para orquestar su propia intrusión. y ataques de rescate en cuestión de días.
Si bien algunos expertos en seguridad echarán la culpa a la proliferación de herramientas de piratería ofensivas y tutoriales de piratería, el problema real es por completo con las empresas, muchas de las cuales siguen fallando en la higiene de seguridad básica, como proteger los sistemas RDP que exponen en línea con las contraseñas adecuadas. o parchear servidores y equipos de red de borde, dejando agujeros evidentes que incluso los piratas informáticos poco capacitados pueden explotar. pags VER GALERIA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı