Los operadores de ransomware ahora subcontratan exploits de acceso a la red para acelerar los ataques



No More Ransom: la iniciativa de Europol que lleva la lucha a las bandas de ransomware ciberdelincuentes\n\nVer ahora\n\nLos operadores de ransomware ahora están recurriendo a los vendedores de acceso a la red en masa para eliminar un paso difícil en el proceso de infección.\n\nEl lunes, el equipo de Cyber \u200b\u200bThreat Intelligence (CTI) de Accenture publicó una nueva investigación sobre las tendencias emergentes de ciberseguridad, incluida una investigación sobre la naturaleza de las relaciones entre los operadores de ransomware y los vendedores de exploits.\n\nSegún los analistas de seguridad senior de Accenture, Thomas Willkan y Paul Mansfield, la compra de puntos de acceso a la red y las formas ya comprometidas de infiltrarse en un sistema objetivo están aumentando en popularidad, incluida la compra de vulnerabilidades y credenciales robadas. \u003cbr\u003e\n\nDurante los ataques, los operadores de ransomware primero deben encontrar un punto de entrada a una red. Las cuentas de empleados comprometidas, las configuraciones incorrectas en los sistemas públicos y los puntos finales vulnerables pueden usarse para implementar esta familia particular de código malicioso, lo que lleva al cifrado de archivos, discos y una demanda de pago a cambio de una clave de descifrado.\n\nVer también: La pandemia de COVID-19 ofrece una extraordinaria variedad de desafíos de ciberseguridad\n\nEs difícil estimar cuántos ataques de ransomware con éxito se han producido este año. \u003cbr\u003e Europol cree que estos ataques específicos a menudo no se denuncian, y solo se producen incidentes importantes, como la muerte reciente de una mujer que necesitaba atención urgente obligados a desviarse del hospital de Duesseldorf debido a una infección de ransomware, que se hizo de conocimiento público.\n\nPagar un rescate en estos días puede alcanzar sumas de seis cifras, o más, según el objetivo y su valor estimado. Ahora, los grupos de ransomware buscan eliminar la etapa de acceso inicial de un ataque, acelerando el proceso y, potencialmente, la oportunidad de generar ingresos ilícitos. \u003cbr\u003e\n\nLos vendedores de acceso a la red suelen desarrollar una vulnerabilidad inicial y luego venden su trabajo en foros clandestinos por entre $ 300 y $ 10,000.\n\nLa mayoría de las ofertas de acceso a la red subterráneas incluirán el objetivo por industria y el tipo de acceso, desde Citrix hasta el Protocolo de escritorio remoto (RDP), y también pueden documentar la cantidad de máquinas detectadas en la red.\n\nCNET: Cómo se preparan las redes sociales para un posible pirateo y fuga de octubre\n\n\"Desde principios de 2020 y la aparición de las ahora populares tácticas de\" ransomware con robo de datos y extorsión \", las bandas de ransomware han utilizado con éxito plataformas de la web oscura para subcontratar aspectos complicados de una red comprometida\", dicen los investigadores. \u003cbr\u003e \" Un ataque de ransomware exitoso depende del desarrollo y mantenimiento de un acceso estable a la red, lo que conlleva un mayor riesgo de detección y requiere tiempo y esfuerzo. Los vendedores de acceso llenan este nicho de mercado para grupos de ransomware \".\n\nEn septiembre de este año, Accenture ha realizado un seguimiento de más de 25 vendedores de acceso a la red persistente, junto con el ocasional único, y más están ingresando al mercado \"semanalmente\". \u003cbr\u003e\n\nMuchos de los vendedores están activos en los mismos foros clandestinos perseguidos por grupos de ransomware como Maze, NetWalker, Sodinokibi, Lockbit y Avaddon.\n\nLos vendedores ahora han comenzado a promocionar sus ofertas en hilos de un solo foro, en lugar de publicaciones separadas, y RDP sigue siendo una opción popular para el acceso a la red. En un giro interesante, en lugar de vender una vulnerabilidad de día cero a un vendedor, algunos comerciantes están utilizando estos errores sin parche para explotar numerosas redes corporativas y vender acceso a los actores de amenazas en paquetes separados para generar ingresos adicionales. \u003cbr\u003e\n\nTechRepublic: Los presupuestos, la seguridad de los datos y la automatización de COVID-19 son preocupaciones de los líderes y el personal de TI\n\nLos clientes de Citrix y Pulse Secure VPN también se mencionan en los anuncios.\n\n\"Los vendedores de acceso a la red están aprovechando las herramientas de trabajo remoto a medida que más trabajadores trabajan desde casa como resultado de la pandemia de COVID-19\", dice Accenture. \"Esta relación simbiótica [vendedores y ciberatacantes] facilita la selección continua de entidades gubernamentales y corporativas y agiliza el proceso de compromiso de la red, lo que permite que los ciberdelincuentes actúen de manera más rápida y eficiente. \u003cbr\u003e\"\n\npags\n\nVER GALERIA COMPLETA\n\n¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı