Si bien la semana comenzó lentamente, se convirtió en un gran desastre de ransomware, con ataques que asestaron un gran golpe a las empresas que ejecutan servidores VMware ESXi.
Los ataques comenzaron el viernes por la mañana, con actores de amenazas dirigidos a servidores VMware ESXi sin parches con una nueva variante de ransomware denominada ESXiArgs.
El los ataques fueron rápidos y generalizadoscon los administradores de todo el mundo pronto informarán que fueron encriptados en esta nueva campaña.
Lo que hace que este ataque sea tan devastador es que muchas empresas operan gran parte de su infraestructura de servidores en VMware ESXi, lo que permite que el cifrado de un dispositivo cifre varios servidores simultáneamente.
La buena noticia es que algunos administradores han podido recuperar sus servidores al reconstruir discos a partir de archivos planospero algunos informaron que no pudieron hacerlo porque esos archivos también estaban encriptados.
También vimos una nueva investigación publicada esta semana, con Microsoft advirtiendo que más de cien actores de amenazas implementando ransomware y LockBit decidiendo crear un nuevo descifrador basado en Conti.
Finalmente, REsecurity publicó un informe sobre la nuevo ransomware de Nevada como servicio reclutando y preparándose para futuros ataques.
Finalmente, aprendimos más sobre los ataques de ransomware realizados esta semana y en el pasado, que incluyen:
Los colaboradores y aquellos que proporcionaron nueva información e historias de ransomware esta semana incluyen @PolarToffee, @serghei, @fwosar, @BleepinComputer, @LawrenceAbrams, @Seifreed, @Ionut_Ilascu, @malwrhunterteam, @struppigel, @demonslay335, @billtoulas, @vxunderground, @GeeksCyber, @PRODAFT, @brkalbyrk7, @RESeguridad, @MsftSecIntel, @1ZRR4H, @pcrisk, @BrettCallow, @ahnlab, @jgreigjy @k7computación.
30 de enero de 2023
Nueva variante Makop
PCriesgo Encontré una nueva variante de Makop que agrega el .ZFX extensión y deja caer una nota de rescate llamada +LÉAME-ADVERTENCIA+.txt.
31 de enero de 2023
Microsoft: más de 100 actores de amenazas implementan ransomware en ataques
Microsoft reveló hoy que sus equipos de seguridad están rastreando más de 100 pandillas de ransomware y más de 50 familias de ransomware únicas que se usaron activamente hasta fines del año pasado.
Nuevo ransomware masones
PCrisk encontró un nuevo ransomware que agrega el .masones extensión y deja caer una nota de rescate llamada seis62ix.txt.
Nueva variante del ransomware Chaos
PCrisk encontró una nueva variante de ransomware Chaos que agrega el .Guion extensión y deja caer una nota de rescate llamada leer_es.txt.
1 de febrero de 2023
El ransomware LockBit se vuelve ‘verde’ y usa un nuevo cifrador basado en Conti
La pandilla de ransomware LockBit ha comenzado nuevamente a usar encriptadores basados en otras operaciones, esta vez cambiando a uno basado en el código fuente filtrado para el ransomware Conti.
El nuevo Nevada Ransomware apunta a los sistemas Home windows y VMware ESXi
Una operación de ransomware relativamente nueva conocida como Nevada parece aumentar sus capacidades rápidamente a medida que los investigadores de seguridad notaron una funcionalidad mejorada para el casillero que apunta a los sistemas Home windows y VMware ESXi.
Datos de clientes de Arnold Clark robados en un ataque reclamado por el ransomware Play
Arnold Clark, autodenominado como el minorista independiente de automóviles más grande de Europa, notifica a algunos clientes que su información private fue robada en un ataque cibernético del 23 de diciembre reclamado por el grupo de ransomware Play.
El ransomware TZW se distribuye en Corea
A través del monitoreo interno, el equipo de análisis de ASEC descubrió recientemente la distribución del ransomware TZW, que cifra los archivos antes de agregar la extensión de archivo “TZW” a la extensión authentic.
Las escuelas Ok-12 en Tucson y Nantucket responden a los ciberataques
Las escuelas de Tucson, Arizona y Nantucket, Massachusetts, están lidiando con ataques cibernéticos mientras las escuelas de EE. UU. continúan enfrentando un aluvión de amenazas en las primeras semanas de 2023.
Nueva variante del ransomware Honkai
PCrisk encontró una nueva variante de ransomware que agrega el .honkai y deja caer una nota de rescate llamada #DESCIFRAR MIS ARCHIVOS#.html.
Nueva variante de ransomware VoidCrypt
PCrisk encontró una nueva variante de ransomware que agrega el .sunjn extensión y deja caer una nota de rescate llamada Guía de decodificación.txt.
2 de febrero de 2023
Ataque de ransomware en ION Group impacta mercado de comercio de derivados
La banda de ransomware LockBit se atribuyó la responsabilidad del ataque cibernético contra ION Group, una empresa de software program con sede en el Reino Unido cuyos productos son utilizados por instituciones financieras, bancos y corporaciones para el comercio, la gestión de inversiones y el análisis de mercado.
Rescatado por Warlock Darkish Military “OFICIALES”
Recientemente nos encontramos con un tweet compartido por petikvx. El tweet estaba relacionado con una familia de ransomware que tenía un nombre de grupo related a WARLOCK DARK ARMY. Las similitudes con el ransomware Chaos parecen terminar con el nombre del grupo atacante. Al analizar el ransomware del tweet, sospechamos que ambos son grupos muy diferentes solo en función de los atributos de su malware.
3 de febrero de 2023
Hospital de Florida desconecta sistemas de TI tras ciberataque
Tallahassee Memorial HealthCare (TMH) desconectó sus sistemas de TI y suspendió los procedimientos que no eran de emergencia luego de un ataque cibernético el jueves por la noche.
Ataque masivo de ransomware ESXiArgs dirigido a servidores VMware ESXi en todo el mundo
Los administradores, los proveedores de alojamiento y el equipo francés de respuesta a emergencias informáticas (CERT-FR) advierten que los atacantes apuntan activamente a los servidores VMware ESXi sin parches contra una vulnerabilidad de ejecución remota de código de dos años de antigüedad para implementar ransomware.
Nuevo ransomware DoDo
PCrisk encontró una nueva variante de ransomware DoDo que agrega el .dodov2 extensión y deja caer una nota de rescate llamada dodov2_leer.txt.
Eso es todo por esta semana! ¡Espero que todos tengan un buen fin de semana!
