FBI publica métodos emergentes de acceso utilizados por grupos de ransomware

El FBI hizo un comunicado el cual advirtió sobre los atacantes de ransomware se dirigen a proveedores y servicios publicados hacia el exterior para comprometer a las empresas.

Se han observado aumentos en los ataques de ransomware dirigidos a casinos a través de juegos externos entre el año 2022 y 2023.

Son ataques tenían como objetivo:

• Casinos pequeños y tribales.
• Servidores de cifrado.
• Información de identificación personal (PII) de empleados y clientes.

Los operadores y afiliados de ransomware han comenzado a utilizar dos variantes separadas de malware en conjunto para mejorar la eficiencia y potencia de sus ataques. Las variantes incluyen:

• Hive
• Diamond
• AvosLocker
• Quantum
• Royal
• LockBit
• Karakurt

 

La agencia menciona que apunta a dichas herramientas para elevar sus privilegios de red en organismos objetivos. Silent Ransom Group, también conocido como Luna Moth, comenzó enviando mensajes de phishing a las víctimas que contenían un número de teléfono, que generalmente estaba relacionado con cargos pendientes en las cuentas de las víctimas.

Una vez que el objetivo llamó a la víctima, se les indico que se unieran a una herramienta legítima de administración del sistema a través de un enlace proporcionado en un correo electrónico.

Por nuestra parte el Alestra se han dado de alta los indicadores de compromiso en nuestras herramientas de seguridad como parte de un control compensatorio para riesgos relacionados con los Ransomware de la lista.
 

Recomendaciones

• Mantenga copias de seguridad de datos fuera de línea, con procesos consistentes de copia de seguridad y restauración para garantizar la disponibilidad de los datos y operaciones ininterrumpidas.
• Cifre los datos de respaldo para cubrir toda la infraestructura de la red y garantizar que sea inmutable.
• Limite el acceso a programas desconocidos y permita que solo funcionen programas reconocidos según una política de seguridad definida.
• Supervise diligentemente todas las conexiones remotas externas, investigando de forma proactiva cualquier solución no aprobada que se encuentre en las estaciones de trabajo.
• Desactivar puertos no utilizados.
• Considere agregar un banner de correo electrónico a los correos electrónicos recibidos fuera de su organización.
• Desactivar hipervínculos en los correos electrónicos recibidos.
• Deshabilitar actividades y permisos de línea de comandos y secuencias de comandos.
• Asegúrese de que los dispositivos estén configurados correctamente y que las funciones de seguridad estén habilitadas.
• Deshabilitar puertos y protocolos que no se utilizan para fines comerciales (como RDP Puerto de protocolo de control de transmisión 3389).

Referencias

https://www.aha.org/system/files/media/file/2023/11/bi-tlp-clear-pin-ransomware-actors-continue-to-gain-access-through-third-parties-and-legitimatesystem-tools-11-7-23.pdf

https://www.bitdefender.com/blog/hotforsecurity/fbi-warns-of-new-dual-ransomware-trend-accelerating-attack-speed/

https://www.infosecurity-magazine.com/news/fbi-ransomware-initial-access/
 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios