FBI Desmantela al grupo Dispossesor

El lunes 12 de agosto de 2024, el FBI, en conjunto con la Agencia Nacional contra el Crimen del Reino Unido, la Fiscalía de Bamberg y la Oficina de Policía Criminal del Estado de Baviera, asestó un duro golpe contra el grupo de ransomware Dispossesor al desmantelar tres servidores en Estados Unidos, tres servidores en el Reino Unido, dieciocho servidores en Alemania, ocho dominios en Estados Unidos y un dominio en Alemania. Los dominios dados de baja son: radar.tld, desposeídor[.]com, desposeyente-cloud[.]com, cybershare[.]app, readteamcr[.]com, redhotcypher[.]com, cybernewsint[.]com (sitio de noticias falsas) y cybertube[.]video (sitio de videos falsos). [1] [2] 

Esto no termina aquí, el FBI solicitó a las víctimas anteriores y actuales que compartan información sobre Dispossesor para su completa erradicación, comunicándose a través de internet en ic3.gov o llamando al 1-800-CALL-FBI. [1] 

Imagen del sitio de filtraciones de Dispossesor tomado por el FBI y otras organizaciones[1] 

Cabe señalar que el mensaje mostrado en el sitio de Dispossesor muestra el viejo formato de derribo de sitios maliciosos del FBI, a diferencia de lo que se mostró en el derribo del sitio de Lockbit. En este último caso, además de incluir los avisos legales, el sitio se burlaba de los responsables de Lockbit y también desprestigiaba al grupo. Esto podría deberse a que el FBI no consideraba a Dispossesor tan grande como su predecesor. [3] 

Dispossesor es responsable de múltiples ataques a nivel mundial, afectando principalmente a medianas y pequeñas empresas. Tiene similitudes con Lockbit y, desde sus inicios, surgió como un ransomware como servicio (RaaS). [1] 

Las industrias más afectadas por este ransomware son: la manufactura, el cuidado de la salud y la construcción. En su sitio de filtraciones, también republicaban datos de otras operaciones de ransomware como Cl0p, Hunters y 8base. [1] 

Recomendaciones

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Gatlan, S. (2024, Agosto, 12) FBI disrupts the Dispossessor ransomware operation, seizes servers. Recuperado el 13 de Agosto del 2024 en: https://www.bleepingcomputer.com/news/security/fbi-disrupts-the-dispossessor-ransomware-operation-seizes-servers/ 
2. Laksmann, R. (2024, Agosto, 12) FBI Shuts Down Dispossessor Ransomware Group's Servers Across U.S., U.K., and Germany. Recuperado el 13 de Agosto del 2024 en: https://thehackernews.com/2024/08/fbi-shuts-down-dispossessor-ransomware.html 
3. Jones, C. (2024, Agosto, 13) Feds bust minor league Radar/Dispossessor ransomware gang. Recuperado el 13 de Agosto del 2024 en: https://www.theregister.com/2024/08/13/feds_bust_minor_league_radardispossessor/?td=keepreading 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios