Ciberataque a Kaseya, lo que nos ha enseñado este ataque a la cadena de suministros.

La importancia de la confianza de una cadena en la que el eslabón débil no siempre es el que parece.

Los ataques a la cadena de suministro o ataques a la cadena de valor, consisten en comprometer proveedores externos como un medio a través del cual acceder a otras organizaciones. Robos, secuestros de información o introducción de código malicioso son los principales objetivos de este tipo de ataques informáticos. 

Los atacantes buscan servidores o infraestructuras sin protección, accesos inseguros o vulnerabilidades en el software, como en el caso del software VSA de Kaseya afectado en el ciberataque.

Una vez que logran identificar o introducir código malicioso en el software del proveedor, los cibercriminales pueden establecer desde ahí su lanzadera desde la que acceder a información de terceros o lanzar otros ataques. 

Estos ataques son verdaderamente peligrosos porque se aprovechan de la confianza depositada en esos proveedores, por lo que las victimas subsidiarias pueden haber relajado sus medidas de seguridad, encomendándolas al proveedor. Un ataque a la cadena de suministro puede ser altamente escalable, masivo y global con un significativo numero de posibles victimas, como ha ocurrido en esta ocasión, afectando a miles de empresas de todo el mundo.

El software malicioso que ha afectado a Kaseya no es nuevo, ni mucho menos. El ransomware REvil esta operado por un grupo cibercriminal especializado en este ciberataque. También conocido como Sodinokibi, es uno de los operadores de ransomware como servicio (RaaS) mas prolíficos, que apareció por primera vez en el año 2019. Según la compañía de ciberseguridad Kaspersky, días después del ataque a Kaseya habían detectado mas de 5.000 intentos de ataque de este mismo software malicioso en Europa, América del Norte y Sudamérica.

Read More

Un traidor de la banda de Ransomware Conti, filtra sus manuales técnicos.

Ahora es posible hackear con este sistema de forma gratuita.

No se trata de un arrepentido, como en las películas de las mafias, sino más bien de un miembro enfadado o descontento con la actuación de su banda, la del Ransomware Conti.

Según informa el blog elhacker.net, el miembro de la banda traidor ha filtrado manuales técnicos del Ransomware Conti. Este tipo de Ransomware se detectó por primera vez en el año 2020, y ha afectado a todas las versiones de Windows. No es “automático”, son seres humanos los que lo utilizan en ataques que han sido dirigidos de forma selectiva contra objetivos de América del Norte y Europa. Conti es operado por el grupo Wizard Spider y se ofrece a los afiliados como Ransomware-as-a-Service (RaaS). A diferencia de la gran mayoría de Ransomware, Conti utiliza una implementación de cifrado absolutamente personalizada.

El hecho de filtrar su manual de forma gratuita es una auténtica “faena” para la banda que cobra por el servicio de RaaS a sus clientes. Al parecer, la oveja negra de la banda estaba molesto porque le pagaban muy poco, y ha filtrado en el foro XSS capturas de pantalla de las direcciones IP donde la banda aloja los servidores de comando y control de Cobalt Strike que los afiliados de Conti usan para acceder a las redes de las compañías hackeadas, según detalla The Record Media.

Read More

 ¿Hackearon la cuenta del Comité Olímpico Colombiano en Instagram?

El día martes 3 de agosto, el perfil amaneció con una nueva foto de perfil, una descripción en Turco y extrañas publicaciones.

Una sorpresa se llevaron los seguidores del Comité Olímpico Colombiano en Instagram este martes en la madrugada. Hacia las 4 a.m. (hora local) se reportó que la cuenta oficial del Comité (@olimpicocol), al parecer, había sido hackeada.

Esto debido a que el perfil, que cuenta con más de 116 mil seguidores en esa red social, amaneció con una foto de perfil nueva, así como un extraño video en el feed, una publicación en la sección de stories invitando a seguir a otra cuenta e incluso con una descripción en turco en la biografía. 

En la descripción de la cuenta se dejó la firma "Enes Yilmaz" y tanto en la foto de perfil como en el video publicado en el feed se ve a Mustafa Kemal, el fundador y primer presidente de la República de Turquía.

El aparente hackeo fue comentado por decenas de usuarios en redes sociales.

Es importante informar que ya se encuentra restablecida la cuenta.

Read More