Usamos cookies propias y de terceros que entre otras cosas recogen datos sobre sus hábitos de navegación para mostrarle publicidad personalizada y realizar análisis de uso de nuestro sitio.
Si continúa navegando consideramos que acepta su uso. OK Más información

Actualidad desde nuestro Centro Experto de Ciberseguridad

 

 

Te traemos las últimas noticias y alertas detectadas de Ciberseguridad.

Conecta con nosotros a través de siainfo@sia.es

  •  

      Compartir en:

Noticias destacadas de ciberseguridad

Vulnerabilidades

Facebook solucionó un importante error en la app de Messenger para Android donde se permitía escuchar al destinatario de una llamada antes de que fuera respondida

 

  bleepingcomputer.com

 

VMware corrigió seis vulnerabilidades en SD-WAN Orchestrator que permitían un cierre completo de la red de una empresa multinacional

 

  securityweek.com

Malware

Los operadores del ransomware Mount Locker establecen como objetivo las declaraciones de impuestos realizadas con el software TurboTax

 

  bleepingcomputer.com

 

Nueva oleada de ataques del grupo norcoreano Lazarus a usuarios de sitios web gubernamentales y bancarios en Corea del Sur

 

  ehackingnews.com

Ciberseguridad

La aplicación de mensajería GO SMS Pro para Android expuso archivos multimedia privados compartidos entre sus usuarios

 

  bleepingcomputer.com

 

Información personal de más de 60.000 pacientes del Iowa Hospital quedó expuesta a raíz de un correo electrónico de phishing

 

  darkreading.com

Últimas amenazas detectadas

Los operadores del ransomware Darkside lanzan un programa de afiliados

Riesgos y amenazas emergentes sin confirmar

16/11/2020

Resumen ejecutivo

 

Darkside lanza un programa de afiliados como parte de su propuesta para maximizar los ingresos.

Datos

 

Tipo:

 

TLP:

 

Objetivos:

 

Activos afectados:

 

Vector de ataque:

 

Tags:

 

APT

 

White

 

Múltiples

 

Múltiples

 

Múltiples

 

Darkside, Ransomware, afiliados

 

Descripción

 

Los operadores del ransomware Darkside han publicado en XSS.is y Exploit.in, dos de los mayores foros de ciberdelincuencia de habla rusa, un programa de afiliados para potenciar su herramienta de ransomware.

 

En estos programas, los operadores del ransomware facilitan el código del malware a cada uno de sus afiliados, dicho código incluye un ID único incrustado que identifica a cada afiliado dentro de la red, así por cada víctima que pague un rescate el afiliado se lleva una comisión.

 

Aunque en otros programas como en el de Sodinokibi/REvil se pague entre un 30% y un 40%, los términos del programa de afiliados de Darkside son diferentes y aseguran que "La media de los rescates son 400.000 dólares y se comparte con los afiliados entre un 10% y un 25%, dependiendo del tamaño del rescate, cuanto mayor sea el rescate pagado menor será el porcentaje para el afiliado y viceversa", también afirman que se puede negociar un porcentaje fijo.

 

Como prueba de su éxito y compromiso, Darkside ha depositado 20 bitcoins, aproximadamente 315.000 dólares, en el foro XSS. Se trata de una maniobra para demostrar que el negocio del ransomware es muy lucrativo.

 

Para pertenecer a este programa de afiliados es necesario facilitar la experiencia profesional, indicar si se ha tenido previamente trato con otros programas de afiliados de ransomware, indicar los baremos de las posibilidades de pago de tus objetivos y pasar una entrevista personal.

 

Como parte de los criterios de acceso se establece que los afiliados sean de habla rusa y que no sean ni del servicio secreto ni analistas de seguridad, entre otros requisitos.

 

Los proveedores del ransomware proporcionan, como parte del programa de afiliación, actualizaciones de las herramientas y una infraestructura que incluye un portal de autoservicio para que las víctimas paguen. Este modelo les permite centrarse en los ataques a las víctimas y en extender el malware creando más afiliados, evitando que los integrantes en el programa tengan que desarrollar y mantener su propia infraestructura y malware.

 

Darkside también establece ciertas normas a la hora de utilizar el malware, donde claramente se indican que su objetivo son empresas que puedan pagar fácilmente el rescate y que no tienen la intención de eliminarlas. Así mismo se establecen ciertos sectores a los que está prohibido atacar:

 

  • Salud (Hospitales, residencias...)
  • Educación (Colegios, universidades...)
  • Organizaciones sin ánimo de lucro.
  • Sector gubernamental.

 

Los programas de afiliados entre los operadores de ransomware cada vez son mas frecuentes, se conocen que por lo menos los siguientes operadores de ransomware tiene o han tenido un programa de afiliados:

 

  • Avaddon
  • Darkside
  • LockBit
  • Nettwalker
  • Ranzy
  • Sodinokibi/REvil
  • Suncrypt
  • Chimera
  • CryLock
  • Exorcist
  • Gretta
  • Makop
  • Thanos
  • Zeppelin

 

La utilización de este tipo de programas también tiene sus inconvenientes, se destacan dos principalmente: el reputacional y la infiltración. Con el primero es difícil controlar cuales son los objetivos de los ataques, aunque se hayan establecido ciertos sectores como intocables y eso afecta a la reputación del grupo. El segundo de los problemas se produce ya que al incorporar gente desconocida al programa de afiliados podrían tratarse de investigadores de seguridad encubiertos.

 

 

Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.

 

 

minsait.com

Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.

 

indracompany.com

Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.

 

minsait.com

Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.

 

indracompany.com