La semana en ransomware

Las noticias de esta semana han estado dominadas por la banda de ransomware Clop que extorsionaba a las empresas cuyos servicios GoAnywhere fueron violados mediante una vulnerabilidad de día cero.

Durante el mes pasado, se agregaron cien nuevas empresas al sitio de fuga de datos de Clop, y la pandilla de extorsión amenazó con filtrar datos si no se paga un rescate.

Si bien no está confirmado si todas estas empresas fueron violadas utilizando el día cero de GoAnywhere, BleepingComputer confirmó esta semana que Saks Fifth Avenue, la ciudad de Toronto, Procter & Gamble, Virgin Red y el Fondo de Protección de Pensiones del Reino Unido están relacionados con la vulnerabilidad

En noticias extrañas esta semana, la ciudad de Oakland de repente está siendo extorsionada en el sitio de fuga de datos de LockBit, cuando hace unas semanas, fueron reclamados por un ataque de ransomware Play. No está claro si LockBit está ayudando a Play a extorsionar a la Ciudad.

También parece haber una disputa entre la banda de ransomware Monti y Donut Leaks.

Finalmente, vimos algunos informes sobre ransomware publicados esta semana sobre el scareware ACL que fingía ser ransomware y un artículo sobre la pandilla DarkPower.

Los colaboradores y aquellos que proporcionaron nueva información e historias de ransomware esta semana incluyen: @BleepinComputer, @Seifreed, @fwosar, @malwrhunterteam, @LawrenceAbrams, @serghei, @demonslay335, @billtoulas, @PogoWasRight, @cyfirma, @pcrisk, @Trellix, y @jgreigj.

En una de las listas más intrigantes de esta semana, el grupo de ransomware MONTI ha agregado otro grupo, Donut Leaks, a su sitio de fugas.

El equipo de investigación de CYFIRMA descubrió recientemente una muestra maliciosa en la naturaleza que pretende ser un ransomware llamado ALC Ransomware. Nuestro equipo de investigación lo analizó y descubrió que en realidad se trataba de un scareware, ya que no cifra los archivos en la máquina de la víctima.

PCrisk encontró una nueva variante de ransomware STOP que agrega el.darjextensión para archivos cifrados.

Otra operación de ransomware, la pandilla LockBit, ahora amenaza con filtrar lo que describe como archivos robados de los sistemas de la ciudad de Oakland.

La pandilla de ransomware Clop afirma haber atacado Saks Fifth Avenue en su sitio de fugas en la web oscura.

El gigante de productos frescos Dole Food Company ha confirmado que los actores de amenazas detrás de un ataque de ransomware en febrero han accedido a la información de un número no revelado de empleados.

PCrisk encontró una nueva variante de ransomware STOP que agrega el.tywdextensión para archivos cifrados.

PCrisk encontró una nueva variante de ransomware Xorist que agrega el.Rans-Aextensión y suelta notas de rescate con el nombreCÓMO DESCIFRAR ARCHIVOS.txt.

La ciudad de Toronto se encuentra entre las últimas víctimas de la banda de ransomware Clop golpeadas en la ola de piratería GoAnywhere en curso.

Oak Ridge, Tennessee, dijo que los funcionarios de la ciudad están trabajando con expertos en ciberseguridad y fuerzas del orden para hacer frente a un ataque de ransomware que afecta sus sistemas tecnológicos.

PCrisk encontró una nueva variante de ransomware STOP que agrega el.eso es todoextensión para archivos cifrados.

El gigante de bienes de consumo Procter & Gamble ha confirmado una violación de datos que afecta a un número no revelado de empleados después de que su plataforma segura de intercambio de archivos GoAnywhere MFT se viera comprometida a principios de febrero.

Es probable que el ransomware Clop esté probando MOVEit de día cero desde 2021

El ransomware Clop se atribuye la responsabilidad de los ataques de extorsión de MOVEit

Microsoft vincula a la banda de ransomware Clop con los ataques de robo de datos MOVEit

La semana en ransomware - 28 de abril de 2023 - Clop de nuevo

La semana en ransomware - 2 de junio de 2023 - Whodunit?