• Gestión de Accesos Privilegiados
    • Ciberseguridad

    Advertencia de CISA y FBI sobre Ataques de Doble Extorsión de Ransomware Rhysida

    XPoint
    Publicado el 16/11/2023
    • Los actores de amenazas detrás del ransomware Rhysida se involucran en ataques oportunistas dirigidos a organizaciones de diversos sectores industriales.
    • La advertencia proviene de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de EE. UU., el Buró Federal de Investigaciones (FBI) y el Centro de Análisis e Información de Compartición Multiestatal (MS-ISAC).
    • Rhysida opera como un modelo de ransomware como servicio (RaaS), comprometiendo organizaciones en sectores como educación, fabricación, tecnología de la información y gobierno. Cualquier rescate pagado se divide entre el grupo y sus afiliados.
    • Los actores de Rhysida aprovechan servicios remotos externos, como redes privadas virtuales (VPN), la vulnerabilidad Zerologon (CVE-2020-1472) y campañas de phishing para obtener acceso inicial y persistencia en una red.
    • Detectado por primera vez en mayo de 2023, Rhysida utiliza la táctica probada de doble extorsión, exigiendo un rescate para descifrar los datos de la víctima y amenazando con publicar los datos exfiltrados si no se paga el rescate.
    • Se dice que comparte similitudes con otro grupo de ransomware conocido como Vice Society, debido a patrones de focalización similares y el uso de herramientas como NTDSUtil y PortStarter.
    • Según estadísticas de Malwarebytes, Rhysida ha afectado a cinco víctimas en octubre de 2023, quedando atrás de otros grupos como LockBit, NoEscape, PLAY, ALPHV/BlackCat y 8BASE.
    • El grupo se describe como participando en ataques oportunistas, aprovechando técnicas de «living-off-the-land» para facilitar el movimiento lateral y establecer acceso a través de VPN.
    • El cambio de Vice Society a Rhysida se ha fortalecido según una investigación de Sophos, que observó al mismo actor de amenazas utilizando Vice Society hasta junio de 2023, momento en el que cambió a Rhysida.
    • La compañía de ciberseguridad rastrea este conjunto bajo el nombre TAC5279.
    • La advertencia surge mientras la banda de ransomware BlackCat ataca a corporaciones y entidades públicas utilizando anuncios de Google con malware Nitrogen, según eSentire.
    • La naturaleza en constante evolución del panorama de ransomware se evidencia en que 29 de los 60 grupos actualmente activos comenzaron operaciones este año, impulsados en parte por las filtraciones de código fuente de Babuk, Conti y LockBit a lo largo de los años.
    • «Las filtraciones de datos no son lo único que lleva a grupos más antiguos a influir en los más jóvenes», según un informe de WithSecure compartido con The Hacker News.
    • «Las bandas de ransomware tienen personal, al igual que una empresa de tecnología. Y, al igual que en una empresa de tecnología, las personas cambian de trabajo a veces y llevan consigo sus habilidades y conocimientos únicos. A diferencia de las empresas legítimas de tecnología, sin embargo, nada impide que un ciberdelincuente tome recursos propietarios (como código o herramientas) de una operación de ransomware y los utilice en otra. No hay honor entre ladrones.»

    Preguntas frecuentes

    ¿Qué es un Ransomware?

    +

    El ransomware es un tipo de software malicioso (malware) que cifra los archivos o bloquea el acceso a un sistema informático y luego exige un pago, generalmente en criptomonedas, a cambio de la liberación de los datos o la restauración del acceso. Este tipo de ataque busca extorsionar a las víctimas, amenazando con la pérdida permanente o la divulgación de información sensible si no se realiza el pago. Los ransomware se propagan a menudo a través de correos electrónicos maliciosos, sitios web comprometidos o a través de vulnerabilidades en el software, y suelen tener un impacto significativo en la privacidad y la disponibilidad de los datos. La prevención, respaldos regulares y la concientización son clave para mitigar el riesgo asociado con el ransomware.

    ¿Quén es CISA?

    +

    CISA, que significa Agencia de Seguridad de Infraestructura y Ciberseguridad (Cybersecurity and Infrastructure Security Agency, en inglés), es una agencia del gobierno de Estados Unidos. Fue creada con el propósito de fortalecer la ciberseguridad y la seguridad de la infraestructura crítica del país.

    Funciones Principales:

    1. Ciberseguridad: CISA trabaja para prevenir y responder a amenazas cibernéticas, protegiendo los sistemas de información y la infraestructura crítica.
    2. Infraestructura Crítica: Se centra en la seguridad de sectores críticos como energía, comunicaciones, servicios financieros, salud, transporte, agua y servicios de emergencia.
    3. Coordinación y Colaboración: CISA colabora estrechamente con el sector público y privado, así como con otras agencias federales, para fortalecer la resiliencia cibernética y de infraestructura.
    4. Alertas y Orientación: Proporciona alertas tempranas, análisis de amenazas y orientación técnica para ayudar a las organizaciones a protegerse contra ciberataques.
    5. Respuesta a Incidentes: CISA lidera los esfuerzos nacionales de respuesta a incidentes cibernéticos, colaborando con socios para mitigar impactos y fortalecer la seguridad.
    6. Educación y Concientización: Desarrolla programas de educación y concientización para promover mejores prácticas de seguridad cibernética en todos los niveles.

    Importancia: Dada la creciente amenaza cibernética y la interconexión de la infraestructura crítica, CISA juega un papel crucial en la protección de los activos digitales y físicos de Estados Unidos, contribuyendo a la seguridad nacional y la resiliencia del país frente a las amenazas emergentes.

    ¿Qué es una VPN?

    +

    Una VPN, o Red Privada Virtual, es una tecnología que establece una conexión segura y cifrada sobre una red pública, como Internet, permitiendo a los usuarios acceder a recursos de forma remota como si estuvieran conectados localmente. Las VPNs ofrecen privacidad al ocultar la información de tráfico a terceros, así como seguridad al cifrar los datos transmitidos. Además, son utilizadas para acceder a contenido restringido geográficamente y para establecer conexiones seguras en entornos empresariales. En resumen, una VPN proporciona un túnel seguro para la transmisión de datos a través de redes no seguras, garantizando privacidad y seguridad.

    ¿Qué es Phishing Ético?

    +

    El Phishing Ético, también conocido como Phishing Test o Phishing Educativo, consiste en simular ataques controlados de ingeniería social, como correos de phishing, mensajes de smishing o llamadas de vishing. El propósito es evaluar la conciencia y preparación del equipo humano ante posibles ciberamenazas. En lugar de un ataque malicioso, expertos en ciberseguridad diseñan y ejecutan campañas simuladas para medir la capacidad de los usuarios para detectar y responder a fraudes. El enfoque se centra en evaluar respuestas y comportamientos para fortalecer la educación en ciberseguridad y evitar que los usuarios se conviertan en el eslabón más vulnerable de la organización en el futuro.

    ¿Qué es el Hacking Ético?

    +

    El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

    ¿Qué es un Red Team en Ciberseguridad?

    +

    Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

    ¿Qué es la Gestión de Vulnerabilidades?

    +

    La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

    1. Identificación de Vulnerabilidades
    2. Evaluación de Riesgos
    3. Priorización
    4. Mitigación y Solución
    5. Seguimiento Continuo
    6. Comunicación y Documentación
    7. Formación y Concienciación

    La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

    ¿Tienes dudas?, contáctanos

    Últimas publicaciones

    Captura de pantalla 2025 03 19 a las 9.54.56 a.m

    ClearFake infecta 9,300 sitios y usa falsos reCAPTCHA y Turnstile para distribuir info-stealers

    19/03/2025
    Captura de pantalla 2025 03 12 a las 10.06.10 a.m

    Microsoft corrige 57 vulnerabilidades de seguridad, incluidas 6 Zero-Days activamente explotadas

    12/03/2025
    Captura de pantalla 2025 03 03 a las 10.44.01 a.m

    Los Nuevos Grupos de Ransomware que Están Sacudiendo 2025

    03/03/2025

    Todas las Categorías