calendae.es Open in urlscan Pro
212.63.109.168  Public Scan

Form analysis
3 forms found in the DOM

GET https://calendae.es/

<form role="search" method="get" class="search-form" action="https://calendae.es/">
  <label>
    <span class="screen-reader-text">Buscar:</span>
    <input type="search" class="search-field" placeholder="Search…" value="" name="s">
  </label>
  <input type="submit" class="search-submit" value="Buscar">
  <span class="suki-icon suki-search-icon" title="" aria-hidden="true"><svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 64 64" width="64" height="64">
      <path d="M26,46.1a20,20,0,1,1,20-20A20,20,0,0,1,26,46.1ZM63.4,58.5,48.2,43.3a3.67,3.67,0,0,0-2-.8A26.7,26.7,0,0,0,52,26a26,26,0,1,0-9.6,20.2,4.64,4.64,0,0,0,.8,2L58.4,63.4a1.93,1.93,0,0,0,2.8,0l2.1-2.1A1.86,1.86,0,0,0,63.4,58.5Z"></path>
    </svg></span>
</form>

POST https://calendae.es/wp-comments-post.php

<form action="https://calendae.es/wp-comments-post.php" method="post" id="commentform" class="comment-form" novalidate="">
  <p class="comment-notes"><span id="email-notes">Tu dirección de correo electrónico no será publicada.</span> Los campos obligatorios están marcados con <span class="required">*</span></p>
  <p class="comment-form-comment"><label for="comment">Comentario</label> <textarea id="comment" name="comment" cols="45" rows="8" maxlength="65525" required="required"></textarea></p>
  <p class="comment-form-author"><label for="author">Nombre <span class="required">*</span></label> <input id="author" name="author" type="text" value="" size="30" maxlength="245" required="required"></p>
  <p class="comment-form-email"><label for="email">Correo electrónico <span class="required">*</span></label> <input id="email" name="email" type="email" value="" size="30" maxlength="100" aria-describedby="email-notes" required="required"></p>
  <p class="comment-form-url"><label for="url">Web</label> <input id="url" name="url" type="url" value="" size="30" maxlength="200"></p>
  <p class="comment-form-cookies-consent"><input id="wp-comment-cookies-consent" name="wp-comment-cookies-consent" type="checkbox" value="yes"> <label for="wp-comment-cookies-consent">Guarda mi nombre, correo electrónico y web en este navegador para
      la próxima vez que comente.</label></p>
  <div class="g-recaptcha-wrap" style="padding:10px 0 10px 0">
    <div class="g-recaptcha" data-sitekey="6LdyydcZAAAAAPlrYv9pOOHYOKbguVIM9YNrMvjC">
      <div style="width: 304px; height: 78px;">
        <div><iframe title="reCAPTCHA"
            src="https://www.google.com/recaptcha/api2/anchor?ar=1&amp;k=6LdyydcZAAAAAPlrYv9pOOHYOKbguVIM9YNrMvjC&amp;co=aHR0cHM6Ly9jYWxlbmRhZS5lczo0NDM.&amp;hl=de&amp;v=rPvs0Nyx3sANE-ZHUN-0nM85&amp;size=normal&amp;cb=k1zao2595q5j" width="304"
            height="78" role="presentation" name="a-k1c1mcf150w9" frameborder="0" scrolling="no" sandbox="allow-forms allow-popups allow-same-origin allow-scripts allow-top-navigation allow-modals allow-popups-to-escape-sandbox"></iframe></div>
        <textarea id="g-recaptcha-response" name="g-recaptcha-response" class="g-recaptcha-response" style="width: 250px; height: 40px; border: 1px solid rgb(193, 193, 193); margin: 10px 25px; padding: 0px; resize: none; display: none;"></textarea>
      </div><iframe style="display: none;"></iframe>
    </div>
  </div>
  <p class="form-submit"><input name="submit" type="submit" id="submit" class="submit" value="Publicar el comentario"> <input type="hidden" name="comment_post_ID" value="20671" id="comment_post_ID">
    <input type="hidden" name="comment_parent" id="comment_parent" value="0">
  </p>
</form>

GET https://calendae.es/

<form role="search" method="get" class="search-form" action="https://calendae.es/">
  <label>
    <span class="screen-reader-text">Buscar:</span>
    <input type="search" class="search-field" placeholder="Search…" value="" name="s">
  </label>
  <input type="submit" class="search-submit" value="Buscar">
  <span class="suki-icon suki-search-icon" title="" aria-hidden="true"><svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 64 64" width="64" height="64">
      <path d="M26,46.1a20,20,0,1,1,20-20A20,20,0,0,1,26,46.1ZM63.4,58.5,48.2,43.3a3.67,3.67,0,0,0-2-.8A26.7,26.7,0,0,0,52,26a26,26,0,1,0-9.6,20.2,4.64,4.64,0,0,0,.8,2L58.4,63.4a1.93,1.93,0,0,0,2.8,0l2.1-2.1A1.86,1.86,0,0,0,63.4,58.5Z"></path>
    </svg></span>
</form>

Text Content

Skip to content
Buscar:
 * Inicio
 * Informática
 * Electrónica
 * Ciberseguridad
 * WordPress

Calendae | Informática, Electrónica, CMS, Ciberseguridad Calendae | Informática,
Electrónica, CMS, Ciberseguridad


 * Inicio
 * Informática
 * Electrónica
 * Ciberseguridad
 * WordPress


Calendae | Informática, Electrónica, CMS, Ciberseguridad Calendae | Informática,
Electrónica, CMS, Ciberseguridad

Mobile Menu


SURGE LA AMENAZA DE EXTORSIÓN «KARAKURT», PERO DICE NO AL RANSOMWARE

10/12/2021

Hola otra vez. Yo soy Eduardo Arroyo y esta vez te voy a contar sobre Surge la
amenaza de extorsión «Karakurt», pero dice no al ransomware

Contenido ocultar
1 Surge la amenaza de extorsión «Karakurt», pero dice no al ransomware
1.1 No te olvides compartir en tu Facebook para que tus amigos lo flipen




SURGE LA AMENAZA DE EXTORSIÓN «KARAKURT», PERO DICE NO AL RANSOMWARE

El grupo de amenazas, identificado por primera vez en junio, se centra
únicamente en la exfiltración de datos y la extorsión posterior, y ya ha atacado
a 40 víctimas desde septiembre.

Hay un nuevo grupo de amenazas con motivaciones financieras en aumento y, para
variar, no parecen estar interesados en distribuir ransomware o eliminar
objetivos de alto perfil.

Los investigadores de Accenture Security siguieron a un grupo que se hacía
llamar «Karakurt», que significa «lobo negro» en turco y es el nombre de una
araña venenosa que se encuentra en Europa del Este y Siberia.

Karakurt se centra en la exfiltración de datos y la extorsión posterior, lo que
le permite moverse rápidamente. De hecho, desde septiembre ya ha cobrado más de
40 víctimas, el 95 por ciento de ellas en Norteamérica y el resto en Europa.
revelado en un informe lanzado el viernes.

«El grupo de amenazas está motivado financieramente, de naturaleza oportunista
y, hasta ahora, parece estar apuntando a empresas más pequeñas o subsidiarias
corporativas sobre el enfoque alternativo para la caza mayor», escribieron en el
informe.

Los investigadores dijeron que esperan que Karakurt se convierta en algo así
como un creador de tendencias y que en el futuro otros grupos dejarán de apuntar
a grandes corporaciones o proveedores de infraestructura crítica con ransomware
para adoptar un enfoque similar de exfiltración / extorsión.

Esto se debe a que «permite una ejecución más rápida de los ataques y evita la
interrupción intencional de las operaciones comerciales, pero aún así produce
apalancamiento en términos de extorsión de datos», dijo el equipo de Accenture
Cyber a Threatpost en un correo electrónico. Investigaciones, análisis forense y
respuesta (CIFR) .




Investigadores fuera de Accenture Security identificaron a Karakurt por primera
vez en junio, cuando comenzó a configurar su infraestructura y sitios de fuga de
datos, dijeron a Threatpost los investigadores de Accenture CIFR. Ese mes, el
grupo registró los sitios karakurt.group y karakurt.tech; y creó el
identificador de Twitter @karakurtlair en agosto. No mucho después, siguió el
primer ataque exitoso del grupo.

Las fuentes de recolección y el análisis de intrusión de Accenture Security
identificaron a la primera víctima del grupo en septiembre; dos meses después,
el grupo reveló a su víctima en el sitio web karakurt.group, dijeron los
investigadores.

Las tácticas, técnicas y procedimientos (TTP) de Karakurt para infiltrarse en
las redes de víctimas, ganar persistencia, moverse hacia los lados y robar datos
son similares a las de muchos actores de amenazas, y el grupo a menudo adopta un
enfoque de «tierra viva». Según la superficie de ataque, los investigadores
dicho, es decir, utilizando herramientas o funciones que ya existen en el
entorno de destino.

El grupo establece el inicio de sesión inicial utilizando credenciales VPN
legítimas, aunque los investigadores dijeron que no está claro cómo obtienen
esas credenciales. «Una posibilidad es la explotación de dispositivos VPN
vulnerables, pero todos los casos incluyeron una aplicación de autenticación
multifactor (MFA) inconsistente o ausente para las cuentas de usuario»,
escribieron en el informe.




Para mantener la persistencia una vez que haya iniciado sesión en una red,
Karakurt utiliza principalmente la construcción de servicios, el software de
administración remota y la implementación de balizas de comando y control (C2)
en entornos de víctimas usando Cobalt Strike.

Sin embargo, recientemente el grupo parece haber cambiado de táctica al
implementar la persistencia de respaldo, anotaron los investigadores. En lugar
de implementar Cobalt Strike, Karakurt «persistió dentro de la red de la víctima
a través del grupo de IP VPN o instaló AnyDesk para permitir el acceso remoto
externo a los dispositivos comprometidos», escribieron. Esto permite que el
grupo aproveche las credenciales de usuario, servicio y administrador obtenidas
previamente para navegar hacia los lados.

El grupo también utilizará otras herramientas de administración remota,
protocolo de escritorio remoto (RDP), Cobalt Strike y comandos de PowerShell
para navegar hacia los lados y descubrir datos relevantes para robar y usar con
fines de extorsión según sea necesario, dijeron los investigadores.

Si Karakurt no puede elevar los privilegios usando credenciales, recurren a
Mimikatz o PowerShell para hacerlo, pero solo si es necesario, anotaron los
investigadores.

En general, el vector de ataque del grupo hasta ahora muestra que es lo
suficientemente ágil como para modificar sus tácticas dependiendo del entorno de
la víctima, dijeron los investigadores a Threatpost. Y debido a que Karakurt a
menudo usa credenciales válidas para iniciar sesión en las redes, en muchos
casos puede evadir la detección.

Finalmente, para robar los datos, Karakurt usa 7zip y WinZip para la compresión,
así como Rclone o FileZilla (SFTP) para la puesta en escena y la exfiltración
final en el almacenamiento en la nube de Mega.io. Según Accenture Security, los
directorios de prueba utilizados para exfiltrar datos en los ataques fueron C:
Perflogs y C: Recovery.




Los investigadores han brindado consejos de mitigación típicos a las
organizaciones para evitar verse comprometidos y extorsionados por Karakurt,
quien se comunicará con las empresas varias veces para presionarlas para que
paguen una vez que se tomen sus datos.

Las organizaciones deben mantener las mejores prácticas, como parchear todos los
sistemas, especialmente los que están conectados a Internet; actualización de
software antivirus; implementar políticas estrictas de salida de la red; y el
uso de listas blancas de aplicaciones siempre que sea posible para protegerse,
aconsejaron los investigadores.

Dada la tendencia del grupo a utilizar credenciales válidas, las organizaciones
también deben hacer que las contraseñas sean lo más complejas posible, así como
utilizar MFA siempre que sea posible.

Además, solo deben usar cuentas de administrador para fines administrativos
válidos y nunca conectarse a la red o navegar por Internet, y también deben
aplicarlas con MFA multiplataforma, recomendaron los investigadores.

También se recomienda que se busquen los TTP de los atacantes, incluidas las
técnicas comunes de vida en la superficie que utiliza Karakurt, para detectar,
responder y mitigar ataques de manera proactiva.

.



NO TE OLVIDES COMPARTIR EN TU FACEBOOK PARA QUE TUS AMIGOS LO FLIPEN

??? ? ? ???

Comparte

IntimidadSeguridad móvilSeguridad webSoftware maliciosoTrucosVulnerabilidad
Publicado en Ciberseguridad


TE PUEDE INTERESAR LEER...


 * EL «ESPANTOSO» FRAUDE EN EL LUGAR DE TRABAJO DE RIOT GAMES TIENE COMO
   OBJETIVO LAS BILLETERAS
   
   10/12/2021


 * ZERO DAY EN LA OMNIPRESENTE HERRAMIENTA APACHE LOG4J BAJO ATAQUE ACTIVO
   
   10/12/2021


 * UN GRAN ATAQUE ACTIVO TIENE COMO OBJETIVO APODERARSE DE MÁS DE 1,6 MILLONES
   DE SITIOS DE WORDPRESS
   
   10/12/2021


NAVEGACIÓN DE ENTRADAS

Detener el ransomware canadiense es una flexibilidad significativa, dicen los
expertos »
« Un gran ataque activo tiene como objetivo apoderarse de más de 1,6 millones de
sitios de WordPress


DEJA UNA RESPUESTA CANCELAR LA RESPUESTA

Tu dirección de correo electrónico no será publicada. Los campos obligatorios
están marcados con *

Comentario

Nombre *

Correo electrónico *

Web

Guarda mi nombre, correo electrónico y web en este navegador para la próxima vez
que comente.





Buscar:


ÚLTIMOS ARTÍCULOS

 * El «espantoso» fraude en el lugar de trabajo de Riot Games tiene como
   objetivo las billeteras
 * Zero Day en la omnipresente herramienta Apache Log4j bajo ataque activo
 * Un gran ataque activo tiene como objetivo apoderarse de más de 1,6 millones
   de sitios de WordPress
 * Surge la amenaza de extorsión «Karakurt», pero dice no al ransomware
 * Detener el ransomware canadiense es una flexibilidad significativa, dicen los
   expertos




CIBERSEGURIDAD

 * El «espantoso» fraude en el lugar de trabajo de Riot Games tiene como
   objetivo las billeteras 10/12/2021
 * Zero Day en la omnipresente herramienta Apache Log4j bajo ataque activo
   10/12/2021
 * Un gran ataque activo tiene como objetivo apoderarse de más de 1,6 millones
   de sitios de WordPress 10/12/2021
 * Surge la amenaza de extorsión «Karakurt», pero dice no al ransomware
   10/12/2021
 * Detener el ransomware canadiense es una flexibilidad significativa, dicen los
   expertos 09/12/2021




WORDPRESS

 * Convierta el tráfico en clientes potenciales con WP Guidant 09/12/2021
 * Cómo compartir automáticamente publicaciones de WordPress 15/11/2021
 * Cómo eliminar JS y CSS que bloquean la representación para mejorar la
   velocidad del sitio 09/11/2021
 * 6 consejos para optimizar su sitio Elementor 26/10/2021
 * Boletines informativos intuitivos con AcyMailing para WordPress 18/10/2021


Copyright © 2021 Calendae | Informática, Electrónica, CMS, Ciberseguridad