calendae.es
Open in
urlscan Pro
212.63.109.168
Public Scan
URL:
https://calendae.es/surge-la-amenaza-de-extorsion-karakurt-pero-dice-no-al-ransomware/
Submission: On December 11 via api from US — Scanned from DE
Submission: On December 11 via api from US — Scanned from DE
Form analysis
3 forms found in the DOMGET https://calendae.es/
<form role="search" method="get" class="search-form" action="https://calendae.es/">
<label>
<span class="screen-reader-text">Buscar:</span>
<input type="search" class="search-field" placeholder="Search…" value="" name="s">
</label>
<input type="submit" class="search-submit" value="Buscar">
<span class="suki-icon suki-search-icon" title="" aria-hidden="true"><svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 64 64" width="64" height="64">
<path d="M26,46.1a20,20,0,1,1,20-20A20,20,0,0,1,26,46.1ZM63.4,58.5,48.2,43.3a3.67,3.67,0,0,0-2-.8A26.7,26.7,0,0,0,52,26a26,26,0,1,0-9.6,20.2,4.64,4.64,0,0,0,.8,2L58.4,63.4a1.93,1.93,0,0,0,2.8,0l2.1-2.1A1.86,1.86,0,0,0,63.4,58.5Z"></path>
</svg></span>
</form>
POST https://calendae.es/wp-comments-post.php
<form action="https://calendae.es/wp-comments-post.php" method="post" id="commentform" class="comment-form" novalidate="">
<p class="comment-notes"><span id="email-notes">Tu dirección de correo electrónico no será publicada.</span> Los campos obligatorios están marcados con <span class="required">*</span></p>
<p class="comment-form-comment"><label for="comment">Comentario</label> <textarea id="comment" name="comment" cols="45" rows="8" maxlength="65525" required="required"></textarea></p>
<p class="comment-form-author"><label for="author">Nombre <span class="required">*</span></label> <input id="author" name="author" type="text" value="" size="30" maxlength="245" required="required"></p>
<p class="comment-form-email"><label for="email">Correo electrónico <span class="required">*</span></label> <input id="email" name="email" type="email" value="" size="30" maxlength="100" aria-describedby="email-notes" required="required"></p>
<p class="comment-form-url"><label for="url">Web</label> <input id="url" name="url" type="url" value="" size="30" maxlength="200"></p>
<p class="comment-form-cookies-consent"><input id="wp-comment-cookies-consent" name="wp-comment-cookies-consent" type="checkbox" value="yes"> <label for="wp-comment-cookies-consent">Guarda mi nombre, correo electrónico y web en este navegador para
la próxima vez que comente.</label></p>
<div class="g-recaptcha-wrap" style="padding:10px 0 10px 0">
<div class="g-recaptcha" data-sitekey="6LdyydcZAAAAAPlrYv9pOOHYOKbguVIM9YNrMvjC">
<div style="width: 304px; height: 78px;">
<div><iframe title="reCAPTCHA"
src="https://www.google.com/recaptcha/api2/anchor?ar=1&k=6LdyydcZAAAAAPlrYv9pOOHYOKbguVIM9YNrMvjC&co=aHR0cHM6Ly9jYWxlbmRhZS5lczo0NDM.&hl=de&v=rPvs0Nyx3sANE-ZHUN-0nM85&size=normal&cb=k1zao2595q5j" width="304"
height="78" role="presentation" name="a-k1c1mcf150w9" frameborder="0" scrolling="no" sandbox="allow-forms allow-popups allow-same-origin allow-scripts allow-top-navigation allow-modals allow-popups-to-escape-sandbox"></iframe></div>
<textarea id="g-recaptcha-response" name="g-recaptcha-response" class="g-recaptcha-response" style="width: 250px; height: 40px; border: 1px solid rgb(193, 193, 193); margin: 10px 25px; padding: 0px; resize: none; display: none;"></textarea>
</div><iframe style="display: none;"></iframe>
</div>
</div>
<p class="form-submit"><input name="submit" type="submit" id="submit" class="submit" value="Publicar el comentario"> <input type="hidden" name="comment_post_ID" value="20671" id="comment_post_ID">
<input type="hidden" name="comment_parent" id="comment_parent" value="0">
</p>
</form>
GET https://calendae.es/
<form role="search" method="get" class="search-form" action="https://calendae.es/">
<label>
<span class="screen-reader-text">Buscar:</span>
<input type="search" class="search-field" placeholder="Search…" value="" name="s">
</label>
<input type="submit" class="search-submit" value="Buscar">
<span class="suki-icon suki-search-icon" title="" aria-hidden="true"><svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 64 64" width="64" height="64">
<path d="M26,46.1a20,20,0,1,1,20-20A20,20,0,0,1,26,46.1ZM63.4,58.5,48.2,43.3a3.67,3.67,0,0,0-2-.8A26.7,26.7,0,0,0,52,26a26,26,0,1,0-9.6,20.2,4.64,4.64,0,0,0,.8,2L58.4,63.4a1.93,1.93,0,0,0,2.8,0l2.1-2.1A1.86,1.86,0,0,0,63.4,58.5Z"></path>
</svg></span>
</form>
Text Content
Skip to content Buscar: * Inicio * Informática * Electrónica * Ciberseguridad * WordPress Calendae | Informática, Electrónica, CMS, Ciberseguridad Calendae | Informática, Electrónica, CMS, Ciberseguridad * Inicio * Informática * Electrónica * Ciberseguridad * WordPress Calendae | Informática, Electrónica, CMS, Ciberseguridad Calendae | Informática, Electrónica, CMS, Ciberseguridad Mobile Menu SURGE LA AMENAZA DE EXTORSIÓN «KARAKURT», PERO DICE NO AL RANSOMWARE 10/12/2021 Hola otra vez. Yo soy Eduardo Arroyo y esta vez te voy a contar sobre Surge la amenaza de extorsión «Karakurt», pero dice no al ransomware Contenido ocultar 1 Surge la amenaza de extorsión «Karakurt», pero dice no al ransomware 1.1 No te olvides compartir en tu Facebook para que tus amigos lo flipen SURGE LA AMENAZA DE EXTORSIÓN «KARAKURT», PERO DICE NO AL RANSOMWARE El grupo de amenazas, identificado por primera vez en junio, se centra únicamente en la exfiltración de datos y la extorsión posterior, y ya ha atacado a 40 víctimas desde septiembre. Hay un nuevo grupo de amenazas con motivaciones financieras en aumento y, para variar, no parecen estar interesados en distribuir ransomware o eliminar objetivos de alto perfil. Los investigadores de Accenture Security siguieron a un grupo que se hacía llamar «Karakurt», que significa «lobo negro» en turco y es el nombre de una araña venenosa que se encuentra en Europa del Este y Siberia. Karakurt se centra en la exfiltración de datos y la extorsión posterior, lo que le permite moverse rápidamente. De hecho, desde septiembre ya ha cobrado más de 40 víctimas, el 95 por ciento de ellas en Norteamérica y el resto en Europa. revelado en un informe lanzado el viernes. «El grupo de amenazas está motivado financieramente, de naturaleza oportunista y, hasta ahora, parece estar apuntando a empresas más pequeñas o subsidiarias corporativas sobre el enfoque alternativo para la caza mayor», escribieron en el informe. Los investigadores dijeron que esperan que Karakurt se convierta en algo así como un creador de tendencias y que en el futuro otros grupos dejarán de apuntar a grandes corporaciones o proveedores de infraestructura crítica con ransomware para adoptar un enfoque similar de exfiltración / extorsión. Esto se debe a que «permite una ejecución más rápida de los ataques y evita la interrupción intencional de las operaciones comerciales, pero aún así produce apalancamiento en términos de extorsión de datos», dijo el equipo de Accenture Cyber a Threatpost en un correo electrónico. Investigaciones, análisis forense y respuesta (CIFR) . Investigadores fuera de Accenture Security identificaron a Karakurt por primera vez en junio, cuando comenzó a configurar su infraestructura y sitios de fuga de datos, dijeron a Threatpost los investigadores de Accenture CIFR. Ese mes, el grupo registró los sitios karakurt.group y karakurt.tech; y creó el identificador de Twitter @karakurtlair en agosto. No mucho después, siguió el primer ataque exitoso del grupo. Las fuentes de recolección y el análisis de intrusión de Accenture Security identificaron a la primera víctima del grupo en septiembre; dos meses después, el grupo reveló a su víctima en el sitio web karakurt.group, dijeron los investigadores. Las tácticas, técnicas y procedimientos (TTP) de Karakurt para infiltrarse en las redes de víctimas, ganar persistencia, moverse hacia los lados y robar datos son similares a las de muchos actores de amenazas, y el grupo a menudo adopta un enfoque de «tierra viva». Según la superficie de ataque, los investigadores dicho, es decir, utilizando herramientas o funciones que ya existen en el entorno de destino. El grupo establece el inicio de sesión inicial utilizando credenciales VPN legítimas, aunque los investigadores dijeron que no está claro cómo obtienen esas credenciales. «Una posibilidad es la explotación de dispositivos VPN vulnerables, pero todos los casos incluyeron una aplicación de autenticación multifactor (MFA) inconsistente o ausente para las cuentas de usuario», escribieron en el informe. Para mantener la persistencia una vez que haya iniciado sesión en una red, Karakurt utiliza principalmente la construcción de servicios, el software de administración remota y la implementación de balizas de comando y control (C2) en entornos de víctimas usando Cobalt Strike. Sin embargo, recientemente el grupo parece haber cambiado de táctica al implementar la persistencia de respaldo, anotaron los investigadores. En lugar de implementar Cobalt Strike, Karakurt «persistió dentro de la red de la víctima a través del grupo de IP VPN o instaló AnyDesk para permitir el acceso remoto externo a los dispositivos comprometidos», escribieron. Esto permite que el grupo aproveche las credenciales de usuario, servicio y administrador obtenidas previamente para navegar hacia los lados. El grupo también utilizará otras herramientas de administración remota, protocolo de escritorio remoto (RDP), Cobalt Strike y comandos de PowerShell para navegar hacia los lados y descubrir datos relevantes para robar y usar con fines de extorsión según sea necesario, dijeron los investigadores. Si Karakurt no puede elevar los privilegios usando credenciales, recurren a Mimikatz o PowerShell para hacerlo, pero solo si es necesario, anotaron los investigadores. En general, el vector de ataque del grupo hasta ahora muestra que es lo suficientemente ágil como para modificar sus tácticas dependiendo del entorno de la víctima, dijeron los investigadores a Threatpost. Y debido a que Karakurt a menudo usa credenciales válidas para iniciar sesión en las redes, en muchos casos puede evadir la detección. Finalmente, para robar los datos, Karakurt usa 7zip y WinZip para la compresión, así como Rclone o FileZilla (SFTP) para la puesta en escena y la exfiltración final en el almacenamiento en la nube de Mega.io. Según Accenture Security, los directorios de prueba utilizados para exfiltrar datos en los ataques fueron C: Perflogs y C: Recovery. Los investigadores han brindado consejos de mitigación típicos a las organizaciones para evitar verse comprometidos y extorsionados por Karakurt, quien se comunicará con las empresas varias veces para presionarlas para que paguen una vez que se tomen sus datos. Las organizaciones deben mantener las mejores prácticas, como parchear todos los sistemas, especialmente los que están conectados a Internet; actualización de software antivirus; implementar políticas estrictas de salida de la red; y el uso de listas blancas de aplicaciones siempre que sea posible para protegerse, aconsejaron los investigadores. Dada la tendencia del grupo a utilizar credenciales válidas, las organizaciones también deben hacer que las contraseñas sean lo más complejas posible, así como utilizar MFA siempre que sea posible. Además, solo deben usar cuentas de administrador para fines administrativos válidos y nunca conectarse a la red o navegar por Internet, y también deben aplicarlas con MFA multiplataforma, recomendaron los investigadores. También se recomienda que se busquen los TTP de los atacantes, incluidas las técnicas comunes de vida en la superficie que utiliza Karakurt, para detectar, responder y mitigar ataques de manera proactiva. . NO TE OLVIDES COMPARTIR EN TU FACEBOOK PARA QUE TUS AMIGOS LO FLIPEN ??? ? ? ??? Comparte IntimidadSeguridad móvilSeguridad webSoftware maliciosoTrucosVulnerabilidad Publicado en Ciberseguridad TE PUEDE INTERESAR LEER... * EL «ESPANTOSO» FRAUDE EN EL LUGAR DE TRABAJO DE RIOT GAMES TIENE COMO OBJETIVO LAS BILLETERAS 10/12/2021 * ZERO DAY EN LA OMNIPRESENTE HERRAMIENTA APACHE LOG4J BAJO ATAQUE ACTIVO 10/12/2021 * UN GRAN ATAQUE ACTIVO TIENE COMO OBJETIVO APODERARSE DE MÁS DE 1,6 MILLONES DE SITIOS DE WORDPRESS 10/12/2021 NAVEGACIÓN DE ENTRADAS Detener el ransomware canadiense es una flexibilidad significativa, dicen los expertos » « Un gran ataque activo tiene como objetivo apoderarse de más de 1,6 millones de sitios de WordPress DEJA UNA RESPUESTA CANCELAR LA RESPUESTA Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con * Comentario Nombre * Correo electrónico * Web Guarda mi nombre, correo electrónico y web en este navegador para la próxima vez que comente. Buscar: ÚLTIMOS ARTÍCULOS * El «espantoso» fraude en el lugar de trabajo de Riot Games tiene como objetivo las billeteras * Zero Day en la omnipresente herramienta Apache Log4j bajo ataque activo * Un gran ataque activo tiene como objetivo apoderarse de más de 1,6 millones de sitios de WordPress * Surge la amenaza de extorsión «Karakurt», pero dice no al ransomware * Detener el ransomware canadiense es una flexibilidad significativa, dicen los expertos CIBERSEGURIDAD * El «espantoso» fraude en el lugar de trabajo de Riot Games tiene como objetivo las billeteras 10/12/2021 * Zero Day en la omnipresente herramienta Apache Log4j bajo ataque activo 10/12/2021 * Un gran ataque activo tiene como objetivo apoderarse de más de 1,6 millones de sitios de WordPress 10/12/2021 * Surge la amenaza de extorsión «Karakurt», pero dice no al ransomware 10/12/2021 * Detener el ransomware canadiense es una flexibilidad significativa, dicen los expertos 09/12/2021 WORDPRESS * Convierta el tráfico en clientes potenciales con WP Guidant 09/12/2021 * Cómo compartir automáticamente publicaciones de WordPress 15/11/2021 * Cómo eliminar JS y CSS que bloquean la representación para mejorar la velocidad del sitio 09/11/2021 * 6 consejos para optimizar su sitio Elementor 26/10/2021 * Boletines informativos intuitivos con AcyMailing para WordPress 18/10/2021 Copyright © 2021 Calendae | Informática, Electrónica, CMS, Ciberseguridad