Los estafadores nunca pierden la oportunidad de ganar dinero rápido y les encanta aprovechar las últimas tendencias. Entonces, ¿qué mejor manera de iniciar la temporada de estafas que ofreciendo ofertas de Black Friday en uno de los productos más populares que existen: una taza Stanley?
Encontramos un anuncio en Facebook que ofrecía un Stanley Quencher por el módico precio de 19 dólares:
Anuncio de Facebook para Stanley Quenchers
Normalmente, estas tazas Stanley se venden por 45 dólares en Amazon. Son muy populares ya que, según se informa, mantienen las bebidas frías durante 11 horas y calientes durante siete horas. Incluso si tu auto se quema .
Al hacer clic en el anuncio, accederá a un sitio web turbio en el mejor de los casos donde podrá elegir entre Stanley.
Sitio web en el dominio d-sportinggoodsus[.]com
Sugerencia: mire el nombre de dominio. A Malwarebytes tampoco le gusta.
Los clientes de Malwarebytes están protegidos
Tanto el sitio como el procesador de pagos están registrados en Hong Kong y estarán felices de quedarse con su dinero sin hacer nada a cambio.
Para ganarse la confianza del comprador, los comentarios de Facebook están poblados por bots y/o cuentas comprometidas.
Comentarios de Facebook de personas que afirman haber recibido los productos.
Como siempre, utilice sus mejores sentidos arácnidos para detectar estafas como estas. Con esta estafa en particular, es probable que solo pierda el dinero que pagó a los estafadores, pero otras estafas pueden terminar en pérdidas mucho mayores .
¿Cómo se evitan los malos anuncios?
Probablemente tengas la URL que necesitas . A veces es más fácil buscar una marca que ingresar la URL completa, pero si va directamente allí, no verá ningún anuncio malo que se esconda en los resultados de su búsqueda.
Búsqueda cuidadosa . Si necesita buscar, haga una referencia cruzada de las URL que ve en los motores de búsqueda con una búsqueda propia. Si es legítimo, debería ver una gran cantidad de personas y empresas haciendo referencia a él.
Reportar anuncios malos . Si un anuncio patrocinado no sirve para nada, debería haber una manera de informarlo desde el motor de búsqueda o la plataforma de redes sociales en la que lo encontró. ¡Estás haciendo tu parte para ayudar a la próxima persona que venga a mantenerse a salvo!
La espinosa cuestión del bloqueo . Si elige bloquear anuncios, tenga en cuenta que la forma en que los bloquee puede afectar la funcionalidad del sitio en el que se encuentra. Algunos sitios insistirán en que desactive su bloqueador de anuncios. Es posible que otros simplemente ya no funcionen si utiliza el bloqueo de secuencias de comandos o desactiva JavaScript. No se trata tanto de “trabajo hecho”, sino de “trabajo que recién comienza”.
Recuerde, si es demasiado bueno para ser verdad, probablemente no lo sea y podría significar que alguien está tratando de engañarlo para que pague por algo que nunca obtendrá.
Una banda de ransomware presenta una queja ante la SEC sobre la víctima
Publicado: 17 de noviembre de 2023 por Pieter Arntz
En lo que parece ser un nuevo giro en el tema del ransomware, el notorio grupo de ransomware ALPHV/BlackCat ha presentado una queja ante la Comisión de Bolsa y Valores de EE. UU. (SEC) sobre la empresa de software MeridianLink.
ALPHV es uno de los operadores de ransomware como servicio (RaaS) más activos y aparece periódicamente en nuestras revisiones mensuales de ransomware . MeridianLink ofrece “soluciones de préstamos digitales” a bancos, cooperativas de crédito, fintechs y otras instituciones financieras.
Desde el 5 de septiembre de 2023, la SEC ha exigido a las empresas públicas que revelen en un plazo de cuatro días todas las violaciones de ciberseguridad que podrían afectar sus resultados. Aparentemente ALPHV está al tanto de las nuevas reglas y en esta captura de pantalla del formulario de queja de la SEC escribió:
“Queremos llamar su atención sobre un tema preocupante relacionado con el cumplimiento por parte de MeridianLink de las reglas de divulgación de incidentes de ciberseguridad adoptadas recientemente.
Nos ha llamado la atención que MeridianLink, a la luz de una violación significativa que compromete los datos del cliente y la información operativa, no ha presentado la divulgación requerida según el Artículo 1.05 del Formulario 8-K dentro de los cuatro días hábiles estipulados, según lo dispuesto por la nueva SEC. normas.»
El artículo al que se hace referencia (Formulario 8-K, artículo 1.05) establece:
“Los solicitantes de registro deben revelar cualquier incidente de ciberseguridad que experimenten y que se determine que es material, y describir los aspectos materiales de su:
– Naturaleza, alcance y oportunidad; y
– Impacto o impacto razonablemente probable.
Se debe presentar un Formulario 8-K del Artículo 1.05 dentro de los cuatro días hábiles posteriores a la determinación de que un incidente fue importante. Un solicitante de registro puede retrasar la presentación como se describe a continuación, si el Fiscal General de los Estados Unidos (“Fiscal General”) determina que la divulgación inmediata representaría un riesgo sustancial para la seguridad nacional o pública.
Los registrantes deben modificar un Formulario 8-K del Artículo 1.05 anterior para revelar cualquier información solicitada en el Artículo 1.05(a) que no se determinó o no estaba disponible en el momento de la presentación inicial del Formulario 8-K. “
Como puede ver, existen posibles excepciones y, por lo que sabemos, la investigación sobre la naturaleza y la gravedad de la violación de datos aún está en curso. O lejos de ser tan material como ALPHV quiere hacernos creer.
“Salvaguardar la información de nuestros clientes y socios es algo que nos tomamos en serio. MeridianLink identificó recientemente un incidente de ciberseguridad que tuvo lugar el 10 de noviembre. Al descubrirlo ese mismo día, actuamos de inmediato para contener la amenaza y contratamos a un equipo de expertos externos para investigar el incidente. Según nuestra investigación hasta la fecha, no hemos identificado evidencia de acceso no autorizado a nuestras plataformas de producción y el incidente ha causado una interrupción mínima del negocio.
No tenemos más detalles que ofrecer actualmente, ya que nuestra investigación está en curso”.
Al parecer, a los operadores de ransomware les gusta fingir que lo que están haciendo es su deber cívico. Este mosaico está publicado en la página de inicio del sitio de filtraciones de la pandilla.
Al hacer clic, encontramos la captura de pantalla del formulario y una declaración no explicativa de por qué completaron el formulario.
“A pesar de este requisito, MeridianLink no ha cumplido con esta obligación respecto al incumplimiento que experimentó hace una semana. Por lo tanto, hemos informado este incumplimiento por parte de MeridianLink, quien estuvo involucrado en una violación material que afectó los datos del cliente y la información operativa, por no presentar la divulgación requerida ante la Comisión de Bolsa y Valores (SEC). Parece que MeridianLink se comunicó, pero aún no hemos recibido un mensaje de su parte. Quizás fue su DFIR, Mandiant, quien lo hizo sin autorización de su cliente. Cualquiera que sea el motivo… le damos 24 horas antes de publicar los datos en su totalidad”.
Cualquiera que sea la razón detrás de la aparente decisión de MeridianLink de no reportar el ciberincidente (todavía), la acción tomada por ALPHV ciertamente es algo que no hemos visto antes. Puede ser una advertencia o un intento de obtener una influencia adicional. Sabiendo lo difícil que puede ser determinar el alcance de un ciberataque en tan solo unos días, podemos esperar que esto suceda con más frecuencia.
Cómo evitar el ransomware
Bloquear formas comunes de entrada. Cree un plan para reparar rápidamente las vulnerabilidades en los sistemas conectados a Internet; y deshabilite o refuerce el acceso remoto como RDP y VPN.
Prevenir intrusiones. Detenga las amenazas temprano, antes de que puedan infiltrarse o infectar sus puntos finales. Utilice software de seguridad para endpoints que pueda prevenir exploits y malware utilizados para distribuir ransomware.
Detectar intrusiones. Haga más difícil para los intrusos operar dentro de su organización segmentando las redes y asignando derechos de acceso con prudencia. Utilice EDR o MDR para detectar actividad inusual antes de que ocurra un ataque.
Detenga el cifrado malicioso. Implemente software de detección y respuesta de endpoints como Malwarebytes EDR , que utiliza múltiples técnicas de detección diferentes para identificar ransomware y reversión de ransomware para restaurar archivos del sistema dañados.
Cree copias de seguridad fuera del sitio y fuera de línea. Mantenga las copias de seguridad fuera del sitio y fuera del alcance de los atacantes. Pruébelos periódicamente para asegurarse de que puede restaurar rápidamente las funciones comerciales esenciales.
No te dejes atacar dos veces. Una vez que haya aislado el brote y haya detenido el primer ataque, debe eliminar todo rastro de los atacantes, su malware, sus herramientas y sus métodos de entrada, para evitar ser atacado nuevamente.
Este artículo se basa en una investigación de Marcelo Rivero, especialista en ransomware de Malwarebytes, que monitorea la información publicada por bandas de ransomware en sus sitios Dark Web. En este informe, los “ataques conocidos” son aquellos en los que la víctima no pagó un rescate. Esto proporciona la mejor imagen general de la actividad del ransomware, pero el número real de ataques es mucho mayor.
En octubre, se publicaron 318 nuevas víctimas en sitios de fuga de ransomware. Las principales pandillas activas fueron LockBit (64), NoEscape (40) y PLAY (36). Las principales historias del mes incluyeron el desmantelamiento de varios grupos de alto perfil, incluido el presunto atacante de Sony Systems, RansomedVC, nuevos datos que arrojan luz sobre el sesgo de Cl0p en el sector educativo y una inmersión profunda que revela el peligro del grupo detrás de los infames ataques a casinos de septiembre.
El mes pasado, tres importantes grupos de ransomware (RansomedVC, Ragnar y Trigona) fueron clausurados, los dos primeros por las fuerzas del orden y el tercero por hacktivistas ucranianos. Profundicemos en RansomedVC, un grupo que irrumpió en escena en agosto y rápidamente ganó notoriedad por supuestamente violar varias empresas conocidas. A finales de octubre, se vio en Telegram al principal hacker detrás del grupo intentando vender la operación. Apenas unos días después, la cuenta anunció que estaba “poniendo fin” al grupo después de enterarse de que seis de sus afiliados podrían haber sido arrestados. El grupo había publicado 42 víctimas en su sitio de filtración en el momento de su eliminación.
Si bien las autoridades aún no han confirmado los arrestos de RansomedVC, no ocurre lo mismo con el grupo RagnarLocker, que Europol y Eurojust anunciaron que habían desmantelado el mes pasado. RagnarLocker comenzó en 2019 y fue responsable de numerosos ataques de alto perfil contra municipios e infraestructuras críticas en todo el mundo. En el momento de la acción de eliminación, el grupo había publicado un total de 42 víctimas en su sitio de filtración.
La desaparición de Trigona, por otro lado, no fue a manos de investigadores sino de activistas, lo que destaca el impacto que las luchas geopolíticas más amplias pueden tener en el panorama del ransomware. A mediados de octubre, la Alianza Cibernética Ucraniana (UCA) violó el servidor de Trigona Confluence y eliminó y desfiguró por completo sus sitios. Formada alrededor de 2016 para defender el ciberespacio de Ucrania contra la interferencia rusa, la UCA utilizó un exploit público para CVE-2023-22515 para obtener acceso a la infraestructura de Trigona. Trigona es responsable de al menos 30 ataques en varios sectores desde que surgió por primera vez en octubre de 2022.
En otras noticias de octubre, Resilience, una compañía de seguros cibernéticos, informó que el 48% de todas las víctimas de ciberataques de MOVEit en su base de clientes durante el primer semestre de 2023 pertenecían al sector educativo. Esto sugiere una posible preferencia de orientación de la campaña Cl0p hacia las instituciones educativas. Sin embargo, es posible que esta cifra no represente plenamente la situación.
Por ejemplo, si Resilience tiene una mayor proporción de clientes en el sector educativo, podría sesgar los datos hacia ese sector. Por otro lado, los datos de Malwarebytes indican que, si bien el sector educativo comprende sólo el 3% de todos los hosts de MOVEit, representa el 6% de las víctimas. Sin embargo, es probable que esta tendencia no se deba a un enfoque deliberado por parte de Cl0p, cuyos ataques fueron de alcance más oportunista, sino más bien a que los sectores educativos a menudo tienen menos recursos para abordar rápidamente vulnerabilidades como las de MOVEit. Por tanto, el sesgo observado es más circunstancial que intencional. En cualquier caso, dado que el sector educativo depende con frecuencia de aplicaciones de terceros como MOVEit, el impacto de las actividades de Cl0p sirve como un claro recordatorio para que estas instituciones adopten las mejores prácticas sólidas de seguridad de terceros.
La profunda inmersión de Microsoft en Scattered Spider el mes pasado arrojó nueva luz sobre la banda de ransomware relativamente nueva, aunque peligrosa, que apareció en los titulares en septiembre por atacar a MGM Resorts y Caesar Entertainment . Para los equipos de seguridad pequeños, uno de los hallazgos más importantes sobre el grupo es el uso de técnicas Living Of The Land (LOTL) para evitar la detección : Scattered Spider emplea herramientas cotidianas como PowerShell para el reconocimiento y altera sigilosamente la configuración de la red para eludir las medidas de seguridad. También explotan a los proveedores de identidad y modifican los sistemas de seguridad, combinando sus actividades maliciosas con las operaciones normales de la red.
Con el éxito de grupos como Scattered Spider que dependen cada vez más de los ataques LOTL, es vital que los defensores se concentren en detectar actividades anómalas dentro de herramientas y configuraciones de red legítimas. Fortalecer las capacidades de monitoreo y análisis puede ayudar a identificar y contrarrestar las técnicas sutiles y sofisticadas empleadas por estas bandas de ransomware.