Lockbit, que es una reconocida banda de ataques ransomware, se ha "disculpado formalmente" por el ataque lanzado contra el mayor hospital infantil de toda Canadá y ha ofrecido de forma gratis la solución para recuperar los archivos secuestrados en el ataque.

El Hospital para Niños Enfermos de Toronto (SickKids) sufrió un incidente de ciberseguridad de "código gris" que afectó a varios sistemas de su red el pasado 18 de diciembre. El hospital comenzó una investigación al día siguiente, pero la recuperación iba lenta. A 1 de enero, SickKids había restaurado más del 60% de sus "sistemas prioritarios", según información del propio hospital.

En Genbeta

Malware, virus, gusanos, spyware, troyanos, ransomware...: estas son sus principales diferencias

Ahora, Lockbit ha ofrecido la solución y tiene una excusa: han culpado a un grupo afiliado y dicen haberlos bloqueado de su programa de grupos asociados porque "violó nuestras reglas" al atacar un hospital centrado en la cura de niños y niñas.

Lockbit y sus grandes capacidades

La banda LockBit existe desde 2019, que se sepa, desplegando su malware contra objetivos de alto perfil en múltiples naciones. Según los fiscales estadounidenses, esta cepa de ransomware se ha desplegado contra más de 1.000 organizaciones, y los miembros de la banda se han lucrado con "decenas de millones" de dólares en pagos en concepto de rescates.

El hospital de Canadá ha publicado que ha contratado a expertos para validar y evaluar el uso del descifrador que Lockbit ha ofrecido. Dicen desde SickKids que ningún dato personal o información de salud se ha visto afectado.

En Genbeta

Un ataque ransomware causa estragos en el hospital más importante de Asturias: obliga a posponer citas y a reinstalar el software

No es la primera vez que ataca a hospitales. Brett Callow, analista de amenazas de Emsisoft, recordó que "LockBit no fue tan caritativo al exigir 10.000 dólares a un hospital de un país de bajos ingresos ni al tratar con un hospital francés" y cree que, en vez de compasión en este caso "sus acciones aquí estar más relacionadas con la autopreservación".  

Recientemente se ha conocido de un ciberataque contra el Departamento de Finanzas de California y hace poco LockBit afirmó haber robado más de 15 TB de datos de la Autoridad de Vivienda de la Ciudad de Los Ángeles (HACLA), y amenazó con liberar los archivos si la agencia de vivienda asequible no pagaba el rescate.

Los usuarios que han descargados las llamadas "nightly builds" de las librerías del paquete PyTorch entre el 25 de diciembre de 2022 y el 30 de diciembre de 2022 deberían desinstalarlas y descargar las últimas versiones, según han recomendado las personas encargadas del mantenimiento de estas librerías que hablan de un ataque de "confusión de dependencias".

"Los paquetes PyTorch-nightly Linux instalados a durante ese tiempo instalaron una dependencia, de nombre torchtriton, que se vio comprometida en el repositorio de código Python Package Index (PyPI) y ejecutó un binario malicioso", dijo el equipo de PyTorch en una alerta.

En Genbeta

PyTorch pasa a formar parte de la Fundación Linux: el framework creado por Meta para el desarrollo de la IA cambia de manos

PyTorch es un marco de aprendizaje automático de código abierto basado en Python que fue desarrollado originalmente por Meta Platforms. El equipo de PyTorch se enteró del ataque en noche del 30 de diciembre. El ataque a la cadena de suministro consistió en subir la copia con malware de una dependencia legítima llamada torchtriton al repositorio de código Python Package Index (PyPI).

Cómo fue este ataque

Hay que recordar que expertos en seguridad hablan de que los ataques a la cadena de suministro, como los vividos en el caso de Solarwinds pueden convertirse en fuerte tendencia por ser muy eficientes. Un tipo de malware que “aumentará para llegar de una forma rápida a muchas infraestructuras que están altamente protegidas en el perímetro”.

Cuando hablamos de ataques a la cadena de suministro es porque los atacantes comprometen la seguridad de un tercero y consiguen con ello infiltrarse en compañías y entidades que usan sus servicios.

La versión fraudulenta, según la información que se conoce, está diseñada para filtrar información del sistema, incluidas variables de entorno, el directorio de trabajo actual y el nombre de host, además de acceder a archivos como contraseñas.

Qué han hecho para solventar el problema

Como mitigación, se ha eliminado torchtriton como dependencia y se ha sustituido por pytorch-triton. Un mensaje en la página de PyPI para torchtriton dice que "puedes obtener el verdadero torchtriton en https://download.pytorch[.]org/whl/nightly/torchtriton/".

En Genbeta

La nueva versión de Python reduce casi a la mitad el consumo de CPU: las implicaciones energéticas son enormes

Para evitar que este mismo ataque vuelva a llevarse a cabo, también se ha registrado un paquete ficticio en PyPI como marcador de posición.

Según las fuentes oficiales el siguiente comando busca el binario malicioso en el paquete torchtriton (PYTHON_SITE_PACKAGES/triton/runtime/triton) para comprobar si tu entorno Python actual está afectado o no.

Recientemente, China podría haber sufrido el mayor ataque informático de su historia. Así lo confiesan fuentes de Bloomberg, donde se afirma que se han robado hasta 23 terabytes de información personal de los residentes en dicho país. Los ciberdelincuentes habrían entrado en los sistemas de la policía de Shanghái.

Todo apunta a que el ataque informático habría sido efectuado por el grupo ChinaDan. La información contenía nombres, domicilios, documentos de identidad, números de teléfono, e información de casos penales de unos mil millones de habitantes en Shanghái. Según las fuentes, los datos aparecieron en un foro de la Dark Web, donde se vendían por 10 bitcoins, unos 190.000 euros aproximadamente.

Los datos de miles de millones de residentes habrían sido comprometidos

Este robo de información permitiría a multitud de ciberdelincuentes a actuar en base a los datos obtenidos, pudiendo ejecutar todo tipo de maniobras fraudulentas. Dada la magnitud de la información robada, prácticamente toda una nación se vería afectada ante este incidente, pudiendo ser víctimas de ataques que van desde suplantación de identidad (phishing) hasta SIM swapping, pasando por dejar expuestos otros datos personales de las víctimas.

En Genbeta

Así es como un ciberataque ha llevado a declarar emergencia nacional en uno de los países más pácificos del mundo

Por el momento, aún no se ha podido confirmar la veracidad del robo, pues ChinaDan, no ha ofrecido ninguna muestra de la información extraída, a diferencia de otros grupos como Lapsus$, quienes han dado algún que otro quebradero de cabeza a multitud de empresas en los últimos meses. La única prueba del robo es una pequeña captura de pantalla en la que se ven diferentes archivos supuestamente extraídos de la Policía de Shanghái.

Las autoridades permanecen en silencio

Ninguna de las autoridades del país ha confirmado todavía el ataque. Tampoco lo ha hecho la Administración del Ciberespacio de China, quien está encargada de "supervisar" el internet del país. Esto no es extraño, pues reconocer públicamente las filtraciones de datos no es una práctica común en China, o al menos eso es lo que hemos aprendido en los últimos años.

En 2020 por ejemplo, Weibo, el foro más importante de China, Weibo aseguró haber sido víctima de una filtración de datos de más de 538 millones de sus usuarios, pero las autoridades decidieron permanecer en silencio.

El supuesto ataque de ChinaDan se correspondería con lo confirmado por el CEO de Binance, Changpeng Zhao, quien dijo este lunes que la división de su compañía encargada de prevenir amenazas de seguridad informática había detectado la venta de datos de 1.000 millones de residentes de "un país asiático" en la Dark Web. Si bien no comentó más detalles, todo indica a que tendría que ver con el mencionado ataque.

Our threat intelligence detected 1 billion resident records for sell in the dark web, including name, address, national id, mobile, police and medical records from one asian country. Likely due to a bug in an Elastic Search deployment by a gov agency. This has impact on ...

— CZ 🔶 Binance (@cz_binance) July 3, 2022

Otra posibilidad, y que también menciona Zhao, es que la detección podría haber sido un "error en una implementación de Elastic Search por parte de una agencia gubernamental". Elastic Search es un servidor de búsqueda de código abierto desarrollado en Java que es utilizado por muchas aplicaciones web de todo el mundo.

Al haber tan poca información sobre el ataque, tendremos que permanecer a la espera hasta conocer más detalles al respecto, ya que aún no se ha descubierto cómo habrían vulnerado los sistemas de las autoridades de Shanghái. De ser cierto, estaríamos hablando del mayor ataque informático en la historia del país.

Se ha descubierto una forma de malware que ataca activamente a los routers de pequeñas oficinas y hogares en Europa y Norteamérica. Es decir, a modelos de routers SOHO. Entre los países donde ya ha atacado se encuentra España, de acuerdo con los investigadores de Lumen Technologies Inc.'s Black Lotus Labs. El malware ha sido bautizado como ZuoRAT.

El malware se describe como un troyano de acceso remoto de varias etapas y se cree que ha estado activo desde 2020. El malware permite a los hackers acceder a la red local y a otros sistemas de la red de área local mediante el secuestro de las comunicaciones.

Los expertos creen que la razón por la que los routers SOHO están en el punto de mira es por el aumento del trabajo remoto tras la pandemia. "Permite aprovechar esta oportunidad" frente a la postura tradicional de que las organizaciones bien establecidas sí se protegían bien, es lo que han explicado. SOHO significa Conectividad Small Office, Home Office (SOHO) y se refiere a los routers utilizados en los hogares que conectan a un servicio de banda ancha y, por tanto, puede ser usado por los teletrabajadores.

Es decir, según los expertos, estos hackers están aprovechando que, desde casa, los teletrabajadores no contamos con un despligue tan securizado como en las empresas y, por eso, este tipo de routeres podrían ser el principal objetivo.

Objetivo de routers caseros

Imagen de la firma investigadora

El hackeo de routers no es una novedad, pero los investigadores consideran interesante que ZuoRAT también busque comprometer routers para oficinas domésticas. El uso de ataques "man-in-the-middle" dirigidos a los routers SOHO es aún más raro y sugiere que los que están detrás de ZuoRAT demuestran un alto nivel de sofisticación y son posiblemente una organización patrocinada por el Estado.

En Genbeta

Bossware, el software creado para controlar a los teletrabajadores, puede provocar una bajada de la productividad

Según describe Silicon Angle, "ZuoRAT es un archivo compilado para routers SOHO que puede enumerar un host y una LAN interna, capturar paquetes transmitidos a través del dispositivo infectado y realizar ataques man-in-the-middle, incluyendo el secuestro de DNS y HTTPS. Los datos capturados se envían entonces a un servidor de mando y control".

El firmware del SOHO normalmente no se construye teniendo en cuenta la máxima seguridad, ya que tradicionalmente no eran un gran vector de ataque, como han explicado desde Echelon LP. Por su parte, desde la empresa Netenrich Inc advierten que este tipo de routers carecen de características de seguridad robustas y nadie los administra activamente, por lo que nunca se parchean o endurecen.

Una universidad que abrió sus puertas en el año 1865 acaba de cerrar sus puertas por culpa de un ataque informático ransomware. El Lincoln College es un lugar representativo porque se fundó en el mismo año en que terminó la Guerra Civil estadounidense y la mayoría de sus estudiantes son negros. Ahora su plan es cerrar sus puertas a final de esta misma semana: 13 de mayo según se ha notificado al Departamento de Educación Superior de Illinois y a la Comisión de Aprendizaje Superior.

Los administradores del Lincoln College han echado la culpa a un ataque de ransomware, y es que dicen que obstaculizó las actividades de admisión y recaudación de fondos durante un período en el que la escuela ya tenía ciertos problemas causados por la pandemia.

Como la misma universidad ha explicado, el Lincoln College ha sobrevivido a muchas épocas difíciles como la crisis económica de 1887, un gran incendio en el campus en 1912, la gripe española de 1918, la Gran Depresión, la Segunda Guerra Mundial, la crisis financiera mundial de 2008 ... y sobre el problema actual tras el ataque informático ha dicho que "pero esto es diferente".

Así fue el ataque

El ataque de ransomware (que ocurrió en diciembre) encriptó datos importantes, dificultando a los administradores la gestión de sus "campañas de reclutamiento, retención y recaudación de fondos", escribieron los administradores en un comunicado publicado recientemente en el sitio web de la escuela.

En Genbeta

Ocho consejos para proteger tu PC frente a ransomware

"El Lincoln College fue víctima de un ciberataque en diciembre de 2021 que frustró las actividades de admisión y obstaculizó el acceso a todos los datos institucionales" y eso paralizó el proceso de inscripción respecto a la segunda mitad de 2022. Todos los sistemas necesarios para el reclutamiento, la retención y los esfuerzos de recaudación de fondos acabaron inoperables", según lo que explican los administradores.

"No puedes introducir las solicitudes de admisión en el sistema, no puedes reclutar estudiantes", explicó el presidente de Lincoln, David Gerlach, a EdScoop en abril, afirmando que el ataque dejó las actividades de admisión "fuera de servicio durante un mes y medio".

De un récord de estudiantes a un crowdfunding escaso

Los estudiantes de la universidad han participado en actividades de activismo y recaudación de fondos. Hubo un GoFundMe, con la esperanza de recaudar 20 millones de dólares. Sin embargo, hasta el lunes, la página solamente había recibido 19 donaciones, por un total de 1.252 dólares.

Cabe decir que la institución experimentó un récord de inscripción de estudiantes en el otoño de 2019. La pandemia de coronavirus impactó los esfuerzos de reclutamiento y recaudación de fondos, los eventos deportivos y todas las actividades de la vida del campus.

Las cargas económicas iniciadas por la pandemia requirieron grandes inversiones en tecnología y medidas de seguridad en el campus y también se registró una caída significativa en la matrícula. El ataque de ransomware afectó mucho más a este problema, según sus administradores.

Coca Cola ha informado en un comunicado que está investigando el que podría ser un grave incidente de seguridad del que el gigante de las bebidas parece haber sido víctima. Según las informaciones publicadas, Stormous se ha atribuido el ataque.

Coca-Cola no ha confirmado que sus datos hayan sido robados. La compañía dijo a actualmente está colaborando con las fuerzas de seguridad y que la investigación sobre el supuesto ataque de Stormous no les ha traído problemas a sus sistemas por el momento.

En Genbeta

Ucrania pide desconectar a Rusia de Internet y anular los dominios .ru… pero eso sólo dañaría al ruso de a pie, no a su gobierno

Este mismo grupo dijo en el mes de marzo que había filtrado información de Epic Games y anunciando que su objetivo eran empresas y gobiernos "occidentales", aunque esta información sobre Epic Games no está confirmada de forma oficial.

Lo que se sabe hasta ahora es que Stormous es un grupo de hackers vinculados a Rusia y que estos ataques están relacionados con la ciberguerra que acompaña a la terrible guerra en Ucrania tras la invasión rusa. Esta fue una de las tantas empresas que decidió abandonar el mercado ruso tras la invasión, algo que hizo a comienzos de marzo.

Contraseñas y datos financieros a la venta

El grupo afirmó haber hackeado Coca-Cola y poner a la venta muchos datos: 161 gigabytes de datos financieros, contraseñas y cuentas.

Stormous dijo que consiguió acceder a los equipos de Coca-Cola y robar la información sin que la empresa se enterase. Coca-Cola dijo que ha iniciado una investigación urgente y que ya se ha puesto en contacto con la policía.

En Genbeta

Rusia lleva años trabajando en su cibersoberanía: el mundo quiere someter a Moscú a un apagón tecnológico pero no es tan fácil

El hackeo se produjo, al parecer, después de que el grupo publicara una encuesta en la que se preguntaba a qué empresa debía dirigirse. Coca-Cola fue la más votada, seguida de Mattel (la firma que fabrica a la famosa Barbie).

Cantidad que piden los hackers

Lo que resulta muy confuso en las imágenes filtradas por este grupo ruso es qué cantidad piden por la venta de estos datos robados. Si miras la imagen donde anuncian el robo y la venta de datos, las comas hacen confuso el precio. Parece que dice que conseguir esa valiosa información sería más de 1,6 millones de bitcoin o de 64 mil dólares, lo que son dos cifras dispares totalmente.

Hay medios que apuntan a que la petición es de 1.65 bitcoin, lo que hace esos 64 mil dólares. Es una diferencia de otros ataques del estilo, que suelen pedir cantidades astronómicas de dinero.

Desde el pasado viernes Andorra está sufriendo una oleada de ataques DDoS en su único proveedor de servicios; Andorra Telecom. Este ataque ha llamado especialmente la atención debido a que varios de los creadores de contenido más famosos de habla hispana residen allí, y se encuentran participando en una nueva serie de Minecraft en Twitch con temática de 'El juego del calamar'.

Estos continuos ataques han surgido mientras los streamers retransmitían desde Twitch, siendo finalmente imposible su continuidad en la serie. Desde el proveedor de servicios han ofrecido información acerca de estos ataques en Twitter, y si bien los servicios se han reestablecido, aún no existe solución definitiva ni certeza de que los ataques vayan a cesar.

Las desventajas de vivir en un lugar con un único proveedor de Internet

Andorra Telecom ha informado hace escasas horas de su último ataque, siendo tres en total desde el pasado viernes. Según el proveedor, está afectando a parte de sus clientes, y actualmente se encuentran mitigando el problema. En el panorama Twitch, esto ha significado la descalificación de los participantes de la serie que residen en el micro-Estado, para dar prioridad a la continuidad del evento.

En Xataka

Qué es un ataque DDoS y cómo puede afectarte

Para dar contexto a la situación, cabe recalcar que Andorra Telecom es el único proveedor de Internet de toda la región, monopolizando el acceso a la red. Los usuarios han expresado sus quejas en redes sociales, afirmando que, si quieren acceso a Internet, actualmente están 'obligados' a contratar los servicios que presta este proveedor. La situación evidencia la mala idea de escoger un lugar en el que sólo existe un único proveedor de Internet, sobre todo si tu trabajo depende de ello.

ℹ️ Confirmed: Internet disruption registered on #Andorra Telecom (AS6752) on Saturday evening; the incident is attributed by the state telco to a DDoS attack targeting the high-stakes #SquidCraftGames Minecraft Twitch competition, resulting in the elimination of Team Andorra 📉📈 pic.twitter.com/RCsJu2DYpH

— NetBlocks (@netblocks) January 23, 2022

El primer ataque tuvo lugar entre las 8 y las 9 de la noche del pasado viernes, pero no fue hasta las 10 cuando el proveedor publicaba en Twitter que efectivamente se trataba de un ataque DDoS. El servicio pareció haberse restablecido sobre las 10 y media de esa misma noche. Algo similar ocurrió sobre la misma hora del día siguiente. Y ayer domingo a última hora, Andorra Telecom detallaba que los ataques “buscaban perjudicar la programación de algunos youtubers” con un tercer ataque.

Los ataques no han afectado a la continuidad de los 'Squid Games'

Dejando de lado los ciberataques, la serie está teniendo una gran acogida, sobre todo por la organización que hay detrás. Comenzó el pasado miércoles, y 147 streamers se han tenido que hacer frente a una serie de pruebas basadas en la popular ficción de 'El juego del calamar' para hacerse con un premio de 100.000 dólares.

Los juegos comienzan cada día a las 20:00 CET, y duran unas dos horas aproximadamente. De todos los participantes solamente quedan 24, los cuales lucharán por alzarse con el premio en el último día del evento. Podemos seguir la retransmisión desde el punto de vista de cada uno de los streamers participantes en Twitch. 'elxokas', uno de los streamers españoles con más repercusión del momento y superviviente de estos juegos, alcanzaba un récord de espectadores de más de 280.000 en Twitch.

Varios streamers de la comunidad hispanohablante en Twitch iniciaron una nueva serie de Minecraft con temática de 'El juego del calamar'. El objetivo era sencillamente pasar una serie de pruebas hasta alzarse con un bote de 100.000 dólares. Sin embargo, la pasada noche del viernes perjudicó especialmente a varios de los creadores de contenido en la plataforma. Y es que hubo un ataque DDoS hacia los servidores de Andorra Telecom.

Como algunos sabréis, parte de la comunidad de creadores que se encuentra participando estos días en los 'Squid Games' residen en Andorra, entre ellos Rubius, Auronplay, TheGrefg, Alexby11, y más. fue en mitad de una de sus retransmisiones en Twitch anoche cuando el ataque DDoS perjudicó a Andorra Telecom, el único proveedor de servicios del micro-Estado.

En Genbeta

El último ataque DDoS frenado por Cloudflare ha sido el mayor de la historia, según la compañía: así ha actuado el malware Mirai

Un ataque DDoS en mitad de las retransmisiones

El ataque tuvo lugar entre las 8 y las 9 de la noche, pero no fue hasta las 10 cuando el proveedor publicaba en Twitter que efectivamente se trataba de un ataque DDoS. El servicio pareció haberse restablecido sobre las 10 y media de la noche.

⚠️ Us informem que la xarxa d’internet està patint un atac de denegació de servei (DDoS). Per aquest motiu, pot ser que alguns usuaris tingueu dificultats per navegar per internet. Ho estem mitigant.

— Andorra Telecom (@AndorraTelecom) January 21, 2022

Un ataque DDoS se genera a través de una saturación de los servidores objetivo, haciendo que se sobrecarguen y se impida su funcionamiento. Normalmente se ejecutan a través de distintos puntos de red, enviando simultáneamente grandes cantidades de solicitudes hacia el objetivo.

'Squid Games', un Twitch Rivals que está teniendo un gran éxito

Con una media de más de un millón de espectadores entre todas las retransmisiones de estos streamers, la serie está teniendo una gran acogida, sobre todo por la organización que hay detrás. Comenzó el pasado miércoles, y 147 streamers tendrán que hacer frente a una serie de pruebas basadas en la serie de 'El juego del calamar' para hacerse con un premio de 100.000 dólares.

Los juegos comienzan cada día a las 20:00 CET, y duran unas dos horas aproximadamente. De todos los participantes ya han sido eliminados 41. Podemos seguir la retransmisión desde el punto de vista de cada uno de los streamers participantes en Twitch.

Cloudflare, una empresa de infraestructura de Internet, ha reportado el que dice que es el ataque DDoS "mayor" de la historia. El objetivo, que ha funcionado desde el malwre Mirai, era un cliente de esta compañía que trabaja en el sector financiero. Parece que es una firma grande pero no hay más información al respecto. Cabe recordar que Cloudflare opera para otras compañías gestionando las conexiones a servidores y páginas web.

Aunque acaba de hacerse público, este ataque contra un cliente de Cloudflare tuvo lugar el pasado mes y la empresa de infraestructura de Internet dice que consiguió frenarlo. El atacante usó un gran número de dispositivos para hacer peticiones HTTP a la red de la víctima para abarrotar el servidor y conseguir tumbarlo.

En Genbeta

Cómo usar 1.1.1.1, las DNS de Cloudflare que aseguran ser más rápidas y privadas que las de Google y OpenDNS

Características del mayor ataque de la historia según Cloudflare

El ataque fue lanzado a través de una red de bots Mirai (que, como recuerdan desde la Oficina de Seguridad del Internauta, suele tener como principales objetivos los routers, grabadoras digitales de vídeo y cámaras IP de vigilancia). En este caso explica Cloudflare que "en cuestión de segundos, la red de bots bombardeó el borde de Cloudflare con más de 330 millones de solicitudes de ataque", alcanzando en un momento dado un récord de 17,2 millones de solicitudes por segundo (rps). En otros ataques reportados de este estilo, las cifras que se recogen suelen ser tres veces menos.

En Genbeta

Cloudflare lanza Browser Isolation, un software que aísla al navegador del dispositivo para mejorar la seguridad

No fue un ataque DDoS de ancho de banda sino uno volumétrico. Esto se traduce a que se envían todas las solicitudes HTTP posibles para consumir la CPU y RAM del servidor, consiguiendo así que el servidor directamente no opere. En los ataques DDoS por ancho de banda se busca obstruir el ancho de banda de la conexión a Internet.

Otra características del definido como mayor ataque DDoS de la historia es que llegó desde diferentes países del mundo, como se puede ver en el mapa anterior. La mayoría de las solicitudes tuvieron su origen en Indonea (el 15% del total), seguido de India, Brasil, Vietnam, Camboya, Colombia y Ucrania. También llegaron desde México y Argentina. Cloudflare cree que para explicar el origen de los ataques podrían ser dispositivos infectados por el malware Mirai, o una versión modificada de este.

Qué es Mirai y cómo evitar ser víctima

Mirai no es algo nuevo. Es un malware descubierto en 2016 y que desde entonces sigue operativo. En ese año, casi un millón de ciudadanos de Alemania se quedaron sin internet a causa de Mirai. Lo que hace** una idea del alcance que puede tener**.

Se propaga infectando dispositivos basados en Linux y que generalmente son IoT o Internet de las cosas. Como recuerdan desde Xataka, "tiene la peculiaridad de propagarse sólo gracias al uso de credenciales por defecto".

Según Cloudflare, aunque la mayoría de los ataques son pequeños y cortos, seguimos viendo que este tipo de ataques volumétricos surgen con más frecuencia. Es importante señalar que estos ataques volumétricos de corta duración pueden ser especialmente peligrosos para los sistemas de protección DDoS heredados o para las organizaciones que no cuentan con una protección activa y permanente basada en la nube.

Entre otros consejos para no ser víctima del malware Mirai, la empresa de infraestructura de Internet recomienda cambiar el nombre de usuario y la contraseña por defecto de cualquier dispositivo que esté conectado a internet, como las cámaras inteligentes y los routers. Esto reducirá el riesgo de que malware como Mirai pueda acceder a tu router y a los dispositivos IoT.

Hace unos días, un grupo de investigadores de la empresa NordLocker afirmaba haber descubierto un malware que había conseguido robar 26 millones de contraseñas de acceso a diferentes servicios de usuarios de Windows.

En los días siguientes se han ido desvelando más informaciones y aquí tienes un resumen de lo que sabemos hasta ahora de este ataque. Y también una solución para que puedas comprobar si tus contraseñas personales han sido robadas por este misterioso ataque.

Recordemos que esta revelación llega apenas unos días después de conocerse el bautizado como RockYou2021: alguien publicó en un popular foro de 'hackers', un descomunal archivo .TXT con un peso de 100GB con más de 8.400 millones de contraseñas.

Qué ha conseguido robar este malware

La base de datos descubierta por NordLocker contiene 26 millones de credenciales de acceso, 1,1 millones de direcciones de correo electrónico únicas, más de 2.000 millones de cookies de navegadores y 6,6 millones de archivos. Esta base de datos contenía 1,2 TB de información y 400 millones de las cookies robadas segúian siendo válidas cuando la base de datos fue descubierta.

Como recuerda Wired, en algunos casos, las víctimas almacenaban contraseñas en archivos de texto creados con la aplicación Notepad, el bloc de notas de Windows.

Los datos robados también procedían de apps de mensajería, de servicios de correo electrónico y de juegos. Los datos fueron extraídos entre 2018 y 2020 de más de 3 millones de PC.

La información sustraída también incluye más de un millón de imágenes y más de 650.000 archivos de Word y PDF. Además, se pudo comprobar que el malware hacía una captura de pantalla después de infectar el equipo basado en Windows y tomaba una foto del usuario utilizando la cámara web del dispositivo.

Cuándo ha sido este ataque y qué se sabe de su origen

Según las investigaciones y la información publicada hasta ahora los datos fueron extraídos entre 2018 y 2020 de más de 3 millones de ordenadores basados en Windows.

Las capturas de pantalla realizadas por el malware revelan que se pudo propagar a través de software sin licencia como Adobe Photoshop, herramientas de cracking de Windows y juegos sin licencia.

Lo que no se sabe (o no ha sido revelado por el momento) es quién llevó a cabo este ataque.

Cómo saber si has sido atacado y cómo mantenerte protegido

El conocido servicio para comprobar si tus contraseñas están seguras, Have I Been Pwned, ha actualizado su base de datos **con la nueva filtración, de acuerdo con su fundador Troy Hunt.

Al usar esta web de Have i Been Pwned, si alguna de tus contraseñas aparece entre las que han sido robadas, deberás cambiarla cuanto antes.

En Genbeta

Phishing: qué es y diferentes tipos que existen

Además, para mentenerte protegido, desde NordLocker recomiendan usar gestores de contraseñas para proteger las credenciales y rellenar automáticamente la información, ya que avisan de que los navegadores web no son buenos para proteger los datos sensibles. Por otro lado, recuerda que algunas cookies son válidas durante 90 días, y otras no caducan hasta pasado un año. "Haz que borrar las cookies sea un hábito mensual", explican.

Las redes peer-to-peer se utilizan a menudo para propagar malware. Descarga sólo software del sitio web del desarrollador y de otras fuentes conocidas. Además, mantén tu antivirus actualizado para que pueda avisarte de ataques.