Monthly Archives: September 2023

A Closer Look at the Snatch Data Ransom Group

Posted on by

Earlier this week, KrebsOnSecurity revealed that the darknet website for the Snatch ransomware group was leaking data about its users and the crime gang’s internal operations. Today, we’ll take a closer look at the history of Snatch, its alleged founder, and their claims that everyone has confused them with a different, older ransomware group by the same name.

According to a September 20, 2023 joint advisory from the FBI and the U.S. Cybersecurity and Infrastructure Security Administration (CISA), Snatch was originally named Team Truniger, based on the nickname of the group’s founder and organizer — Truniger.

The FBI/CISA report says Truniger previously operated as an affiliate of GandCrab, an early ransomware-as-a-service offering that closed up shop after several years and claims to have extorted more than $2 billion from victims. GandCrab dissolved in July 2019, and is thought to have become “REvil,” one of the most ruthless and rapacious Russian ransomware groups of all time.

The government says Snatch used a customized ransomware variant notable for rebooting Microsoft Windows devices into Safe Mode — enabling the ransomware to circumvent detection by antivirus or endpoint protection — and then encrypting files when few services are running.

“Snatch threat actors have been observed purchasing previously stolen data from other ransomware variants in an attempt to further exploit victims into paying a ransom to avoid having their data released on Snatch’s extortion blog,” the FBI/CISA alert reads. It continues:

“Prior to deploying the ransomware, Snatch threat actors were observed spending up to three months on a victim’s system. Within this timeframe, Snatch threat actors exploited the victim’s network moving laterally across the victim’s network with RDP for the largest possible deployment of ransomware and searching for files and folders for data exfiltration followed by file encryption.”

New York City-based cyber intelligence firm Flashpoint said the Snatch ransomware group was created in 2018, based on Truniger’s recruitment both on Russian language cybercrime forums and public Russian programming boards. Flashpoint said Truniger recruited “pen testers” for a new, then-unnamed cybercrime group, by posting their private Jabber instant messenger contact details on multiple Russian language coding forums, as well as on Facebook.

“The command requires Windows system administrators,” Truniger’s ads explained. “Experience in backup, increase privileges, mikicatz, network. Details after contacting on jabber: truniger@xmpp[.]jp.”

In at least some of those recruitment ads — like one in 2018 on the forum sysadmins[.]ru –the username promoting Truniger’s contact information was Semen7907. In April 2020, Truniger was banned from two of the top Russian cybercrime forums, where members from both forums confirmed that Semen7907 was one of Truniger’s known aliases.

[SIDE NOTE: Truniger was banned because he purchased credentials to a company from a network access broker on the dark web, and although he promised to share a certain percentage of whatever ransom amount Truniger’s group extracted from the victim, Truniger paid the access broker just a few hundred dollars off of a six-figure ransom].

According to Constella Intelligence, a data breach and threat actor research platform, a user named Semen7907 registered in 2017 on the Russian-language programming forum pawno[.]ru using the email address tretyakov-files@yandex.ru.

That same email address was assigned to the user “Semen-7907” on the now defunct gaming website tunngle.net, which suffered a data breach in 2020. Semen-7907 registered at Tunngle from the Internet address 31.192.175[.]63, which is in Yekaterinburg, RU.

Constella reports that tretyakov-files@yandex.ru was also used to register an account at the online game stalker[.]so with the nickname Trojan7907.

There is a Skype user by the handle semen7907, and which has the name Semyon Tretyakov from Yekaterinburg, RU. Constella also found a breached record from the Russian mobile telephony site tele2[.]ru, which shows that a user from Yekaterinburg registered in 2019 with the name Semyon Sergeyvich Tretyakov and email address tretyakov-files@ya.ru.

The above accounts, as well as the email address semen_7907@mail.ru, were all registered or accessed from the same Yekaterinburg Internet address mentioned previously: 31.192.175.63. The Russian mobile phone number associated with that tele2[.]ru account is connected to the Telegram account “Perchatka,” (“glove” in Russian).

BAD BEATS

Reached via Telegram, Perchatka (a.k.a. Mr. Tretyakov) said he was not a cybercriminal, and that he currently has a full-time job working in IT at a major company (he declined to specify which).

Presented with the information gathered for this report (and more that is not published here), Mr. Tretyakov acknowledged that Semen7907 was his account on sysadmins[.]ru, the very same account Truniger used to recruit hackers for the Snatch Ransomware group back in 2018.

However, he claims that he never made those posts, and that someone else must have assumed control over his sysadmins[.]ru account and posted as him. Mr. Tretyakov said that KrebsOnSecurity’s outreach this week was the first time he became aware that his sysadmins[.]ru account was used without his permission.

Mr. Tretyakov suggested someone may have framed him, pointing to an August 2023 story at a Russian news outlet about the reported hack and leak of the user database from sysadmins[.]ru, allegedly at the hands of a pro-Ukrainian hacker group called CyberSec.

“Recently, because of the war in Ukraine, a huge number of databases have been leaked and finding information about a person is not difficult,” Tretyakov said. “I’ve been using this login since about 2013 on all the forums where I register, and I don’t always set a strong password. If I had done something illegal, I would have hidden much better :D.”

[For the record, KrebsOnSecurity does not generally find this to be the case, as the ongoing Breadcrumbs series will attest.]

A Semyon Sergeyvich Tretyakov is listed as the composer of a Russian-language rap song called “Parallels,” which seems to be about the pursuit of a high-risk lifestyle online. A snippet of the song goes:

“Someone is on the screen, someone is on the blacklist
I turn on the timer and calculate the risks
I don’t want to stay broke And in the pursuit of money
I can’t take these zeros Life is like a zebra –
everyone wants to be first Either the stripes are white,
or we’re moving through the wilds I won’t waste time.”

Mr. Tretyakov said he was not the author of that particular rhyme, but that he has been known to record his own rhythms.

“Sometimes I make bad beats,” he said. “Soundcloud.”

NEVER MIND THE DOMAIN NAME

The FBI/CISA alert on Snatch Ransomware (PDF) includes an interesting caveat: It says Snatch actually deploys ransomware on victim systems, but it also acknowledges that the current occupants of Snatch’s dark and clear web domains call themselves Snatch Team, and maintain that they are not the same people as Snatch Ransomware from 2018.

Here’s the interesting bit from the FBI/CISA report:

“Since November 2021, an extortion site operating under the name Snatch served as a clearinghouse for data exfiltrated or stolen from victim companies on Clearnet and TOR hosted by a bulletproof hosting service. In August 2023, individuals claiming to be associated with the blog gave a media interview claiming the blog was not associated with Snatch ransomware and “none of our targets has been attacked by Ransomware Snatch…”, despite multiple confirmed Snatch victims’ data appearing on the blog alongside victims associated with other ransomware groups, notably Nokoyawa and Conti.”

Avid readers will recall a story here earlier this week about Snatch Team’s leaky darknet website based in Yekaterinburg, RU that exposed their internal operations and Internet addresses of their visitors. The leaked data suggest that Snatch is one of several ransomware groups using paid ads on Google.com to trick people into installing malware disguised as popular free software, such as Microsoft TeamsAdobe ReaderMozilla Thunderbird, and Discord.

Snatch Team claims to deal only in stolen data — not in deploying ransomware malware to hold systems hostage.

Representatives of the Snatch Team recently answered questions from Databreaches.net about the claimed discrepancy in the FBI/CISA report.

“First of all, we repeat once again that we have nothing to do with Snatch Ransomware, we are Security Notification Attachment, and we have never violated the terms of the concluded transactions, because our honesty and openness is the guarantee of our income,” the Snatch Team wrote to Databreaches.net in response to questions.

But so far the Snatch Team has not been able to explain why it is using the very same domain names that the Snatch ransomware group used?

Their claim is even more unbelievable because the Snatch Team members told Databreaches.net they didn’t even know that a ransomware group with that name already existed when they initially formed just two years ago.

This is difficult to swallow because even if they were a separate group, they’d still need to somehow coordinate the transfer of the Ransomware group’s domains on the clear and dark webs. If they were hoping for a fresh start or separation, why not just pick a new name and new web destination?

“Snatchteam[.]cc is essentially a data market,” they continued. “The only thing to underline is that we are against selling leaked information, sticking to the idea of free access. Absolutely any team can come to us and offer information for publication. Even more, we have heard rumors that a number of ransomware teams scare their clients that they will post leaked information on our resource. We do not have our own ransomware, but we are open to cooperation on placement and monetization of dates (sic).”

Maybe Snatch Team does not wish to be associated with Snatch Ransomware because they currently believe stealing data and then extorting victim companies for money is somehow less evil than infecting all of the victim’s servers and backups with ransomware.

It is also likely that Snatch Team is well aware of how poorly some of their founders covered their tracks online, and are hoping for a do-over on that front.

from Krebs on Security https://ift.tt/LMiPCWd
via IFTTT

Ya fue liberada la versión estable de LibrePCB 1.0

Posted on by
LibrePCB

LibrePCB es una suite de automatización de diseño electrónico gratuita, multiplataforma y fácil de usar

Después de varias semanas de arduo trabajo por parte de los desarrolladores de LibrePCB en la RC1 de «LibrePCB 1.0», por fin se dio a conocer la noticia del lanzamiento de la versión estable de este software para la automatización del diseño de PCB.

Dentro de las principales características que se destacan de LibrePCB 1.0 es el visor 3D y exportación STEP, asi como también la capacidad de poder especificar números de pieza del fabricante, mejoras en los esquemas, mejoras de diseño, entre otras cosas más.

Principales novedades de LibrePCB 1.0

Sin dudas la versión estable de LibrePCB 1.0 es una de las más grandes del proyecto, ya que contiene una gran cantidad de cambios, mejoras y correcciones de errores importantes, tanto visualmente e internamente.

Y es que tal vez una de las novedades más importantes de este lanzamiento es la adicción de un Visor 3D para visualización tridimensional del modelo de tablero. Se menciona que el nuevo visor cuenta con una representación adecuada de las capas de cobre, resistencia de soldadura y serigrafía! Incluso los dispositivos se renderizan si se han asignado modelos STEP a sus paquetes en la biblioteca. Además, toda la PCB se puede exportar como modelo STEP para poder abrirla en un CAD mecánico.

Otro de los cambios que se destaca de esta nueva versión de LibrePCB 1.0 es la capacidad de especificar números de pieza del fabricante, esto gracias a la biblioteca (MPN, número de pieza del fabricante, un identificador de producto asignado por el fabricante). Al crear una lista de materiales (BOM), tiene la capacidad de reflejar los números de pieza e indicar la posibilidad de utilizar piezas alternativas. Con ello los usuarios pueden utilizar el cuadro de diálogo «Agregar componente» en el editor de esquemas para agregar una pieza particular en lugar de solo un dispositivo o componente:

Ademas de ello, también se destaca que se ha agregado una interfaz unificada para generar archivos resultantes, lo que le permite exportar y guardar información en diferentes formatos usando un cuadro de diálogo, así como administrar archivos con archivos Gerber para enviarlos al fabricante.

De los demás cambios que se destacan:

  • Soporte para agujeros ranurados
  • Admite espacio libre de cobre personalizado alrededor de las almohadillas para huellas
  • Permitir agregar almohadillas para huellas no conectadas (puramente mecánicas)
  • Soporte para configurar máscara de parada y pasta de soldadura en almohadillas de huella
  • Se añadieron nuevas capas para los contornos superior/inferior del paquete
  • Soporte para agregar textos personalizados a esquemas
  • Soporte para agregar polígonos a esquemas
  • Actualizar automáticamente las miniaturas de los esquemas
  • Permitir la creación de trazas/vías/planos no conectados
  • Admite la colocación de bloqueo de artículos
  • Se amplío la configuración de la placa con más propiedades de PCB
  • Admite cambiar el ancho de los objetos seleccionados
  • Guardar y restaurar la visibilidad de los planos del tablero
  • Fusionar todas las configuraciones del tablero en un solo cuadro de diálogo

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

¿Cómo instalar LibrePCB en Linux?

La instalación de este software es bastante sencillo, ya que ademas de ofrecer la el código para su compilación, cuenta con paquetes ya construidos uno de ellos es de los paquetes de Flatpak, con los cuales simplemente debemos de contar con el soporte para poder instalar aplicaciones de este tipo en nuestro sistema.

Ahora ya teniendo el soporte Flatpak, podemos instalar la aplicación abriendo una terminal y ejecutando el siguiente comando:

flatpak install --user https://flathub.org/repo/appstream/org.librepcb.LibrePCB.flatpakref

Si ya contaban con este tipo de instalación, pueden verificar si existe una versión más actual, ejecutando el siguiente comando en su terminal.

flatpak --user update org.librepcb.LibrePCB

Y listo con ello ya tendrán instalada la última versión de este editor de circuitos libre, solo tienen que buscar el lanzador en su menú de aplicaciones para poder ejecutarlo en su sistema.

Si no encuentran el lanzador, pueden abrir la aplicación con ayuda del siguiente comando:

flatpak run org.librepcb.LibrePCB

Otro de los métodos que tenemos para poder obtener esta aplicación, es con ayuda de una AppImage, la cual podremos descargar abriendo una terminal y en ella ejecutando los siguientes comandos:

wget https://download.librepcb.org/releases/0.1.3/librepcb-0.1.3-linux-x86_64.AppImage -O librepcb.AppImage

Hecha la descarga ahora debemos darle permisos de ejecución a la aplicación descargada con el siguiente comando:

chmod +x ./librepcb.AppImage

Y finalmente podremos ejecutar esta aplicación dando doble clic sobre el archivo descargado o desde la terminal lo podremos ejecutar con el siguiente comando:

./librepcb.AppImage

Para los que son usuarios de Arch Linux podrán instalar esta herramienta desde AUR, por lo que deben de contar con un asistente de AUR para su instalación. Te puedo recomendar algunos en esta publicación. Ahora abrimos una terminal y en ella ejecutamos el siguiente comando:

yay -S librepcb

from Linux Adictos https://ift.tt/nj48SUG
via IFTTT

DuckDB 0.9.0 «Undulata» llega con mejoras en almacenamiento, soporte y mas

Posted on by
DuckDB, el DBMS utilizado por Google, Facebook y Airbnb

DuckDB es un sistema de gestión de base de datos SQL OLAP en proceso

Se dio a conocer el lanzamiento de la nueva versión de DuckDB 0.9.0 con nombre clave «Undulata» en honor pato de pico amarillo originario de África. La nueva edición se destaca por incluir el de hash Out-Of-Core, mejoras en el rendimiento de los agregados de hash, mejoras en el rendimiento y más.

DuckDB combina propiedades de SQLite como la compacidad, la capacidad de conectarse en forma de biblioteca integrada, el almacenamiento de la base de datos en un solo archivo y una conveniente interfaz CLI, con herramientas y optimizaciones para realizar consultas analíticas cubriendo una parte significativa de los datos almacenados, por ejemplo, que realizan la agregación de todo el contenido de las tablas o fusionan varias tablas grandes.

Principales novedades de DuckDB 0.9.0 «Undulata»

Una de las principales novedades de la nueva versión de DuckDB 0.9.0, es tal vez la mejora de rendimiento con Out-Of-Core hash, ya que ahora al agregar grandes conjuntos de datos al procesar consultas. Se menciona que al utilizar un motor de ejecución de transmisión y un administrador de búfer, DuckDB admite muchas operaciones en conjuntos de datos que superan la memoria.

En esta versión, la compatibilidad con disk-spillingse amplía aún más mediante la compatibilidad con agregados de hash fuera del núcleo. Lo que resuelve el problema de que la operación finalice debido a la falta de memoria en situaciones en las que los datos utilizados para agregar la tabla hash no caben en la RAM.

Otra de las novedades que se destaca es que se ha implementado el soporte para la compresión de cadenas y tipos de números enteros justo antes de que los datos entren en los operadores de clasificación y agregación agrupados lo que ha reducido significativamente el consumo de memoria.

Ademas de ello, también podremos encontrar la carga automática de extensiones confiables y opcionalmente se instalarán cuando se utilicen en una consulta. Se menciona que el conjunto de extensiones de carga automática se limita a las extensiones oficiales distribuidas por DuckDB Labs.

Hablando de extensiones, también en DuckDB 0.9.0 «Undulata» se agregó un complemento para AWS que proporciona capacidades que utilizan el SDK de AWS. Esta extensión contiene una función «LOAD_AWS_CREDENTIALS» que utiliza AWS para obtener y configurar credenciales automáticamente.

También en esta versión se agrega soporte para extensiones cargables a DuckDB-WASM. Anteriormente, cualquier extensión que quisiera usar con el cliente WASM tenía que estar integrada. Con esta versión, las extensiones se pueden cargar dinámicamente. Cuando se carga una extensión, se descarga el paquete WASM y se habilita la funcionalidad de la extensión.

De los demás cambios que se destacan de esta nueva versión:

  • Se habilitó la limpieza automática de grupos de filas completos al realizar una operación DELETE. También se implementa la opción de truncar el archivo de la base de datos (reduciendo su tamaño) después de eliminar datos si los grupos de líneas eliminados estaban al final del archivo.
  • Se mejoró la eficiencia del almacenamiento de índices ART utilizados para verificar la unicidad o claves primarias y externas. Por ejemplo, en comparación con la versión anterior, el tamaño del índice de prueba disminuyó de 278 MB a 78 MB.
  • Arreglar la regresión y arreglar el mecanismo de borrador
  • Se corrigió el error de segmentación al agregar datos de la lista
  • Prueba ART y refactorización comparativa
  • Se aumento el límite de memoria en la prueba para evitar fallas de CI no deterministas
  • Se agregó un complemento experimental para leer datos del almacenamiento de Azure.Esta extensión permite que DuckDB lea de forma nativa datos almacenados en Azure, de manera similar a cómo puede leer datos almacenados en S3.
  • Configuración de Jemalloc, más asignador de búfer y eliminación de la copia de cadenas redundantes en el diccionario parquet
  • El cliente ha agregado soporte experimental para la API PySpark.
  • Se agregó un complemento experimental para leer tablas en formato Apache Iceberg .
  • Actualización de Julia a 0.8.1
  • Se añadio conn.interrupt() a la API de Python de DuckDB
  • Arrelgo en los parámetros de regresión x/y intercambiados

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/ba3A5Nl
via IFTTT

Richard Stallman fue diagnosticado con cancer

Posted on by
richard stallman a

Richard Stallman anuncia que tiene cáncer

Durante la celebración organizada por la FSF en conmemoración del 40 aniversario del anunció el desarrollo del sistema operativo GNU, en la GNU Hacker’s Meeting en el discurso de clausura, Richard Stallman revelo que tiene cáncer.

La apariencia del padre del movimiento GNU impresiono a más de uno, pues a pesar de ser una persona de 70 años, el ver a Richard Stallman sin su pelo largo ni su barba, preocupo a más de uno, ya que a comentarios de muchas personas de la comunidad en la red, uno de los comentarios más realizados, es que Richard Stallman «¡Está totalmente irreconocible!».

Durante la ceremonia del 40 aniversario de GNU, se produjo un momento de sorpresa y admiración cuando Richard Stallman reveló una batalla personal que había estado luchando en silencio: el cáncer.

Bromeó sobre no tener pelo, confirmó que todavía sigue trabajando y agregó que nada ha cambiado en su vida, con su característica franqueza, Stallman afirmó :

“Ahora tengo el peor problema: tengo cáncer. Es una especie de linfoma. Afortunadamente, se puede gestionar y estaré aquí durante muchos, muchos años”.

En su discurso, Richard Stallman habló sobre sus problemas de salud y aclaró que se trata de una forma de linfoma folicular, una forma de linfoma no Hodgkin, un tumor maligno del sistema linfático, que puede tratarse. Durante su discurso se mostró debilitado por la enfermedad, pero anunció que no había cambiado nada en su vida y que estaría allí por muchos años más, en su discurso también abarcó otros temas.

La figura clave del movimiento del software libre, recibió el apoyo de la comunidad en su lucha contra el cáncer, así como deseos de una pronta recuperación, ya que sus palabras fueron recibidas con un sonoro aplauso y los entusiastas de la tecnología parecieron respetar su espíritu valiente y resistente.

Se menciona que Richard Stallman utilizo un cubrebocas durante todo su discurso y también pidió a la audiencia que también los usaran y aunque en parte debido a esto, su voz estaba básicamente cubierta por la máscara, su voz ya no lo ayudaba en mucho, pues se escucha cansada y apagada, haciendo esto que fuera imposible que la audiencia lo escuchara con claridad.

Richard Matthew Stallman, RMS para los iniciados, es una figura emblemática del código abierto y del software libre. Nacido el 16 de marzo de 1953 en el estado de Nueva York, Estados Unidos, RMS es un programador informático y veterano defensor del software libre, movimiento que impulsó en 1983.

Y es que un 27 de septiembre de 1983 Richard M. Stallman publicó el anuncio inicial de GNU, su proyecto para desarrollar un sistema operativo totalmente libre (como en libertad). Aunque el Proyecto GNU no comenzaría oficialmente hasta enero de 1984, el anuncio de RMS describe el plan inicial de desarrollo y los componentes centrales de GNU. Dos años más tarde, en 1985, creó la Free Software Foundation, una organización sin fines de lucro que inicialmente se centró en apoyar su proyecto GNU.

En la primera Conferencia de Hackers en Sausalito, California, Richard Stallman hizo su primera declaración pública conocida de que todo el software debería ser libre y «accesible para todos con la mayor libertad posible».

Entre otras cosas, RMS también lanzó la Licencia Pública General GNU, conocida como GPL, y popularizó el término inglés «copyleft». Es el desarrollador de software famoso, como el editor de texto/código GNU Emacs, el compilador C del Proyecto GNU. (GCC), el GNU Debugger (gdb), el motor de producción GNU Make, etc.

Muchos de estos software, incluido el GNU Emacs Editor, el GNU Compiler y el GNU Debugger, se combinaron posteriormente con el kernel desarrollado por Linus Torvalds para producir el sistema operativo GNU/Linux, o Linux, en 1994. En ese momento, Torvalds era estudiante de informática en la Universidad de Helsinki, Finlandia.

Finalmente si estás interesado en poder conocer más al respecto, puede encontrar fragmentos e incluso el discurso completo de Richard Stallman en YouTube, aunque también está disponible en formato webm, en el siguiente enlace.

from Linux Adictos https://ift.tt/zZUSeYw
via IFTTT