Ransomware Gangs y la distracción del juego de nombres: Krebs on Security

Es bueno cuando a las pandillas de ransomware les roban sus bitcoins, cierran los servidores de malware o se ven obligados a disolverse. Nos aferramos a estas victorias ocasionales porque la historia nos dice que la mayoría de los colectivos lucrativos del ransomware no desaparecen sino que se reinventan bajo un nuevo nombre, con nuevas reglas, objetivos y armamento. De hecho, algunos de los grupos de ransomware más destructivos y costosos se encuentran ahora en su tercera encarnación.

Ransomware Gangs y la distraccion del juego de nombres Krebs

Una cronología aproximada de las principales operaciones de ransomware y sus enlaces reputados a lo largo del tiempo.

La reinvención es una habilidad básica de supervivencia en el negocio del cibercrimen. Entre los trucos más antiguos del libro está el de fingir el fallecimiento o la jubilación e inventar una nueva identidad. Un objetivo clave de tal subterfugio es despistar a los investigadores o dirigir temporalmente su atención a otra parte.

Los sindicatos de ciberdelincuentes también realizan actos de desaparición similares cuando les conviene. Estos reinicios organizacionales son una oportunidad para que los líderes del programa de ransomware establezcan nuevas reglas básicas para sus miembros, como qué tipos de víctimas no están permitidos (por ejemplo, hospitales, gobiernos, infraestructura crítica) o cuánto debe pagar un afiliado como rescate. esperar para llevar el acceso del grupo a una nueva red de víctimas.

Reuní el gráfico de arriba para ilustrar algunas de las reinvenciones de pandillas de rescate más notables en los últimos cinco años. Lo que no muestra es lo que ya sabemos sobre los ciberdelincuentes detrás de muchos de estos grupos de ransomware aparentemente dispares, algunos de los cuales fueron pioneros en el espacio del ransomware hace casi una década. Exploraremos eso más en la segunda mitad de esta historia.

Una de las renovaciones más intrigantes y recientes implica Lado oscuroel grupo que extrajo un rescate de 5 millones de dólares de Oleoducto Colonial a principios de este año, solo para ver cómo una operación del Departamento de Justicia de EE. UU. recuperaba gran parte de ella.

Después de reconocer que alguien también se había apoderado de sus servidores de Internet, DarkSide anunció que se retiraba. Pero un poco más de un mes después, un nuevo programa de afiliados de ransomware llamado BlackMatter surgieron, y los expertos rápidamente determinado BlackMatter estaba usando los mismos métodos de encriptación únicos que DarkSide había usado en sus ataques.

La desaparición de DarkSide coincidió aproximadamente con la de REvil, un grupo de ransomware de larga data que afirma haber extorsionado a las víctimas por más de 100 millones de dólares. La última gran víctima de REvil fue Kaseya, una empresa con sede en Miami cuyos productos ayudan a los administradores de sistemas a administrar grandes redes de forma remota. Ese ataque permitió que REvil implementara ransomware en hasta 1500 organizaciones que usaban Kaseya.

REvil exigió la friolera de $ 70 millones para lanzar un descifrador universal para todas las víctimas del ataque Kaseya. Sólo unos días después, Presidente Biden según se informa dijo ruso presidente vladimir putin que espera que Rusia actúe cuando Estados Unidos comparta información sobre rusos específicos involucrados en actividades de ransomware.

1660177916 181 Ransomware Gangs y la distraccion del juego de nombres Krebs

Una nota de rescate de REvil.

No está claro si esa conversación provocó acciones. Pero el blog sobre la vergüenza de las víctimas de REvil desaparecería de la web oscura solo cuatro días después.

marca arenaCEO de la firma de inteligencia de amenazas cibernéticas Intel 471dijo que no está claro si BlackMatter es la tripulación de REvil que opera bajo un nuevo estandarte, o si es simplemente la reencarnación de DarkSide.

Pero una cosa está clara, dijo Arena: «Probablemente los volvamos a ver a menos que hayan sido arrestados».

Probablemente, de hecho. REvil es ampliamente considerado como un reinicio de GandCrab, una pandilla prolífica de ransomware que se jactó de extorsionar a más de $ 2 mil millones durante 12 meses antes de cerrar abruptamente en junio de 2019. “Somos la prueba viviente de que puedes hacer el mal y salir impune. Gandcrab se jactó.

Y no lo sabrías: los investigadores han encontrado GandCrab comportamientos clave compartidos con cerberouna de las primeras operaciones de ransomware como servicio que dejó de reclamar nuevas víctimas aproximadamente al mismo tiempo que GandCrab apareció en escena.

CARAMBA

Los últimos meses han sido una época muy ocupada para los grupos de ransomware que buscan cambiar su marca. BleepingEquipo recientemente reportado que el nuevo “Dolor» el inicio del ransomware fue solo la última pintura de DoppelPaymeruna variedad de ransomware que compartió la mayor parte de su código con una iteración anterior de 2016 llamada BitPaymer.

Las tres operaciones de rescate provienen de un prolífico grupo de ciberdelincuencia conocido como TA505,Araña Indriky (quizás lo más memorable) corporación malvada. Según firma de seguridad multitudhuelgaIndrik Spider fue formado en 2014 por antiguos afiliados de la red criminal GameOver Zeus que internamente se referían a sí mismos como «The Business Club».

El Business Club era una notoria banda organizada de ciberdelincuentes de Europa del Este acusada de robar más de $100 millones de bancos y empresas en todo el mundo. En 2015, el FBI ofreció una recompensa fija de 3 millones de dólares por información que condujera a la captura del líder del Business Club: Evgeniy Mijailovich Bogachev. Cuando el FBI puso precio a su cabeza, el troyano Zeus de Bogachev y variantes posteriores habían estado infectando computadoras durante casi una década.

1660177916 897 Ransomware Gangs y la distraccion del juego de nombres Krebs

El presunto autor del troyano ZeuS, Evgeniy Mikhaylovich Bogachev. Fuente: FBI

Bogachev estaba muy por delante de sus colegas en la búsqueda de ransomware. Su Gameover Zeus Botnet era una máquina criminal peer-to-peer que infectaba entre 500.000 y un millón Microsoft Windows ordenadores. A lo largo de 2013 y 2014, las PC infectadas con Gameover se sembraron con criptobloqueadoruna de las primeras cepas de ransomware muy copiadas supuestamente escritas por el mismo Bogachev.

CrowdStrike señala que poco después de la creación del grupo, Indrik Spider desarrolló su propio malware personalizado conocido como Dridexque se ha convertido en un vector importante para la implementación de malware que sienta las bases para los ataques de ransomware.

“Las primeras versiones de Dridex eran primitivas, pero a lo largo de los años el malware se volvió cada vez más profesional y sofisticado”, escribieron los investigadores de CrowdStrike. “De hecho, las operaciones de Dridex fueron significativas durante 2015 y 2016, lo que la convirtió en una de las familias de malware eCrime más frecuentes”.

Que Informe de multitud de huelgas era de julio de 2019. En abril de 2021, los expertos en seguridad de Software de punto de control encontrado Dridex seguía siendo el malware más frecuente (por segundo mes consecutivo). Distribuido principalmente a través de correos electrónicos de phishing bien elaborados, como una campaña reciente que falsificó QuickBooks — Dridex a menudo sirve como punto de apoyo inicial del atacante en ataques de ransomware en toda la empresa, dijo CheckPoint.

CAMBIO DE MARCA PARA EVITAR SANCIONES

Otra familia de ransomware vinculada a Evil Corp. y la pandilla Dridex es Casillero desperdiciadoque es el nombre más reciente de una variedad de ransomware que ha cambiado de nombre varias veces desde 2019. Fue entonces cuando el Departamento de Justicia ofreció una recompensa de $5 millones por el jefe de Evil Corp., y el Departamento del Tesoro Oficina de Control de Activos Extranjeros (OFAC) dijo que estaba preparado para imponer fuertes multas a cualquiera que pagara un rescate al grupo de ciberdelincuencia.

1660177916 287 Ransomware Gangs y la distraccion del juego de nombres Krebs

El presunto líder de Evil Corp, Maksim «Aqua» Yakubets. Imagen: FBI

A principios de junio de 2021, los investigadores descubrieron que la pandilla Dridex estaba nuevamente tratando de transformarse en un esfuerzo por evadir las sanciones de EE. UU. El drama comenzó cuando el Grupo de ransomware Babuk anunció en mayo que estaban comenzando una nueva plataforma para la extorsión de fuga de datos, que tenía la intención de atraer a los grupos de ransomware que aún no tenían un blog donde pueden avergonzar públicamente a las víctimas para que paguen liberando gradualmente los datos robados.

El 1 de junio, Babuk cambió el nombre de su sitio de fugas a carga útil.[dot]bin, y comenzó a filtrar datos de víctimas. Desde entonces, varios expertos en seguridad han descubierto lo que creen que es otra versión de WastedLocker disfrazada de ransomware con la marca payload.bin.

«Parece que EvilCorp está tratando de hacerse pasar por Babuk esta vez». escribió Fabián Wosardirector de tecnología de la empresa de seguridad Emsisoft. “A medida que Babuk lanza su portal de fugas PayloadBin, EvilCorp cambia el nombre de WastedLocker una vez más como PayloadBin en un intento de engañar a las víctimas para que violen las regulaciones de la OFAC”.

Los expertos se apresuran a señalar que muchos ciberdelincuentes involucrados en actividad de ransomware son afiliados de más de una operación distinta de ransomware como servicio. Además, es común que una gran cantidad de afiliados migren a grupos de ransomware de la competencia cuando su patrocinador actual se cierra repentinamente.

Todo lo anterior parece sugerir que el éxito de cualquier estrategia para contrarrestar la epidemia de ransomware depende en gran medida de la capacidad de interrumpir o detener a un número relativamente pequeño de ciberdelincuentes que parecen disfrazarse.

Tal vez por eso la Administración Biden dijo el mes pasado que era ofrece una recompensa de $ 10 millones por información que conduzca al arresto de las pandillas detrás de los esquemas de extorsión, y por nuevos enfoques que faciliten el rastreo y bloqueo de pagos en criptomonedas.

Deja un comentario