La operación del ransomware Nemty se apaga


Los operadores del ransomware Nemty anunciaron esta semana que cerrarían su servicio después de diez meses de funcionamiento, según ha podido saber ZDNet de una fuente de la comunidad infosec.

Para aquellos que no están familiarizados con esta operación de malware, Nemty es un RaaS clásico (Ransomware-as-a-Services).

El Nemty RaaS se lanzó en el verano de 2019 y ha sido muy publicitado en foros clandestinos de piratería de habla rusa.

Los usuarios que se registraron con Nemty RaaS tuvieron acceso a un portal net donde podían crear versiones personalizadas del ransomware Nemty.

Los clientes eran libres de distribuir estas versiones personalizadas a través de sus propios métodos. En los últimos meses, el ransomware Nemty ha sido visto siendo distribuido a través de campañas de correo electrónico no deseado (malspam), kits de explotación, aplicaciones bobobytrapped, y por puntos finales RDP de fuerza bruta.

Los métodos de distribución variaron según el cliente de Nemty RaaS que estaba difundiendo esa cepa unique de Nemty.

Si alguna de las víctimas que tenían computadoras infectadas con Nemty pagaba la demanda de rescate, el operador de Nemty se quedaba con el 30% del pago, mientras que los distribuidores obtenían el 70% por sus esfuerzos.

Nemty se cierra después de 10 meses

Pero en una actualización publicada sobre un tema dedicado en el foro de piratería de exploits, el operador de Nemty anunció ayer que cerrarían su servicio.

El operador de Nemty les dio a las víctimas una semana para pagar las demandas de rescate antes de que el ransomware cerrara su infraestructura y los usuarios no pudieran descifrar sus archivos, incluso si quisieran pagar.

nemty-shutdown.png

Anuncio del cierre del ransomware Nemty. Texto traducido del ruso con Google Translate.

Imagen suministrada por Underneath the Breach

El hecho de que Nemty se cierre no es una sorpresa para la comunidad de ciberseguridad. Hay multiples razones para esto.

Primero es que el ransomware no pudo establecerse como un jugador excellent en el mercado de ransomware. Las campañas de distribución generalmente variaban en intensidad, pero el ransomware nunca fue una amenaza principal, ya que period más un jugador medio de la manada.

Esto es bastante evidente por el hecho de que la pandilla Nemty creó un sitio web donde prometieron filtrar archivos de compañías que se negaron a pagar el rescate sin embargo, después de configurar el sitio world wide web hace meses, solo publicaron archivos de una sola compañía.

Por otro lado, los «sitios de filtración» de pandillas de ransomware rivales publican archivos casi a diario, destacando cuánto más activas y ampliamente adoptadas son las otras cepas en la comunidad de delitos informáticos, en comparación con Nemty.

nemty-ransomware-leak-site.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/04/15/8d2c7476-1868-4f2e-bf94-40116e40f851/nemty-ransomware-leak-site .png

«Sitio de fuga» para el ransomware Nemty

Imagen: ZDNet

En segundo lugar, Nemty también sufrió un gran golpe de reputación en octubre de 2019 cuando Los investigadores de seguridad de Tesorion descifraron tres de sus versiones.

No hay un «asesino comercial» más grande para una operación RaaS que las empresas de seguridad que lanzan descifradores, ya que tales movimientos generalmente llevan a los clientes a operaciones rivales.

En tercer lugar, el equipo de Nemty vio la escritura en la pared después de que Tesorion lanzó sus desencriptadores gratuitos y parece que han desarrollado una nueva cepa desde cero.

Según lo informado por Vitali Kremez de SentinelLabs y Michael Gillespie de ID Ransomware, el nuevo ransomware Nefilim que se lanzó el mes pasado parece estar basado en el código de Nemty.

Con lo que parece ser un RaaS nuevo y renombrado en funcionamiento, no había razón para que la pandilla Nemty mantuviera al viejo.

Algo similar a esto sucedió el año pasado cuando los operadores del ransomware Gandcrab también cerraron su operación y crearon la nueva cepa Sodinokibi (REvil) después de que las firmas de seguridad siguieron descifrando la cepa Gandcrab anterior, dañando la reputación, las ganancias y la clientela del ransomware.

Y al igual que el antiguo Nemty, la nueva operación de Nefilim también ejecuta un «sitio de filtración» donde publican archivos de compañías que no pagan el rescate.

La mala noticia es que el nuevo Nefilim RaaS parece ser un éxito y bastante activo, con nuevas filtraciones que se publican semanalmente.

nefilim-leak-site.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/04/15/7e8b93f3-f3f1-4bfe-a03c-feb72056ce92/nefilim-leak-site.png

«Sitio de fuga» para el servicio de ransomware Nefilim

Imagen: ZDNet





Enlace a la noticia first