En medio de la vergüenza de las riquezas, las bandas de rescate subcontratan cada vez más su trabajo: Krebs on Security


Hay un viejo adagio en seguridad de la información: «Todas las empresas se someten a pruebas de penetración, ya sea que paguen o no a alguien por el placer». Muchas organizaciones que contratan profesionales para probar su postura de seguridad en la pink, desafortunadamente tienden a enfocarse en corregir las vulnerabilidades que los piratas informáticos podrían usar para ingresar. Pero a juzgar por la proliferación de anuncios que buscan ayuda para pentesters ofensivos en la clandestinidad del ciberdelito, los atacantes actuales tienen exactamente cero problemas. Ganar esa intrusión inicial: El verdadero desafío parece ser contratar a suficientes personas para ayudar a todos a beneficiarse del acceso ya obtenido.

Una de las formas más comunes en que se monetiza dicho acceso en estos días es a través del ransomware, que retiene los datos de la víctima y / o computadoras como rehenes a menos que y hasta que se realice un pago de extorsión. Pero en la mayoría de los casos, existe una enorme brecha de días, semanas o meses entre la intrusión inicial y el despliegue del ransomware dentro de una organización víctima.

Esto se debe a que, por lo common, los intrusos necesitan tiempo y un gran esfuerzo para pasar de una sola Pc infectada a tomar el command de suficientes recursos dentro de la organización víctima, donde tiene sentido lanzar el ransomware.

Esto incluye pivotar desde o convertir un solo comprometido Microsoft Windows cuenta de usuario a una cuenta de administrador con mayores privilegios en la purple de destino la capacidad de eludir y / o desactivar cualquier software program de seguridad y obtener el acceso necesario para interrumpir o corromper cualquier sistema de respaldo de datos que pueda tener la empresa víctima.

Cada día, se envían millones de correos electrónicos con malware que contienen archivos adjuntos con trampas explosivas. Si se abre el archivo adjunto, el documento malicioso procede a descargar silenciosamente malware adicional y herramientas de piratería en la máquina víctima (aquí hay un ejemplo de online video de un archivo adjunto malicioso de Microsoft Office del servicio sandbox de malware any.run). Desde allí, el sistema infectado informará a un servidor de command de malware operado por los spammers que enviaron la misiva.

En ese momento, el control sobre la máquina víctima puede transferirse o venderse varias veces entre diferentes ciberdelincuentes que se especializan en explotar dicho acceso. Estas personas son a menudo contratistas que trabajan con grupos de ransomware establecidos y a quienes se les paga un porcentaje determinado de cualquier pago de rescate eventual realizado por una empresa víctima.

EL Medical doctor ESTÁ EN

Ingrese subcontratistas como «Dr. Samuil, ”Un ciberdelincuente que ha mantenido una presencia en más de una docena de los principales foros de ciberdelincuencia en ruso durante los últimos 15 años. En una serie de anuncios recientes, el Dr. Samuil dice que está contratando con entusiasmo a personas con experiencia que estén familiarizadas con las herramientas que utilizan los pentesters legítimos para explotar el acceso una vez dentro de una empresa objetivo, específicamente, marcos posteriores a la explotación como el Golpe de cobalto.

“Se le proporcionarán regularmente accesos selectos que fueron auditados (estos son aproximadamente 10-15 accesos de cada 100) y vale la pena intentarlo”, escribió el Dr. Samuil en uno de esos anuncios de solicitud de ayuda. “Esto ayuda a todos los involucrados a ahorrar tiempo. También contamos con computer software privado que evita la protección y proporciona un rendimiento fluido «.

A partir de otros anuncios clasificados que publicó en agosto y septiembre de 2020, parece claro que el equipo del Dr. Samuil tiene algún tipo de acceso privilegiado a los datos financieros de las empresas objetivo que les da una mejor strategy de cuánto efectivo puede tener disponible la empresa víctima para pagar. una demanda de rescate. Esto es:

“Existe una enorme información privilegiada sobre las empresas a las que nos dirigimos, incluida información si hay unidades de cinta y nubes (por ejemplo, Datto que está diseñado para durar, and so forth.), lo que afecta significativamente la escala de la tasa de conversión.

Requisitos:
– experiencia con almacenamiento en la nube, ESXi.
– experiencia con Energetic Directory.
– aumento de privilegios en cuentas con derechos limitados.

* Grave nivel de información privilegiada sobre las empresas con las que trabajamos. Hay comprobantes de pagos importantes, pero solo para Lead verificados.
* También hay un MEGA Inside of privado, sobre el cual no escribiré aquí en público, y es solo para Qualified prospects experimentados con sus equipos.
* No miramos los informes de INGRESOS / INGRESOS NETOS / Contadores, este es nuestro MEGA Inside, en el que sabemos exactamente cuánto exprimir con confianza al máximo en complete.

Según firma de ciberseguridad Intel 471, El anuncio del Dr. Samuil no es único, y hay varios otros ciberdelincuentes experimentados que son clientes de ofertas populares de ransomware como servicio que están contratando subcontratistas para que realicen parte del trabajo pesado.

“Dentro de la clandestinidad de los ciberdelincuentes, los accesos comprometidos a las organizaciones se compran, venden y comercializan fácilmente”, dijo el CEO de Intel 471 Mark Arena dijo. “Varios profesionales de la seguridad han tratado anteriormente de minimizar el impacto comercial que los ciberdelincuentes pueden tener en sus organizaciones”.

“Pero debido al rápido crecimiento del mercado de accesos comprometidos y al hecho de que estos se pueden vender a cualquiera, las organizaciones deben centrarse más en los esfuerzos para comprender, detectar y responder rápidamente a los compromisos de la red ”, continuó Arena. «Eso cubre la revisión más rápida de las vulnerabilidades importantes, la detección y el monitoreo continuos de malware legal, y la comprensión del malware que está viendo en su entorno, cómo llegó allí y qué se eliminó o podría haber eliminado posteriormente».

QUIEN ES DR. SAMUIL?

Al realizar la investigación para esta historia, KrebsOnSecurity descubrió que Dr. Samuil es el identificador utilizado por el propietario de negocio multi-vpn (.), un servicio de crimson privada digital (VPN) de larga duración comercializado para ciberdelincuentes que buscan anonimizar y cifrar su tráfico en línea haciéndolo rebotar a través de múltiples servidores en todo el mundo.

Toma una Coca-Cola y un cóctel Molotov. Imagen: twitter.com/multivpn

MultiVPN es el producto de una empresa llamada Soluciones de Ruskod Networks (también conocido como ruskod (.) purple), que afirma tener su sede en los paraísos de empresas offshore de Belice y Seychelles, pero que parece estar dirigido por un tipo que vive en Rusia.

Los registros de registro de dominio para ruskod (.) Web fueron ocultos hace mucho tiempo por los servicios de privacidad de WHOIS. Pero segun Domaintools.com (un anunciante en este sitio), los registros de WHOIS originales para el sitio desde mediados de la década de 2000 indican que el dominio fue registrado originalmente por un Sergey Rakityansky.

Este no es un nombre poco común en Rusia o en muchas naciones vecinas de Europa del Este. Pero un ex socio comercial de MultiVPN que tuvo una pelea bastante pública con el Dr. Samuil en el ciberdelito clandestino le dijo a KrebsOnSecurity que Rakityansky es de hecho el apellido genuine del Dr. Samuil, y que él es un hombre de 32 o 33 años que actualmente vive en Bryansk, una ciudad ubicada aproximadamente a 200 millas al suroeste de Moscú.

Ni el Dr. Samuil ni MultiVPN han respondido a las solicitudes de comentarios.


Etiquetas: herramientas de dominio, Dr. Samuil, Intel 471, Mark Arena, Sergey Rakityansky

Esta entrada se publicó el jueves 8 de octubre de 2020 a las 3:42 pm y está archivada en A Minor Sunshine, Ne&#39er-Do-Very well Information, World wide web Fraud 2..
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia original