¿4 grandes grupos de ransomware realmente formaron un cartel?



Un análisis de conocidos grupos de extorsión y sus transacciones en criptomonedas revela la respuesta.

Una colección de grupos de ransomware que se unieron para crear un «cartel» rara vez colaboran y no comparten ganancias, lo que sugiere que las preocupaciones sobre una organización ciberdelincuente en expansión son exageradas, según Analyst1.

Los cuatro grupos de ciberdelincuentes, Twisted Spider, Viking Spider, Wizard Spider y Lockbit Gang, anunciaron en diferentes momentos durante el verano de 2020 que trabajarían juntos, pero dieron pocos detalles más. En noviembre, cuando Twisted Spider, también conocido como el grupo Maze, cerró, negó que alguna vez hubiera existido un cartel.

En un informe de casi 60 páginas, Jon DiMaggio, excontratista de la Agencia de Seguridad Nacional (NSA) y ahora estratega jefe de seguridad de la firma de inteligencia de amenazas Analyst1, investigó si los grupos realmente habían unido fuerzas. Si bien documentó el intercambio de información sobre violaciones de datos, la publicación cruzada de datos y el intercambio de técnicas, nunca vio ningún reparto de ingresos o coordinación entre los grupos, dice.

«Si busca qué es un cartel … el tema principal es cuando estas organizaciones trabajan juntas y comparten las ganancias entre sí», dice DiMaggio. «Lo que nunca vi, ni siquiera una vez, es una pandilla pagando a otra pandilla. Al final del día, pueden llamarse a sí mismos un cartel, pero no creo que sean un cartel».

El informe profundiza en los intrincados detalles del año pasado, una época en la que los ataques de ransomware se duplicaron con creces. En mayo de 2020, Twisted Spider anunció que se había unido al grupo LockBit para formar un cartel para «compartir su experiencia y plataforma de filtración de datos». según un informe.

Sin embargo, los grupos solo parecían compartir sus sitios de filtración de datos, en los que se publica la información de las víctimas, y algo de infraestructura, según el informe Analyst1.

«Sin embargo, es necesario que haya más que cooperación, intercambio de recursos y tácticas entre las pandillas para que su asociación califique como un verdadero Cartel», afirma el informe. «La participación en las ganancias es el elemento principal que falta en la coalición de atacantes de ransomware discutida. Los cárteles son peligrosos debido a los grandes recursos financieros que proporciona la participación en las ganancias».

Hasta cierto punto, el anuncio del cartel parecía ser una banda de ransomware que intentaba atraer la atención de los medios. Los cuatro grupos parecieron acercarse a los periodistas e incluso hicieron declaraciones públicas. En specific, si una empresa se negaba a pagar, Twisted Spider emitía comunicados de prensa criticando a las empresas, y Viking Spider, que infectó a las víctimas con Ragnar Locker, utilizaba anuncios de Facebook y un «muro de la vergüenza».

La preocupación por el enjuiciamiento legal puede haber llevado tanto al cierre (o, más exactamente, al cambio de nombre) del grupo Maze como Egregor como a la refutación de que los grupos estaban cooperando, según el informe.

«(L) a evidencia … apoya la teoría de que Twisted Spider y otras bandas trabajan juntas», afirma el informe de Analyst1. «Tanto su retiro como su retroceso en la afiliación al Cartel después de meses de promoverlo probablemente fue un intento de desviar a los investigadores y las fuerzas del orden».

Si bien la escasa colaboración entre los grupos parece no representar una amenaza, los grupos se están volviendo más peligrosos al reinvertir los ingresos en mejorar sus operaciones de ransomware. Esto incluye expandir las operaciones automatizadas y actualizar regularmente el malware con funciones más avanzadas, lo que hace que las bandas de ransomware sean más peligrosas, dice DiMaggio.

Wizard Spider, el grupo con más experiencia y comúnmente asociado con Trickbot y el ransomware Ryuk, ha creado un sistema automatizado para infectar y actualizar los sistemas de la organización víctima. Si bien la mayoría de los ataques de ransomware tardan varios días o semanas desde el compromiso inicial para «apretar el gatillo» e iniciar el ransomware, la automatización podría reducirlo a horas, dice.

«En common, el ransomware es actualmente un proceso muy handbook, pero están trabajando diligentemente para cerrar la brecha de tiempo utilizando técnicas automatizadas», dice.

Lockbit Gang, el cuarto miembro del «cartel», invierte mucho tiempo en automatizar su proceso. En un caso, el atacante infectó un sistema, extendió el compromiso y ejecutó el ransomware en menos de dos horas, según el informe.

La pandilla pretende ser un servicio de apoyo, que ayuda a las empresas a recuperarse del cripto-malware por una tarifa, es decir, el rescate.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Examining, MIT&#39s Know-how Evaluation, Well-known Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial