¿Cómo es contratado uno por una de las principales bandas delictivas cibernéticas? – Krebs sobre seguridad


La Departamento de Justicia de EE. UU. (DOJ) anunció la semana pasada el arresto de una mujer letona de 55 años que presuntamente trabajó como programadora para Trickbot, una plataforma de malware como servicio responsable de infectar millones de computadoras y sembrar muchos de esos sistemas con ransomware.

¿Cómo es que una diseñadora de sitios web autónoma y madre de dos hijos llegó a trabajar para uno de los grupos de ciberdelincuentes más rapaces del mundo y luego dejó un rastro tan obvio de pistas que indican su participación en la pandilla? Esta publicación explora las respuestas a esas preguntas, así como algunas de las formas en que Trickbot y otras bandas organizadas de delitos informáticos reclutan, preparan y confían gradualmente en nuevos programadores.

Sitio world-wide-web own de Alla Witte – allawitte (.) Nl – alrededor de octubre de 2018.

La acusación emitida por el DOJ (PDF) está muy redactado y solo se nombra a uno de los acusados: Alla «Max» Witte, ciudadano letón de 55 años que fue arrestado el 6 de febrero en Miami, Florida.

El Departamento de Justicia alega que Witte era responsable de «supervisar la creación de código relacionado con el monitoreo y seguimiento de los usuarios autorizados del malware Trickbot, el regulate y la implementación de ransomware, la obtención de pagos de las víctimas de ransomware y el desarrollo de herramientas y protocolos para el almacenamiento de credenciales». robado y exfiltrado de víctimas infectadas por Trickbot «.

La acusación también dice que Witte proporcionó un código al Trickbot Team para un panel web utilizado para acceder a los datos de las víctimas almacenados en una base de datos. Según el gobierno, esa foundation de datos contenía una gran cantidad de números de tarjetas de crédito y credenciales robadas de la botnet Trickbot, así como información sobre máquinas infectadas disponibles como bots.

«Witte proporcionó un código a este repositorio que mostraba el estado de una computadora infectada o &#39bot&#39 en diferentes colores según los colores de un semáforo y permitía a otros miembros del Grupo Trickbot saber cuándo sus co-conspiradores estaban trabajando en una máquina infectada en unique». alega la acusación.

Si bien cualquier acción policial contra un grupo delictivo que se haya dirigido a hospitales, escuelas, servicios públicos y gobiernos es una buena noticia, la acusación y el arresto de Witte probablemente fueron inevitables: es difícil pensar en un ciberdelincuente acusado que haya hecho más increíblemente pobre y novato operativo errores de seguridad que este anciano letón.

Para empezar, aparece en un momento de 2020 Witte en realidad alojado malware Trickbot en un sitio web de vanidad registrado a su nombreallawitte (.) nl.

Si bien en basic es una mala notion que los ciberdelincuentes mezclen su vida own con el trabajo, las cuentas de las redes sociales de Witte mencionan que un acquainted cercano (tal vez su hijo o esposo) tenía el nombre de pila «Max», que supuestamente era su nombre de hacker.

A diferencia de muchos ciberdelincuentes acusados ​​que provienen de Rusia o de países exsoviéticos, Witte no se sintió obligada a evitar viajar a áreas donde podría estar al alcance de las fuerzas del orden de EE. UU. Según su acusación, Witte vivía en la nación sudamericana de Surinam y fue arrestada en Miami mientras volaba desde Surinam. No está claro dónde estaba su destino previsto.

Una publicación traducida por Google que Witte hizo en su página de Vkontakte, cinco años antes de supuestamente unirse al grupo Trickbot.

Alex Holden, fundadora de la firma de inteligencia de ciberseguridad Keep Security, dijo que el mayor mistake de juicio de Witte se produjo en Navidad en 2019, cuando infectó una de sus propias computadoras con el malware Trickbot, lo que le permitió robar y registrar sus datos dentro de la interfaz de la botnet.

«Además de la reutilización de contraseñas, los datos muestran una gran comprensión de su uso private y profesional de World wide web», escribió Holden en una publicación de site sobre el arresto de Witte.

“Muchos en la pandilla no solo conocían su género sino también su nombre”, escribió Holden. “Varios miembros del grupo tenían carpetas de AllaWitte con datos. Se refieren a Alla casi como si se dirigieran a sus madres «.

Entonces, ¿cómo esta madre hacker con aparentemente cero sentido de autoconservación llegó a trabajar para una de las bandas de ciberdelincuentes más depredadoras del mundo?

La acusación del gobierno dedica varias páginas a describir los procesos de contratación del grupo Trickbot, que continuamente buscó en los sitios website de trabajo basados ​​en tarifas en Rusia y Bielorrusia los currículums de programadores que buscaban trabajo. A los que respondieron se les pidió que crearan varios programas diseñados para probar las habilidades de codificación y resolución de problemas del solicitante.

Aquí hay un fragmento de texto de mensaje instantáneo traducido entre dos de los acusados ​​de Trickbot no identificados, en el que hablan sobre un solicitante que entendió de inmediato que lo estaban contratando para ayudar con la actividad del delito cibernético.

Una conversación entre dos miembros del grupo Trickbot sobre una posible nueva contratación. Imagen: DOJ.

La siguiente conversación, el 1 de junio de 2016 o alrededor de esa fecha, se refería a un posible nuevo empleado de Trickbot que completó con éxito una tarea de prueba que implicó alterar un navegador web Firefox.

Otros fragmentos de conversación en la acusación sugieren que la mayoría de los nuevos reclutas entienden que los proyectos y las tareas de prueba que se les pide que realicen están relacionados con la actividad del delito cibernético.

“La mayoría entiende que esto es blackhat y pedir el objetivo comercial”, escribió el acusado identificado solo como Co-Conspirador 8 (CC8).

Pero, ¿qué pasa con los nuevos empleados que no están al tanto de cómo se utilizan exactamente los programas que se les pide que creen? Otra fuente de la industria de la inteligencia de amenazas que ha tenido acceso al funcionamiento interno de Trickbot proporcionó un contexto adicional sobre cómo los desarrolladores están incorporados al grupo.

«Hay un proceso de contratación de dos pasos en el que al principio es posible que no comprenda para quién está trabajando», dijo la fuente. «Pero ese plazo suele ser bastante corto, como menos de un año».

Después de eso, si el candidato es lo suficientemente talentoso y trabajador, alguien del grupo Trickbot «leerá» al nuevo recluta, es decir, explicará en términos sencillos cómo se está utilizando su trabajo.

“Si eres bueno, en algún momento te leerán y lo sabrás, pero si no eres bueno o no estás de acuerdo con eso, lo clasificarán con bastante rapidez y tus servicios ya no será necesario ”, dijo la fuente. «Pero si superas ese primer año, las posibilidades de que aún no sepas lo que estás haciendo son muy escasas».

Según el DOJ, Witte tuvo acceso a Trickbot durante aproximadamente dos años entre 2018 y 2020.

Los investigadores dicen que antes de lanzar Trickbot, algunos miembros de la conspiración eran responsables de difundir Dyre, un ladrón de contraseñas particularmente sigiloso que buscaba contraseñas utilizadas en varios bancos. El gobierno dice que los miembros de Trickbot, incluido Witte, utilizan habitualmente contraseñas de cuentas bancarias robadas por su malware para drenar las cuentas bancarias de las víctimas y enviar el dinero a redes de mulas de dinero.

El modelo de contratación adoptado por Trickbot permite a la pandilla reclutar un flujo constante de desarrolladores talentosos de forma barata y encubierta. Pero también introduce el riesgo muy authentic de que los nuevos reclutas puedan ofrecer a los investigadores una forma de infiltrarse en las operaciones del grupo y posiblemente incluso identificar a los co-conspiradores.

Los ataques de ransomware son casi todos perpetrados en estos días por grupos de afiliados de ransomware que constantemente reclutan nuevos miembros para tener en cuenta el desgaste, la competencia de otros grupos de ransomware y el afiliado extraño que es arrestado por la policía.

Bajo el modelo de afiliados de ransomware, un ciberdelincuente puede ganar hasta el 85 por ciento del rescate whole pagado por una empresa víctima a la que es responsable de comprometer y traer al grupo. Pero de vez en cuando, la mala seguridad operativa de un afiliado expone toda la operación de la pandilla.

El 7 de junio, el Departamento de Justicia anunció que había recuperado $ 2.3 millones en Bitcoin que Colonial Pipeline pagó a los extorsionadores de ransomware el mes pasado. Los fondos habían sido enviados a DarkSide, un sindicato de ransomware como servicio que se disolvió después de un mensaje de despedida el 14 de mayo a los afiliados diciendo que sus servidores de World-wide-web y el alijo de criptomonedas fueron confiscados por entidades policiales desconocidas.

«El producto del pago del rescate de la víctima … se había transferido a una dirección específica, para la cual el FBI tiene la &#39clave privada&#39, o el equivalente aproximado de una contraseña necesaria para acceder a los activos accesibles desde la dirección específica de Bitcoin», explicó el DOJ. , algo crípticamente.

Varios expertos en seguridad se concentraron rápidamente en cómo los investigadores pudieron recuperar los fondos, que no representaban la cantidad full que Colonial pagó (~ $ 4,4 millones): la cantidad incautada period aproximadamente lo que un afiliado de DarkSide habría ganado por calificar la infección inicial de malware. que precipitó el incidente de ransomware.





Enlace a la noticia authentic