Pandillas de ransomware y la distracción del juego de nombres – Krebs on Security


Es agradable cuando a las bandas de ransomware les roban sus bitcoins, los servidores de malware se cierran o se ven obligados a disolverse. Nos aferramos a estas victorias ocasionales porque la historia nos dice que la mayoría de los colectivos de ransomware que generan dinero no se van, sino que se reinventan con un nuevo nombre, con nuevas reglas, objetivos y armamento. De hecho, algunos de los grupos de ransomware más destructivos y costosos se encuentran ahora en su tercera encarnación.

Una línea de tiempo aproximada de las principales operaciones de ransomware y sus enlaces reputados a lo largo del tiempo.

La reinvención es una habilidad de supervivencia básica en el negocio del ciberdelito. Uno de los trucos más antiguos del libro es fingir la desaparición o la jubilación e inventar una nueva identidad. Un objetivo clave de tal subterfugio es confundir a los investigadores o dirigir temporalmente su atención a otra parte.

Los sindicatos de ciberdelincuentes también realizan actos de desaparición similares cuando les conviene. Estos reinicios organizacionales son una oportunidad para que los líderes de programas de ransomware establezcan nuevas reglas básicas para sus miembros, como qué tipos de víctimas no están permitidas (por ejemplo, hospitales, gobiernos, infraestructura crítica) o cuánto del pago de rescate debe pagar un afiliado. Espere llevar el acceso del grupo a una nueva pink de víctimas.

Reuní el gráfico anterior para ilustrar algunas de las reinvenciones de pandillas de rescate más notables en los últimos cinco años. Lo que no muestra es lo que ya sabemos sobre los ciberdelincuentes detrás de muchos de estos grupos de ransomware aparentemente dispares, algunos de los cuales fueron pioneros en el espacio del ransomware hace casi una década. Exploraremos eso más en la segunda mitad de esta historia.

Una de las renovaciones más interesantes y recientes implica Lado oscuro, el grupo que extrajo un rescate de $ 5 millones de Oleoducto colonial a principios de este año, solo para ver que gran parte de ella fue recuperada en una operación del Departamento de Justicia de EE. UU.

Después de reconocer que alguien también se había apoderado de sus servidores de World wide web, DarkSide anunció que se estaba retirando. Pero poco más de un mes después, un nuevo programa de afiliados de ransomware llamado Materia Negra surgieron, y los expertos rápidamente determinado BlackMatter estaba usando los mismos métodos de encriptación únicos que DarkSide había usado en sus ataques.

La desaparición de DarkSide coincidió aproximadamente con la de Mal, un grupo de ransomware de larga knowledge que afirma haber extorsionado más de $ 100 millones a las víctimas. La última gran víctima de REvil fue Kaseya, una empresa con sede en Miami cuyos productos ayudan a los administradores de sistemas a gestionar grandes redes de forma remota. Ese ataque permitió a REvil implementar ransomware en hasta 1.500 organizaciones que usaban Kaseya.

REvil exigió la friolera de $ 70 millones para lanzar un descifrador universal para todas las víctimas del ataque de Kaseya. Solo unos días después Presidente Biden según se informa le dijo al ruso Presidente vladimir putin que espera que Rusia actúe cuando Estados Unidos comparta información sobre rusos específicos involucrados en actividades de ransomware.

Una nota de rescate de REvil.

No está claro si esa conversación motivó acciones. Pero el blog site de avergonzar a las víctimas de REvil desaparecería de la world wide web oscura solo cuatro días después.

Mark Arena, Director ejecutivo de la empresa de inteligencia sobre amenazas cibernéticas Intel 471, dijo que no está claro si BlackMatter es el equipo de REvil que opera bajo una nueva bandera, o si es simplemente la reencarnación de DarkSide.

Pero una cosa está clara, dijo Arena: «Es possible que los volvamos a ver a menos que hayan sido arrestados».

Probablemente, de hecho. REvil es ampliamente considerado un reinicio de GandCrab, una prolífica banda de ransomware que se jactó de extorsionar más de $ 2 mil millones durante 12 meses antes de cerrar abruptamente en junio de 2019. “Somos la prueba viviente de que puedes hacer el mal y salir libre de culpa, —Se jactó Gandcrab.

¿Y no lo sabrías? Los investigadores han encontrado GandCrab comportamientos clave compartidos con Cerber, una operación temprana de ransomware como servicio que dejó de reclamar nuevas víctimas aproximadamente al mismo tiempo que GandCrab entró en escena.

CARAMBA

Los últimos meses han sido una época de mucha actividad para los grupos de ransomware que buscan cambiar de marca. BleepingComputadora recientemente informó que el nuevo «Dolor» El inicio de ransomware fue solo el último trabajo de pintura de DoppelPaymer, una cepa de ransomware que compartió la mayor parte de su código con una iteración anterior de 2016 llamada BitPaymer.

Las tres operaciones de rescate provienen de un prolífico grupo de delitos informáticos conocido como TA505, «Araña Indrik«Y (quizás lo más unforgettable) Evil Corp. Según firma de seguridad CrowdStrike, Indrik Spider se formó en 2014 por antiguos afiliados de la purple felony GameOver Zeus que internamente se referían a sí mismos como «The Small business Club».

El Business enterprise Club period una notoria banda de ciberdelincuencia organizada de Europa del Este acusada de robar más de $ 100 millones de bancos y empresas de todo el mundo. En 2015, el FBI ofreció una recompensa permanente de $ 3 millones por información que condujera a la captura del líder del Company Club: Evgeniy Mikhailovich Bogachev. Para cuando el FBI puso precio a su cabeza, el troyano Zeus de Bogachev y variantes posteriores habían estado infectando computadoras durante casi una década.

El supuesto autor del troyano ZeuS, Evgeniy Mikhaylovich Bogachev. Fuente: FBI

Bogachev estaba muy por delante de sus colegas en la búsqueda de ransomware. Su Gameover Zeus Botnet period una máquina delictiva de igual a igual que infectó entre 500.000 y un millón Microsoft Home windows ordenadores. A lo largo de 2013 y 2014, las Personal computer infectadas con Gameover se sembraron con Cryptolocker, una variedad temprana de ransomware muy copiada supuestamente escrita por el propio Bogachev.

CrowdStrike señala que poco después de la creación del grupo, Indrik Spider desarrolló su propio malware personalizado conocido como Dridex, que se ha convertido en un vector importante para la implementación de malware que sienta las bases para los ataques de ransomware.

“Las primeras versiones de Dridex eran primitivas, pero a lo largo de los años el malware se volvió cada vez más profesional y sofisticado”, escribieron los investigadores de CrowdStrike. «De hecho, las operaciones de Dridex fueron importantes durante 2015 y 2016, lo que la convierte en una de las familias de malware eCrime más frecuentes».

Ese Informe CrowdStrike era de julio de 2019. En abril de 2021, los expertos en seguridad de Program Check out Issue encontró Dridex seguía siendo el malware más frecuente (por segundo mes consecutivo). Se distribuye principalmente a través de correos electrónicos de phishing bien elaborados, como una campaña reciente que falsificó QuickBooks – Dridex a menudo sirve como punto de apoyo inicial del atacante en los ataques de ransomware en toda la empresa, dijo CheckPoint.

CAMBIAR LA MARCA PARA EVITAR SANCIONES

Otra familia de ransomware vinculada a Evil Corp. y la pandilla Dridex es WastedLocker, que es el nombre más reciente de una cepa de ransomware que ha cambiado de nombre varias veces desde 2019. Fue entonces cuando el Departamento de Justicia puso una recompensa de $ 5 millones por el jefe de Evil Corp., y el Departamento del Tesoro Oficina de Manage de Activos Extranjeros (OFAC) dijo que estaba preparada para imponer fuertes multas a cualquiera que pagara un rescate al grupo de ciberdelincuencia.

El presunto líder de Evil Corp, Maksim «Aqua» Yakubets. Imagen: FBI

A principios de junio de 2021, los investigadores descubrieron que la pandilla Dridex estaba nuevamente tratando de transformarse en un esfuerzo por evadir las sanciones de Estados Unidos. El drama comenzó cuando el Grupo de ransomware Babuk anunció en mayo que estaban iniciando una nueva plataforma para la extorsión por filtración de datos, que estaba destinada a atraer a los grupos de ransomware que aún no tenían un blog donde pueden avergonzar públicamente a las víctimas para que paguen liberando gradualmente los datos robados.

El 1 de junio, Babuk cambió el nombre de su sitio de filtraciones a payload (dot) bin y comenzó a filtrar datos de las víctimas. Desde entonces, varios expertos en seguridad han detectado lo que creen que es otra versión de WastedLocker disfrazado de ransomware de la marca payload.bin.

«Parece que EvilCorp está tratando de hacerse pasar por Babuk esta vez» escribió Fabian Wosar, director de tecnología de la empresa de seguridad Emsisoft. «A medida que Babuk lanza su portal de fugas PayloadBin, EvilCorp cambia el nombre de WastedLocker una vez más como PayloadBin en un intento de engañar a las víctimas para que violen las regulaciones de la OFAC».

Los expertos se apresuran a señalar que muchos ciberdelincuentes involucrados en actividades de ransomware están afiliados a más de una operación distinta de ransomware como servicio. Además, es común que una gran cantidad de afiliados migren a grupos de ransomware competidores cuando su patrocinador actual se cierra repentinamente.

Todo lo anterior parecería sugerir que el éxito de cualquier estrategia para contrarrestar la epidemia de ransomware depende en gran medida de la capacidad de interrumpir o detener a un número relativamente pequeño de ciberdelincuentes que parecen llevar muchos disfraces.

Quizás por eso la Administración Biden dijo el mes pasado que period ofreciendo una recompensa de $ 10 millones para obtener información que lleve al arresto de las pandillas detrás de los esquemas de extorsión, y para nuevos enfoques que faciliten el rastreo y el bloqueo de los pagos en criptomonedas.





Enlace a la noticia authentic