Una investigación realizada por la compañía de ciberseguridad Analyst1 pudo identificar varias bandas de ciberdelincuente que podrían estar operando desde un Cartel, que se coordinaban a través de sitios web, además compartían técnicas, infraestructura de comando y control.
“Los atacantes se están moviendo hacia la automatización de sus ataques. Varias bandas han agregado capacidades automatizadas a sus cargas de rescate, lo que les permite propagarse e infectar a sus víctimas sin interacción humana”, informo Analyst1.
Según la investigación los atacantes reinvierten las ganancias obtenidas de las operaciones, de esa forma mejoran sus tácticas para no ser detectable y tener más éxito, incorporando nuevas funcionalidades al malware.
Los investigadores encontraron las evidencias necesarias para evidenciar que las bandas están trabajando juntos compartiendo recursos y técnicas de ataque.
“Analyst1 evalúa que el Cartel no es una entidad auténtica, sino un colectivo de bandas criminales que, a veces, trabajan juntas en operaciones de rescate.” Además concluyen en su investigación que “creemos que las pandillas crearon la fachada del Cartel para parecer más grandes, más fuertes y poderosas para intimidar aún más a las víctimas para que paguen demandas de rescate”. La investigación arrojo que no existe evidencia que las bandas comparten las ganancias entre ellas.
Son de origen de Europa del Este y hablan principalmente en ruso, estas bandas se preocupan de crear controles en sus malware para no afectar a victimas rusas.
Los actores de amenaza se compone de cinco bandas y sus respectivos ransomware, pero considerar que la banda SunCrypt ya no está activa
- Twisted Spedir
- Viking Spider
- Wizard Spider
- Lockbit Gang
- Suncrypy Gang
Algunas características importantes de cada banda:
Twisted Spider:
- Utiliza el ransomware Egregor y Maze para extorsionar
- Utiliza herramienta de código abierto RClone junto con la infraestructura pública (servidores FTP, Dropbox, etc.) para copiar y filtrar los datos de las
Viking Spider:
- Utiliza su propia máquina virtual (VM) en entornos de víctimas para evadir la detección.
- Utiliza Software MSP para entregar malware y herramientas.
- Utiliza Facebook para presionar a las víctimas para que paguen el rescate.
- Realiza ataques DDoS además de ataques de rescate para presionar a las víctimas a pagar.
Wizard Spider
- Realizan ataques con Ryuk y Conti Ransomware.
- Desarrolló un malware para realizar espionaje conocido como malware Sidoh.
The Lockbit Gang:
- Automatiza los ataques y sigue siendo el atacante más eficiente asociado.
- El ransomware Lockbit utiliza una técnica de autopropagación.
- El atacante sobrescribió el Master Boot Record (MBR) requiriendo una contraseña para arrancar.
The SunCrypt Gang
- Introduce ataques de denegación de servicio como táctica de extorsión que se utiliza junto con los ataques de ransomware.
- Utiliza el cifrado de flujo Cha Cha 20 que se encuentra en las cargas útiles del ransomware Twisted Spider’s Maze y Egregor.
- Se comunicó con dos direcciones IP de C&C que Twisted Spider utilizó anteriormente en sus operaciones de ransomware Maze
