Grupos de ransomware se asocian con hackers para extorsionar a las víctimas
Los grupos de ransomware como servicio (ransomware-as-a-service – RaaS) están buscando activamente afiliados para dividir las ganancias. Buscan dividir las ganancias obtenidas en ataques de ransomware subcontratados dirigidos a organizaciones públicas y privadas de alto perfil.
Algunos ven los servicios RaaS como un servicio de alquiler de ransomware. En estos casos los actores de amenazas que vulneran las redes de los objetivos pagan una tarifa para utilizar el malware del grupo RaaS. En realidad, solo el ransomware de menor calidad se alquila o vende de esta manera.
Los grupos de ransomware más conocidos ejecutan programas de afiliados privados donde los afiliados pueden enviar solicitudes y currículums para solicitar la membresía.
Para los afiliados que son aceptados en el programa, los desarrolladores de ransomware reciben un pago del 20-30% del dinero recibido. Mientras tanto, un afiliado obtiene el 70-80% de los pagos de rescate que generan.
Para cifrar los sistemas de las víctimas, los afiliados solicitarán los servicios de un hacker que obtenga acceso a las redes de los objetivos. Después deben obtener privilegios de administrador de dominio, recolectar y extraer archivos. Finalmente, deben pasar toda la información necesaria a los afiliados para obtener acceso y cifrar.
Las ganancias que se originan a partir de los rescates pagados después de cada uno de los ataques se dividirán. Estas se dividen entre el equipo de RaaS, los hackers que violaron la red y el afiliado de ransomware, generalmente en partes iguales.
Niveles de grupos de ransomware
Actualmente, hay más de 24 bandas activas de ransomware como servicio que buscan activamente subcontratar los ataques de extorsión a los afiliados de ransomware.
Como dice la firma de inteligencia de amenazas Intel 471 en un informe publicado hoy, también hay “grupos privados conocidos. Estos grupos operan en círculos criminales estrechos y unidos que utilizan canales de comunicación directos y privados de los que tenemos poca visibilidad”.
Los grupos de ransomware que Intel 471 observó durante el último año se pueden clasificar en tres grupos (o niveles) diferentes. La clasificación se da según su notoriedad y el tiempo que han estado activos.
Van desde “grupos bien conocidos que se han convertido en sinónimo de ransomware, hasta variantes recién formadas que han surgido de los fallos de antaño. También están las variantes completamente nuevas que pueden tener la capacidad de desbancar a las cábalas de alto nivel actuales”.
Nivel 1
Los grupos de ransomware de NIVEL 1 son grupos que han recaudado con éxito cientos de millones en rescates en los últimos años.
La gran mayoría de ellos también está utilizando esquemas de extorsión adicionales. Por ejemplo, robar información confidencial de las redes de sus víctimas y amenazar con filtrarla a menos que se pague el rescate.
Los grupos de RaaS incluidos en el grupo de NIVEL 1 son varios. Aquí encontramos a DopplePaymer (utilizado en ataques a Pemex, Bretagne Télécom, Universidad de Newcastle, Universidad de Düsseldorf). Asimismo, Egregor (Crytek, Ubisoft, Barnes & Noble), Netwalker/Mailto (Equinix, UCSF, Universidad del Estado de Míchigan, Toll Group) y REvil/Sodinokibi (Travelex, aeropuerto de Nueva York, gobierno local de Texas).
Ryuk está en la cima de la clasificación; sus paylaods se detectaron en aproximadamente uno de cada tres ataques de ransomware durante el último año.
El grupo también es conocido por entregar sus payloads como parte de ataques de múltiples etapas utilizando vectores de infección. Por ejemplo, usan Trickbot, Emotet y BazarLoader para acceder fácilmente a las redes de sus objetivos.
Los afiliados de Ryuk también han estado detrás de una gran ola de ataques contra el sistema de salud de los Estados Unidos. Y, también por recibir enormes pagos de rescate, habiendo recolectado $34 millones de una sola víctima a principios de este año.
Nivel 2
Las operaciones de NIVEL 2 de RaaS han crecido lentamente a un mayor número de afiliados durante 2020 y estuvieron involucradas en varios ataques confirmados.
Los grupos de ransomware incluidos en este nivel son SunCrypt, Conti, Clop y Ragnar Locker. También Pysa/Mespinoza, Avaddon, DarkSide (que se cree que es un fragmento de REvil) y más.
Al igual que las bandas de ransomware NIVEL 1, también están utilizando la táctica de extorsión por robo de datos como método de extorsión secundario.
| Nombre | Fecha en que fue descubierto | Atribuciones de ataques | Opciones vendidas | Blog de fugas |
| Avaddon | Marzo de 2020 | Menos de 10 | Exploit | Si |
| Conti | Agosto de 2020 | 142 | Privado | Si |
| Clop | Marzo de 2020 | Más de 10 | N/A | Si |
| DarkSide | Agosto de 2020 | Menos de 5 | Exploit | Si |
| Pysa / Mespinoza | Agosto de 2020 | Más de 40 | N/A | Si |
| Ragnar | Diciembre de 2019 | Más de 25 | Exploit | Si |
| Ranzy | Octubre de 2020 | 1 | Exploit y XSS | Si |
| SunCrypt | Octubre de 2019 | Más de 20 | Mazafaka | Si |
| Thanos | Agosto de 2020 | Más de 5 | Raid | No |
Nivel 3
Los equipos de NIVEL 3 de RaaS están ofreciendo productos recién creados a los afiliados. No obstante, según Intel 471, “no hay información sobre ataques exitosos, volumen de ataques, pagos recibidos o costo de mitigación”.
Los grupos etiquetados como grupos emergentes de NIVEL 3 incluyen a Nemty, Wally, XINOF, Zeoticus, CVartek.u45, Muchlove, Rush, Lolkek, Gothmog y Exorcist.
| Nombre | Fecha en que fue descubierto | Incidentes notables | Opciones vendidas | Blog de fugas |
| CVartek.u45 | Marzo de 2020 | Ninguna | Torum | No |
| Exorcist | Julio de 2020 | Ninguna | XSS | No |
| Gothmog | Julio de 2020 | Ninguna | Exploit | No |
| Lolkek | Julio de 2020 | Ninguna | XSS | No |
| Muchlove | Abril de 2020 | Ninguna | XSS | No |
| Nemty | Febrero de 2020 | 1 | XSS | Si |
| Rush | Julio de 2020 | Ninguna | XSS | No |
| Wally | Febrero de 2020 | Ninguna | Nulo | No |
| XINOF | Julio de 2020 | Ninguna | Canal privado de Telegram | No |
| Zeoticus | 1.0 de diciembre de 2019, 2.0 de septiembre de 2020 | Ninguna | XSS / canales privados | No |
Otros grupos activos de RaaS
Además de los grupos de ransomware enumeradas por Intel 471 como socios que buscan activamente, también conocemos otros grupos de RaaS grandes y emergentes.
Por ejemplo, Dharma es un RaaS de larga duración que existe desde 2017. Este es conocido como una derivación del ransomware Crysis, que comenzó a operar en 2016.
Dharma no utiliza sitios de filtración de datos y no hay informes amplios de robo de datos. Los rescates que cobran sus afiliados pueden oscilar entre miles y cientos de miles de dólares estadounidenses.
LockBit, otra operación de RaaS de alto perfil, surgió en septiembre de 2019 como una operación privada dirigida a empresas. Posteriormente, fue observada por Microsoft mientras se usaba en ataques de atención médica y servicios críticos.
El grupo LockBit se asoció con Maze para crear un cartel de extorsión para compartir la misma plataforma de filtración de datos durante los ataques. Asimismo, para intercambiar tácticas e inteligencia.
Los actores del ransomware LockBit también tardan tan solo cinco minutos en implementar payloads después de obtener acceso a la red de la víctima.
Otras operaciones RaaS que quedan fuera de los niveles de Intel 471 son Ragnarok, CryLock, ProLock, Nefilimy Mount Locker. Hasta donde tenemos conocimiento, todas están activas e involucradas en ataques recientes.
