Grupos de ransomware se asocian con hackers para extorsionar a las víctimas

Los grupos de ransomware como servicio (ransomware-as-a-service – RaaS) están buscando activamente afiliados para dividir las ganancias. Buscan dividir las ganancias obtenidas en ataques de ransomware subcontratados dirigidos a organizaciones públicas y privadas de alto perfil.

Algunos ven los servicios RaaS como un servicio de alquiler de ransomware. En estos casos los actores de amenazas que vulneran las redes de los objetivos pagan una tarifa para utilizar el malware del grupo RaaS. En realidad, solo el ransomware de menor calidad se alquila o vende de esta manera.

Los grupos de ransomware más conocidos ejecutan programas de afiliados privados donde los afiliados pueden enviar solicitudes y currículums para solicitar la membresía.

Para los afiliados que son aceptados en el programa, los desarrolladores de ransomware reciben un pago del 20-30% del dinero recibido. Mientras tanto, un afiliado obtiene el 70-80% de los pagos de rescate que generan.

Para cifrar los sistemas de las víctimas, los afiliados solicitarán los servicios de un hacker que obtenga acceso a las redes de los objetivos. Después deben obtener privilegios de administrador de dominio, recolectar y extraer archivos. Finalmente, deben pasar toda la información necesaria a los afiliados para obtener acceso y cifrar.

Las ganancias que se originan a partir de los rescates pagados después de cada uno de los ataques se dividirán. Estas se dividen entre el equipo de RaaS, los hackers que violaron la red y el afiliado de ransomware, generalmente en partes iguales.

Niveles de grupos de ransomware

Actualmente, hay más de 24 bandas activas de ransomware como servicio que buscan activamente subcontratar los ataques de extorsión a los afiliados de ransomware.

Como dice la firma de inteligencia de amenazas Intel 471 en un informe publicado hoy, también hay “grupos privados conocidos. Estos grupos operan en círculos criminales estrechos y unidos que utilizan canales de comunicación directos y privados de los que tenemos poca visibilidad”.

Los grupos de ransomware que Intel 471 observó durante el último año se pueden clasificar en tres grupos (o niveles) diferentes. La clasificación se da según su notoriedad y el tiempo que han estado activos.

Van desde “grupos bien conocidos que se han convertido en sinónimo de ransomware, hasta variantes recién formadas que han surgido de los fallos de antaño. También están las variantes completamente nuevas que pueden tener la capacidad de desbancar a las cábalas de alto nivel actuales”.

Nivel 1

Los grupos de ransomware de NIVEL 1 son grupos que han recaudado con éxito cientos de millones en rescates en los últimos años.

La gran mayoría de ellos también está utilizando esquemas de extorsión adicionales. Por ejemplo, robar información confidencial de las redes de sus víctimas y amenazar con filtrarla a menos que se pague el rescate.

Los grupos de RaaS incluidos en el grupo de NIVEL 1 son varios. Aquí encontramos a DopplePaymer (utilizado en ataques a Pemex, Bretagne Télécom, Universidad de Newcastle, Universidad de Düsseldorf). Asimismo, Egregor (Crytek, Ubisoft, Barnes & Noble), Netwalker/Mailto (Equinix, UCSF, Universidad del Estado de Míchigan, Toll Group) y REvil/Sodinokibi (Travelex, aeropuerto de Nueva York, gobierno local de Texas).

Ryuk está en la cima de la clasificación; sus paylaods se detectaron en aproximadamente uno de cada tres ataques de ransomware durante el último año.

El grupo también es conocido por entregar sus payloads como parte de ataques de múltiples etapas utilizando vectores de infección. Por ejemplo, usan Trickbot, Emotet y BazarLoader para acceder fácilmente a las redes de sus objetivos.

Los afiliados de Ryuk también han estado detrás de una gran ola de ataques contra el sistema de salud de los Estados Unidos. Y, también por recibir enormes pagos de rescate, habiendo recolectado $34 millones de una sola víctima a principios de este año.

Nivel 2

Las operaciones de NIVEL 2 de RaaS han crecido lentamente a un mayor número de afiliados durante 2020 y estuvieron involucradas en varios ataques confirmados.

Los grupos de ransomware incluidos en este nivel son SunCrypt, Conti, Clop y Ragnar Locker. También Pysa/Mespinoza, Avaddon, DarkSide (que se cree que es un fragmento de REvil) y más.

Al igual que las bandas de ransomware NIVEL 1, también están utilizando la táctica de extorsión por robo de datos como método de extorsión secundario.

NombreFecha en que fue descubiertoAtribuciones de ataquesOpciones vendidasBlog de fugas
AvaddonMarzo de 2020Menos de 10ExploitSi
ContiAgosto de 2020142PrivadoSi
ClopMarzo de 2020Más de 10N/ASi
DarkSideAgosto de 2020Menos de 5ExploitSi
Pysa / MespinozaAgosto de 2020Más de 40N/ASi
RagnarDiciembre de 2019Más  de 25ExploitSi
RanzyOctubre de 20201Exploit y XSSSi
SunCryptOctubre de 2019Más de 20MazafakaSi
ThanosAgosto de 2020Más de 5RaidNo

Nivel 3

Los equipos de NIVEL 3 de RaaS están ofreciendo productos recién creados a los afiliados. No obstante, según Intel 471, “no hay información sobre ataques exitosos, volumen de ataques, pagos recibidos o costo de mitigación”.

Los grupos etiquetados como grupos emergentes de NIVEL 3 incluyen a Nemty, Wally, XINOF, Zeoticus, CVartek.u45, Muchlove, Rush, Lolkek, Gothmog y Exorcist.

NombreFecha en que fue descubiertoIncidentes notablesOpciones vendidasBlog de fugas
CVartek.u45Marzo de 2020NingunaTorumNo
ExorcistJulio de 2020NingunaXSSNo
GothmogJulio de 2020NingunaExploitNo
LolkekJulio de 2020NingunaXSSNo
MuchloveAbril de 2020NingunaXSSNo
NemtyFebrero de 20201XSSSi
RushJulio de 2020NingunaXSSNo
WallyFebrero de 2020NingunaNuloNo
XINOFJulio de 2020NingunaCanal privado de TelegramNo
Zeoticus1.0 de diciembre de 2019, 2.0 de septiembre de 2020NingunaXSS / canales privadosNo

Otros grupos activos de RaaS

Además de los grupos de ransomware enumeradas por Intel 471 como socios que buscan activamente, también conocemos otros grupos de RaaS grandes y emergentes.

Por ejemplo, Dharma es un RaaS de larga duración que existe desde 2017. Este es conocido como una derivación del ransomware Crysis, que comenzó a operar en 2016.

Dharma no utiliza sitios de filtración de datos y no hay informes amplios de robo de datos. Los rescates que cobran sus afiliados pueden oscilar entre miles y cientos de miles de dólares estadounidenses.

LockBit, otra operación de RaaS de alto perfil, surgió en septiembre de 2019 como una operación privada dirigida a empresas. Posteriormente, fue observada por Microsoft mientras se usaba en ataques de atención médica y servicios críticos.

El grupo LockBit se asoció con Maze para crear un cartel de extorsión para compartir la misma plataforma de filtración de datos durante los ataques. Asimismo, para intercambiar tácticas e inteligencia.

Los actores del ransomware LockBit también tardan tan solo cinco minutos en implementar payloads después de obtener acceso a la red de la víctima.

Otras operaciones RaaS que quedan fuera de los niveles de Intel 471 son Ragnarok, CryLock, ProLock, Nefilimy Mount Locker. Hasta donde tenemos conocimiento, todas están activas e involucradas en ataques recientes.

Deja un comentario