Parte de un pago de ransomware fue depositado en un sitio de masajes eróticos
Un ataque de ransomware dirigido a una empresa israelí llevó a los investigadores a rastrear el dinero cobrado por el rescate. Los investigadores se sorprendieron al identificar que una parte del pago se depositó en un sitio web que promueve masajes eróticos.
El ataque fue realizado por una banda de ransomware más o menos nueva conocida como Ever10. Ever101comprometió una granja de computadoras israelí y procedió a cifrar sus dispositivos.
En un informe publicado recientemente por las firmas israelíes de ciberseguridad Profero y Security Joes, que respondieron al incidente del ataque, se cree que Ever101 es una variante del ransomware Everbe o Paymen45.
Funcionamiento del ransomware
Al cifrar archivos, el ransomware agrega la extensión .ever101 y coloca una nota de rescate llamada !=READMY=!.txt en cada carpeta de la computadora.
Mientras investigaban una de las máquinas infectadas, los investigadores encontraron una carpeta llamada ‘Music’. La carpeta contenía varias herramientas utilizadas durante el ataque, lo que proporcionó información sobre las tácticas, técnicas y procedimientos del actor de amenazas.
“Durante nuestra investigación de las máquinas infectadas, nos encontramos con lo que parecía ser un tesoro de información almacenada en la carpeta Music. Consistía en el binario del ransomware en sí, junto con varios otros archivos, algunos cifrados, otros no. creemos que los actores de amenazas utilizaban todo esto para reunir información de inteligencia y propagarse a través de la red”.
Detalles del informe de Profero y Security Joes.
Las herramientas conocidas utilizadas por la banda Ever101 son:
- xDedicLogCleaner: limpia todos los registros de eventos de Windows, los registros del sistema y la carpeta temporal.
- PH64.exe: versión de 64 bits del programa Process Hacker.
- Cobalt Strike: los actores de amenazas implementaron cobalt Strike para proporcionar acceso remoto a las máquinas y vigilar la red. En este ataque en particular, Cobalt Strike se incrustó en el archivo WEXTRACT.exe con una firma de Microsoft caducada.
- SystemBC: utilizaron SystemBC para desviar el tráfico de Cobalt Strike a través del proxy SOCKS5 para evitar la detección.
Más herramientas
Los investigadores también encontraron otras herramientas, pero fueron cifradas por el ransomware. Según los nombres y otras características, los investigadores creen que la banda de ransomware también utilizó las siguientes herramientas:
- Escáner de red SoftPerfect: un escáner de red IPv4 / IPv6.
- shadow.bat: es probable que sea un archivo batch utilizado para borrar las instantáneas de volumen del dispositivo Windows.
- NetworkShare_pre2.exe: enumera una red de Windows para carpetas y unidades compartidas.
Es interesante que algunos de los archivos compartidos por los atacantes, como WinRar, estén en idioma árabe.
El CEO de Profero, Omri Moyal, dijo que cree que la utilización de lenguaje árabe de algunas de estas herramientas es una “falsa bandera”.
Rastreando el dinero hasta un masaje erótico
De particular interés es lo que los investigadores descubrieron después de usar CipherTrace para rastrear el pago del rescate. Ellos rastrearon el pago a medida que fluía a través de diferentes billeteras bitcoin.
Mientras rastreaban el pago, encontraron que una pequeña porción, 0.01378880 BTC o aproximadamente $590, fue enviada como “propina” al sitio RubRatings.
RubRatings es un sitio web en el que masajistas ofrecen a los clientes entre otros servicios “masajes corporales y masajes eróticos”. Los anuncios de los perfiles de cada masajista son muy sugerentes en cuanto a los servicios que ofrecen.
Cada perfil de masajista incluye un botón de “propina” que permite a los clientes dejar una propina en bitcoin por el servicio recibido.
Los investigadores creen que parte del pago del rescate fue para un miembro operativo de Ever101 en los Estados Unidos. Este miembro luego usó su pago para dar propina a un masajista, o más probablemente, usó el sitio como una forma de lavar el pago del rescate.
La segunda posibilidad es que el proveedor en el sitio se utilizó como otro método para ofuscar el movimiento bitcoin, explican los investigadores. Podría ser que el masajista que posee la billetera bitcoin en cuestión estuviera trabajando con los atacantes. No obstante, lo más probable es que sea una cuenta falsa configurada para permitir transferencias de dinero.
“El bitcoin en la billetera vinculada a RubRatings recibió el pago alrededor de las 15:48 UTC, y salió de la billetera unos minutos más tarde, a las 15:51 UTC”.
Nuevas formas de blanqueo
A medida que el bitcoin se está rastreando más fácilmente y que las autoridades están recuperando algunos pagos, los ciberdelincuentes están actuando astutamente. Las bandas de ransomware están buscando enfoques novedosos para blanquear sus ganancias mal habidas.
Es probable que los actores de amenazas crearan una cuenta falsa en RubRatings y estuvieran usando la función “propina” como una forma de lavar el rescate. Ellos pretendieron hacerlo parecer una propina para un masajista.