Tres nuevas dimensiones del ransomware durante la pandemia
De la emergencia de Covid-19 han surgido tres nuevas tendencias significativas en ciberataques. En primer lugar, se ha desarrollado y desplegado una nueva generación de software de ataque que se ha perfeccionado desde tiempo pasado.
Tenemos en segundo lugar que el modelo de negocio para extraer el pago de las víctimas ha cambiado. En la actualidad existen múltiples demandas de pagos de diferentes tipos, incluida la subasta de datos. En tercer lugar, el tipo de clientes a los que se dirigen los grupos parece haber cambiado.
Si vas a subastar datos, los datos deben ser interesantes. Los datos de celebridades son el nuevo producto en el mercado de rescate. Estos nuevos desarrollos están siendo impulsados por las mismas presiones económicas que están cambiando la economía directa.
Un informe de abril de 2020 mostró que la cantidad y el éxito de los ciberataques no habían aumentado notablemente durante la pandemia. El informe mostró que los ingresos pagados a los atacantes de rescate habían disminuido. A medida que el número de rescates y los pagos realizados a los cibercriminales han disminuido, los grupos han respondido a la recesión con innovación.
Una nueva generación de ransomware
El ransomware utilizado en ataques recientes se llama Revil. Este a veces también se llama Sodinokibi o Sodin. Está siendo utilizado por un grupo llamado Golden Garden que tienen su origen en la banda Rock Phish.
Los grupos de Europa del Este que despliegan estos ataques con tanto éxito, se han transformado en múltiples identidades. Los grupos han utilizado todas las formas más sofisticadas de malware y ransomware.
Se supone que el personaje más conocido de este grupo, Evgeniy Bogachev, el Rey Tigre del hacking, se retiró a su ciudad natal en el Mar Negro. Este tiene sanciones de parte de Estados Unidos y ofrecen una recompensa de $4 millones en su cabeza. Empero. incluso si todavía no está activo, muchos de su antigua tripulación lo están.
Estos mismos grupos habían usado el software de ataque más sofisticado anteriormente llamado Grand Crab. Parece probable que Grand Crab fue retirado a finales de mayo del año pasado y Revil lo reemplazó
Se cree que el hombre de 33 años es el autor intelectual de posiblemente la red de ciberdelincuencia más sofisticada que el mundo haya visto. Su usuario es Twitter evgeniy Mikhailovich.
¿Un nuevo modelo de negocio?
El nuevo desarrollo es que estos grupos no solo usan nuevos tipos de armas de ataque, sino que también están desplegando una variedad de nuevos modelos de negocios. Esto para extraer múltiples días de pago potenciales de sus víctimas. Tradicionalmente, los hackers usarían ransomware para robar los datos de una empresa objetivo. Posteriormente exigirían que la compañía pagara un rescate por la devolución de sus datos.
A principios de año, Travelex fue hackeado a través de una conexión VPN sin parches y una dirección de correo electrónico y contraseña robadas. La compañía de intercambio perdió $25 millones cuando se vio obligada a permanecer cerrada. Según los informes, ha pagado a los hackers entre $2.3 millones para recuperar los datos.
El modelo tradicional de pago visto en el ataque Travelex permite al atacante obtener solo un pago. El primer elemento en el nuevo modelo de negocios es la solicitud de pagos múltiples.
En primer lugar, para la recuperación de los datos y luego un pago adicional para eliminar en lugar de liberar los archivos. Después de descifrar los archivos de la empresa víctima. El primer pago le da a la compañía el código o clave de descifrador. Esto para que los datos puedan ser restaurados pero el atacante aún tiene copias de los archivos.
El segundo pago es por los archivos que se eliminarán. La amenaza es que, si no se realiza el pago, los archivos se publicarán y los competidores podrán acceder a ellos. A fines del año pasado, y por primera vez, uno de los grupos publicó el 10% de los datos de una empresa. Esto para tratar de aprovechar los pagos adicionales para su eliminación.
Una muestra de archivos robados de Allied Universal fue liberado por hackers.
Tercer elemento
El tercer elemento es la subasta de los datos a los competidores a través de sitios web oscuros. REvil creó un sitio de subastas en su espacio Happy Blog y ofreció los archivos de una compañía de producción agrícola canadiense.
“La página de subastas de la empresa víctima dice que un postor exitoso obtendrá tres bases de datos. Además de 22,000 archivos robados de la compañía agrícola. Establece el monto mínimo de puja en $5,000 en moneda virtual, con el precio inicial de $50,000 “.
Un nuevo tipo de objetivo
Estas tendencias en los ataques se unen en dos ataques recientes que dan una pista sobre el nuevo tipo de objetivo. También dan indicios del nuevo tipo de extorsión que está surgiendo.
Asimismo, destacan la debilidad de los sistemas de seguridad cibernética en las empresas. Estas suelen poseer los datos de una gran cantidad de individuos ricos y de alto perfil. El nuevo modelo de negocio para los grupos de ransomware: el hacking de datos de celebridades.
En el primer caso involucra una de las firmas de abogados de entretenimiento más grandes y exitosas, Grubman Shire Meiselas, en Nueva York. La firma tenía datos sobre una gama de clientes tan diversos como Barry Manilow, Bruce Springsteen, Rod Stewart, Lil Nas X, The Weekend, U2 y Drake. Otros clientes listados y robados son Priyanka Chopra, Robert De Niro, Sofía Vergara, LeBron James, Mike Tyson, el presidente Trump y Lady Gaga.
Los hackers exigieron una suma inicial de $21 millones para la devolución de 756 gigabytes de datos. Entre los datos estaban incluidos contratos con muchos de los corredores extraños y maravillosos en los que las estrellas insisten; obligan a su personal a firmar y correos electrónicos personales. Se han publicado algunos documentos de prueba y el juego toma y daca está activado. Los hackers han aumentado sus demandas a $21 millones. El incidente de Grubman ha sido atribuido a Covid-19, pero no está claro cómo ocurrió.
Se dice que el socio principal de la firma, Allen Grubman, se niega a negociar. El grupo de hackers afirma haber vendido los documentos de Trump, mientras que Grubman niega que se hayan tomado documentos relacionados con Trump. Su sitio de subasta está configurado y listo para funcionar.
El sitio de subastas para el incidente de Grubman
Ahora ha habido un segundo ataque contra un tesoro de datos de celebridades. El destacado bufete de abogados de Londres Lee y Thompson ha sido hackeado y se han tomado una cantidad significativa de datos confidenciales de clientes. El sitio web de Lee y Thompson dice que la firma trabaja para actores, músicos, productores y empresarios. Sus clientes incluyen a David Beckham y Harry Styles, miembro de la banda de chicos One Direction.
El incidente de Lee y Thompson parece haberse originado en la adquisición de otro bufete de abogados, Montgomery Barker en 2017. Las credenciales del fundador de Montgomery Barker se vieron comprometidas cuando la base de datos de la firma de inteligencia de ventas Apollo fue vulnerada. Los incidentes ocurrieron en 2018 y nuevamente en octubre de 2019 cuando People Data Labs fue hackeado.
Como resultado del hacking de Apollo, la dirección privada de correo electrónico de la fundadora de Montgomery Barker, Sarah Barker fue filtrada. También su contraseña inglesa por excelencia, “marmalade” se convirtió en un producto comercial para los hackers y se publicó en la web oscura.
El equipo que usa REvil habrá trabajado desde la cuenta de correo electrónico privada al servidor de Montgomery Barker. Desde allí seguramente accedieron a la infraestructura de Lee y Jones a medida que las dos empresas se integraron.
Información de los documentos
Los documentos tomados incluyen detalles del cliente, correspondencia de facturación, contratos y acuerdos de confidencialidad. No ha habido comentarios públicos de Lee y Thompson.
El equipo de Gold Garden que despliega REvil está ahora en una situación de ganar ganar. Han acertado ya sea por accidente o por una cuidadosa planificación de un bien precioso: los datos de celebridades.
Si estas dos firmas de abogados no pagan, perderán clientes y enfrentarán demandas. En caso de pagar, tendrán que pagar dos veces, una por el descifrador y otra por la eliminación.
Si no pagan, entonces las versiones de ebay en la dark web, los verá subastar la horda más grande de recuerdos de celebridades. Asimismo, documentación íntima y documentos privados que hayan surgido. ¿Y quién va a ofertar?
A todas las organizaciones de chismes y medios de comunicación del planeta les gustaría este archivo. Los equipos de hackers recientemente hicieron un cambio forzado para el pago a nuevas criptomonedas más difíciles de detectar. En preparación quizás para las chequeras de los medios de comunicación del mundo.