Muchos de los que leemos las noticias a diario nos encontramos con un ritmo de tambor regular de historias de ransomware que son a la vez preocupantes y desgarradoras. Y lo que muchos de nosotros no nos damos cuenta es que a menudo están interconectados. Algunas de las pandillas detrás de las campañas de ransomware sobre las que leímos han establecido una relación entre ellas que puede describirse como «estar aliadas entre sí», pero carecen de ciertos elementos que puedan cimentar su estatus como un verdadero cartel en lo digital. mundo subterráneo.

Este es el hallazgo general de Jon DiMaggio, conocido luminaria de ciberseguridad y estratega jefe de seguridad de Analyst1, una empresa de inteligencia de amenazas.

En un documento técnico titulado «Ransom Mafia – Análisis del primer cártel de ransomware del mundo» , DiMaggio y su equipo tenían como objetivo proporcionar una evaluación analítica sobre si realmente existe un cártel de ransomware, o si hay indicios de que era algo que las bandas de ransomware fabricaron. distraer a los investigadores y las fuerzas del orden.

Los lazos que unen

Analyst1 ha identificado dos fuertes conexiones entre los grupos afiliados mencionados en su informe que establece cómo trabajan juntos como algo así como un cartel. Ellos son:

Sitios de fuga de datos compartidos

Las pandillas dentro del cartel comparten información sobre las empresas que han atacado, así como todos los datos que han extraído. En un ejemplo, los investigadores vieron a Twisted Spider publicando datos de víctimas recopilados por la pandilla Lockbit y Viking Spider. Esto se suma a que estas bandas publican datos de la empresa en sus respectivos sitios de filtración.

Infraestructura compartida

SunCrypt se encontró utilizando direcciones IP e infraestructura de comando y control vinculada a Twisted Spider para entregar la carga útil de ransomware en sus campañas. Esto se observó 10 meses después de que Twisted Spider los usara en sus operaciones. Este tipo de intercambio de recursos solo puede ocurrir si ya se ha establecido una relación de confianza.

Analyst1 también ha identificado otros vínculos circunstanciales y técnicos entre los grupos que, por sí solos, no son medidas suficientes para una atribución precisa.

Otros hallazgos dignos de mención

La investigación incluye varios otros hallazgos dignos de mención:

• Los datos de las víctimas no son lo único que estas bandas afiliadas se transmiten entre sí. También se les observó compartir tácticas, como la creciente proliferación y persistencia de su malware en la naturaleza al hacer que un paquete de Ransomware-as-a-Service (RaaS) esté disponible para otros delincuentes e infraestructura de comando y control (C&C) .
• Las bandas afiliadas parecen estar en movimiento para automatizar sus ataques, en evidencia de las capacidades automatizadas adicionales que se encuentran en las cargas útiles de ransomware. La infección manual de las empresas comprometidas es un sello conocido de los actores de amenazas de ransomware de caza mayor (BGH).
• Algunos de los grupos involucrados se han abierto a entrevistas con los medios en el pasado. También emiten sus propios comunicados de prensa desde sus propios sitios web y utilizan múltiples medios para acosar a las víctimas para que paguen.
• Las pandillas afiliadas han afirmado ser parte de un cartel en algún momento del pasado. Aunque algunos de ellos ya han negado sus conexiones, la evidencia contradice esto.

¿Quién está en el cartel?

Analyst1 agrupó las bandas de ransomware afiliadas bajo la etiqueta «Ransom Cartel». Sin embargo, tenga en cuenta que este colectivo se había nombrado a sí mismo el «Cartel del Laberinto» el mismo año en que se estableció su relación de cooperación.

El Cartel del rescate surgió en mayo de 2020. Se dice que Twisted Spider, la banda detrás del ransomware Maze y otros, es el grupo que inició su creación. Su principal motivación fue la ganancia económica.

La mayoría de estos grupos tienen su sede en Europa del Este y hablan principalmente ruso, un atributo que no ocultan en absoluto. Algunos de estos grupos han desarrollado malware que no es ransomware; sin embargo, todos los grupos se aseguraron de que ninguno de ellos afectara a los usuarios en Rusia y en la Comunidad de Estados Independientes (CEI) .

A continuación se muestra una breve descripción general de los grupos individuales que se dice que componen el Cartel de rescate (tenga en cuenta que no todos buscan un nombre oficial. Como tal, se nombran según la variante de ransomware que utilizan):

Araña retorcida

Otros alias: Maze Team, FIN6

Malware: ransomware Maze (anteriormente conocido como ChaCha), ransomware Egregor , gusano Qakbot, otros kits de explotación de productos básicos

Detecciones de Malwarebytes: Ransom.Maze , Ransom.Sekhmet , Worm.Qakbot , respectivamente

Pandilla LockBit

Otro (s) alias: ninguno

Software malicioso: ransomware LockBit, registrador de teclas Hakops

Detección de Malwarebytes: Ransom.LockBit , Trojan.Keylogger , respectivamente

Araña mago

Otros alias: Grim Spider (aclamado como un subconjunto de Wizard Spider), UNC1878, TEMP.MixMaster

Software malicioso: troyano TrickBot , ransomware Ryuk , ransomware Conti, ransomware MegaCortex, puerta trasera BazarLoader

Detección de Malwarebytes: Trojan.TrickBot , Ransom.Ryuk , Ransom.Conti , Ransom.MegaCortex , Trojan.Bazar , respectivamente

Araña vikinga

Otro (s) alias: Grupo Ragnar

Software malicioso: ransomware de casilleros Ragnar

Detección de Malwarebytes: Ransom.Ragnar

Pandilla SunCrypt

Otro (s) alias : ninguno

Software malicioso: ransomware SunCrypt

Detección de Malwarebytes: Ransom.SunCrypt

«¿Qué cartel?»

Aunque de hecho existe confianza y se comparten recursos y tácticas, entre estas bandas de ransomware, Analyst1 ha evaluado que el Cartel de ransomware no es un verdadero cartel. Su informe concluye que la cooperación de la que fue testigo carecía de algunos de los elementos necesarios para alcanzar el nivel de un cartel, sobre todo la participación en los beneficios.