La pandilla de ransomware REvil presuntamente obligada a desconectarse por los contraataques de las fuerzas del orden – Naked Security
Según Reuters, la operación de ransomware fue REVil «Pirateado y obligado a desconectarse por una operación transfronteriza esta semana».
Reuters escribe que una de sus fuentes afirma que el ataque contra este infame grupo de ransomware se logró gracias a los esfuerzos combinados del FBI, el Comando Cibernético de EE. UU. Y el Servicio Secreto. «Y países con ideas afines»aunque estuvo cerca de identificar a estos aliados por su nombre.
Hemos visto al FBI llevar a cabo una exitosa operación de pirateo tras el ataque de ransomware Colonial Pipeline que cortó el suministro de combustible en los Estados Unidos.
Colonial dijo primero que no pagaría las reclamaciones por extorsión de 4,4 millones de dólares de los atacantes; luego admitió haber pagado el dinero después de todo; luego descubrió que había gastado su dinero incorrectamente cuando la herramienta de descifrado ofrecida por los delincuentes era demasiado lenta para hacer el trabajo …
… solo para recuperar el 85% de sus bitcoins más tarde, gracias a una «recaudación de fondos» autorizada por la corte que fue retirada por el FBI de la siguiente manera:
Índice de contenido
Ransomware como servicio
El incidente del ransomware Colonial se atribuyó a una banda cibernética dirigida por DarkSide, una operación criminal que Reuters describe como «desarrollada por empleados de REvil».
Como probablemente sepa, muchas operaciones de ransomware en estos días no operan como grupos pequeños e independientes, sino más bien como redes de los llamados asociados o afiliados en un ecosistema criminal llamado RaaS, corto para Ransomware como servicio.
Un equipo central de programadores crea el malware, cobra los pagos de extorsión, maneja las operaciones de descifrado y retiene una «tarifa de agente» (normalmente el 30% de iTunes) por cada ataque que paga la víctima.
Numerosos afiliados reclutados se agrupan alrededor del núcleo que se registran como mercenarios para la operación RaaS y llevan a cabo el reconocimiento, la intrusión, el movimiento lateral y la toma de control de la red necesarios para los ataques de codificación de datos.
Cada pandilla afiliada se lleva a casa el 70% del dinero que se extorsiona de cada ataque que orquestan.
Por supuesto, reclutar más socios significa más dinero para los delincuentes que están en el centro de todo, que dan forma al 30% de todo, pero también significa que hay más oportunidades para hacer que toda la operación sea ineficaz, para acumular mala sangre, por ejemplo para filtrar secretos y así la contrainteligencia tiene éxito.
Por ejemplo, hace dos meses escribimos sobre la tensión en la operación de ransomware Conti, que resultó en que un socio descontento abriera un archivo llamado. abandonó Мануали для работяг и софт.rar (Manuales de instrucciones y software) y denunció a los pandilleros por fraude:
La implicación era clara de que los socios del equipo de ransomware Conti no obtuvieron el 70% del monto real del rescate, sino el 70% de un número imaginario pero menor.
Por el contrario, se dice que la pandilla REvil recientemente comenzó a hacer promesas a sus socios. Pagos del 80% e incluso del 90%, quizás tratando de reagruparse y reconstruirse frente a la creciente infiltración y los ataques de contraataque.
¿Creas tu propia petarda?
Según Reuters, la pandilla REvil puede haber sido atrapada por un problema delicado que enfrentan sus propias víctimas cuando intentan restaurar una red rota desde una copia de seguridad: ¿hasta dónde debe retroceder?
Si retrocede demasiado, corre el riesgo de restaurar datos obsoletos inútilmente para que sus computadoras vuelvan a funcionar, pero su empresa no podrá reanudar las operaciones.
Sin embargo, si no retrocede lo suficiente, corre el riesgo de restaurar su red a un estado en el que ya estaba completamente comprometida por los delincuentes.
Reuters sugiere que se conoce a un pandillero 0_nedayque ayudó a que la red REvil vuelva a estar en funcionamiento después de una interrupción el mes pasado, puede haber resucitado accidentalmente varios servidores internos que ya habían sido comprometidos por las fuerzas del orden.
Si la policía regresara al sistema de la pandilla de esta manera, es un caso de lo que Shakespeare habría llamado «criar con tu propio petardo».
Activar la máquina del tiempo en red
Es importante destacar que encontrar los agujeros de acceso remoto abiertos por los ciberdelincuentes en el curso de un ataque es una parte fundamental de la recuperación de un ataque a la red, ya sea que el ataque sea ransomware o no.
Nuestro nombre en broma es Activar la máquina del tiempo en redlo que significa que no es suficiente que los respondedores de ciberseguridad como el equipo de Respuesta a amenazas administradas (MTR) de Sophos identifiquen y eliminen el malware directamente relacionado con el último ataque.
También necesitará rebobinar el tiempo para averiguar cuándo intervinieron los ladrones por primera vez y qué cambios de red furtivos y no autorizados hicieron en el camino.
Por ejemplo, después del ataque al Colonial Pipeline, el equipo de Sophos MTR informó que había investigado tres incidentes anteriores en los que DarkSide aparentemente estuvo involucrado en días o días.
Las puertas traseras dejadas por los ciberdelincuentes no siempre incluyen herramientas sofisticadas de piratería y malware que puede buscar de manera confiable utilizando IoC conocidos (Indicadores de compromiso). Los delincuentes a menudo se esconden a la vista, por ejemplo, observando y aprendiendo su propia nomenclatura de red y creando manualmente cuentas falsas de puerta trasera que invariablemente se adhieren a sus propios estándares de nombres. De hecho, es posible que los delincuentes que irrumpieron al principio ni siquiera sean la misma banda que provocó el último ataque de ransomware, ya que el acceso a su red puede haber sido revendido o «alquilado» entre los equipos de ciberdelincuencia.
¿Qué tengo que hacer?
Incluso si la «marca» de ransomware REvil ahora parece ser una fuerza agotada: [a] los presuntos autores no han sido arrestados, por lo que hay pocas cosas que les impidan reaparecer con otro nombre o unirse a otra tripulación; [b] ya existen muchas otras bandas de ransomware. y [c] El ransomware es solo una de las muchas amenazas cibernéticas preocupantes.
Por lo tanto, nuestros consejos para protegerse del ransomware en particular y del ciberdelito en general incluyen:
Utilice protección en capas. Con el aumento de los ataques basados en el chantaje, es más importante que nunca mantener lo malo afuera y lo bueno adentro. Los compromisos cibernéticos modernos a menudo implican uno largo Cadena de ataquedonde los delincuentes avanzan en su posición en etapas separadas para reducir la probabilidad de ser descubiertos. Pero una cadena de ataque más larga también significa una más larga. Muerte en cadena, este es cualquier punto en el camino donde la alerta temprana le da la capacidad de identificar y revertir el ataque antes de que esté previsto que se complete.
Suponga que está siendo atacado. El ransomware sigue estando muy extendido, aunque el número relativo ha caído del 51% el año pasado al 37% este año. Ningún sector, país o tamaño de empresa es inmune. Es mejor estar preparado pero no golpear que al revés.
Haz copias de seguridad. Las copias de seguridad siguen siendo el método más útil para recuperar datos cifrados después de un ataque de ransomware que sigue su curso completo. Incluso si paga el rescate, rara vez recupera todos sus datos, por lo que tendrá que confiar en las copias de seguridad de todos modos. (Y mantenga al menos una copia de seguridad fuera de línea e idealmente fuera del sitio donde los delincuentes no puedan ir).
Invierta en respuesta gestionada ante amenazas. Si tiene el tiempo y la experiencia para hacerlo usted mismo, prepárese ahora. De lo contrario, considere buscar un tercero de confianza como Sophos MTR o Sophos Rapid Response para que haga el trabajo preliminar por usted. Si descubre un ataque a mitad de camino, debe sacar a los delincuentes de su red por completo, no solo eliminar y corregir los últimos signos de su actividad.
Lea nuestro informe sobre el estado del ransomware 2021. Los números cuentan una historia interesante e importante sobre el alcance y el tipo de peligro que representa el ransomware. La lectura del informe permitirá vislumbrar las experiencias de la vida real de las víctimas, no solo lo que dice la industria de la ciberseguridad sobre la amenaza.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
