Concienciación en Ciberseguridad 6. Inventario fin de campaña, series y ransomware.

 

Unos ciberdelincuentes realizan una intrusión en un importante banco alemán. El ataque queda muy cinematograficamente recogido en el trailer, con profusión de chispazos y luces rojas por doquier.

La serie ostenta un honroso 7,2 en IMDB, lo que no está nada mal frente al 8,5 de Mr. Robot o el 5.4 del Blackhat de Michael Mann.

Spoiler: Realmente la trama no se desarrolla en Hackerville, sino en Timisoara. Tiene sus fallos, pero se deja ver.

Antes de abordar la negociación entre Viking Spider y la empresa CWT, deseo comentar varios puntos.

No constituye ninguna verguenza, para una empresa o particular, ser víctima de estos ataques tan exquisitamente elaborados. Por ese motivo, no he editado practicamente nada del material gráfico presentado a lo largo de esta serie. 

Es la concienciación y la inversión la que nos puede apartar del punto de mira de los delincuentes. La víctima no debe culpabilizarse por haber sido atacada, o incluso por pagar si así lo cree necesario, para la supervivencia de la compañía y de sus trabajadores.

Ocultar los hechos para evitar la pérdida de reputación es camino abonado para perpetuar este delito. Muchos postulan que no se debe negociar con los ciberdelincuentes, que el dinero repercutirá en nuevos ataques... La teoría es fácil...La práctica es otra cosa.

Ragnar_Locker se inyecta en redes Windows, previamente asaltadas y exfiltradas de documentación sensible, bien mediante vulnerabilidades, spearphishing o cuentas de correo comprometidas.

Los dos últimos métodos se emplean también en la conocida como estafa del CEO, donde un empleado paga una factura no a un proveedor, sino directamente a los ciber delincuentes.

He visto correos con este tipo de estafa y son absolutamente convincentes. Pensemos que el protocolo de correo SMTP no autentifica direcciones y esto abre la puerta a manipulaciones.

La inyección de RL incluye una muestra de malware única y personalizada. El método de contacto de las víctimas con la mafia de la extorsión se producirá mediante un blog en la darknet.

El malware detiene numerosos servicios, para dejar inermes red y equipos; entre ellos el importante servicio de instantáneas de Windows, que son borradas, para evitar la recuperación de datos.

Su código fuente analiza si el idioma de los dispositivos pertenece a algun país de la antigua Unión Soviética. De ser así, se desactiva. En caso de infectar una red con estas características, los operadores del chat se disculparán humildemente y facilitarán las claves de descifrado gratis.

Este dato es relevante en un análisis geo estratégico y es el pilar sobre el que se desarrollará una próxima serie de artículos, titulada Corsarios del ciberespacio.

En un proceso normal, el malware cifrará todos los datos, excepto algunas carpetas, archivos y extensiones; algunos relacionados con la navegación por internet.

Como dato curioso RL no reconoce si un equipo ha sido ya infectado; pudiendo realizar el cifrado varias veces.

A continuación asistiremos al proceso de negociación entre una empresa víctima y el cártel Viking Spider, a través del chat.

Comentar que algunos de estos grupos del ciber crimen organizado pueden contar con 80 a 100 miembros. Parece lógico pensar que entre ellos habrá psicólogos y abogados expertos en negociación.

La exigencia inicial de 10 millones de dólares, motivó una larga conversación, tan respetuosa como bizarra; con ambas partes echándo flores al interlocutor.

Primera oferta de la empresa: 3.7 millones en lugar del precio especial por pronto pago de 8 millones.

Respuesta: 4 millones en el momento y se entregan claves de descifrado. 4 millones a posteriori para eliminar la información robada.

Segunda oferta de la empresa: 4.5 millones por todo.

Respuesta: O.k. Da gusto trabajar con auténticos profesionales. Alabanzas y, de bonus track, la lista de recomendaciones para evitar nuevos ataques.

Finalmente Viking Spider o sus franquiciados, hace público todo el regateo.

Cobrar será rápido, pero el proceso de blanqueo de bitcoins llevará algo más de tiempo.

Fuente

Finalmente conseguí llegar a la cuenta BTC del cártel y, a partir de aquí enlazar con la investigación de los movimientos posteriores.

 

A los veinte minutos de recibir los 414 BTC, la cantidad se repartió en una relación 1 a 3 a otras dos direcciones. Se especula que puedan ser distintas secciones del cártel. La primera dirección distribuyó el dinero de inmediato, la otra tardó seis horas.

Tras otra división equitativa de la parte más grande, se produjo en una de esas mitades, de 1.5 M $, un lavado; mezclando ese dinero sucio con grandes cantidades de dinero limpio.

Probablemente para este proceso se requieran mulas con identidades reales. Para dificultar el rastreo, el monto total se repartió en muchas partes menores, mediante la plataforma de intercambio legal Binance. Estos movimientos pequeños evitaron hacer saltar las alarmas, y se repitieron desde las 6 a.m a las 9 a.m, hasta contabilizar cerca de 20 transacciones.

Fuente

 Inventario fin de campaña: 

La vida del delincuente puede ser muy satisfactoria, como veremos en nuestra próxima serie; lo malo es que te cogen y te meten en la cárcel.

 Fuente

No nos engañemos, los cárteles del ransomware no son Robin Hood, ni hermanitas de la caridad, ni crackers patrióticos.

Hipócrita disclaimer del Grupo Cl0P

No quería cerrar esta serie dando una idea equivocada de las consecuencias de estos actos. Hay infinidad de profesionales de la ciberseguridad, mileuristas, en sus países. Unos pocos eligen el camino más fácil y lucrativo.

 Leak de una empresa de viajes en el blog darknet de Cl0P

La cárcel es su destino final, como el de estos miembros ucranianos del Grupo Cl0P, detenidos en el video.



Comentarios

Entradas populares