Los investigadores de ciberseguridad han arrojado luz sobre el funcionamiento interno de la operación de ransomware dirigida por Mikhail Pavlovich Matveev, un ciudadano ruso que fue acusado por el gobierno de Estados Unidos a principios de este año por su presunto papel en el lanzamiento de miles de ataques en todo el mundo.
Matveev, que reside en San Petersburgo y es conocido por los alias Wazawaka, m1x, Boriselcin, Uhodiransomwar, Orange y waza, supuestamente jugó un papel crucial en el desarrollo y la implementación de las variantes de ransomware LockBit, Babuk y Hive desde al menos junio de 2020.
«Wazawaka y los miembros de su equipo exhiben de manera destacada una codicia insaciable por el pago de rescates, lo que demuestra un importante desprecio por los valores éticos en sus operaciones cibernéticas», dijo la firma suiza de ciberseguridad PRODAFT. dicho en un análisis exhaustivo compartido con The Hacker News.
«Emplear tácticas que implican intimidación mediante amenazas de filtrar archivos confidenciales, participar en prácticas deshonestas y persistir en conservar archivos incluso después de que la víctima cumple con el pago del rescate, ejemplifican el vacío ético que prevalece en las prácticas de los grupos tradicionales de ransomware».
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Los hallazgos de PRODAFT son el resultado de datos compilados entre abril y diciembre de 2023 mediante la interceptación de miles de registros de comunicación entre varios actores de amenazas afiliados a varias variantes de ransomware.
Se dice que Matawveev lidera un equipo de seis probadores de penetración (777, bobr.kurwa, krbtgt, shokoladniy_zayac, WhyNot y dushnila) para ejecutar los ataques. El grupo tiene una jerarquía plana, lo que fomenta una mejor colaboración entre los miembros.
«Cada individuo aporta recursos y experiencia según sea necesario, mostrando un notable nivel de flexibilidad para adaptarse a nuevos escenarios y situaciones», dijo PRODAFT.
Matveev, además de trabajar como afiliado de Conti, LockBit, Hive, Monti, Trigona y NoEscape, también tuvo un rol de nivel gerencial en el grupo de ransomware Babuk hasta principios de 2022, mientras compartía lo que se describe como una «relación compleja» con otro actor llamado Dudka, que probablemente sea el desarrollador detrás de Babuk y Monti.
Los ataques organizados por Matveev y su equipo implican el uso de Zoominfo y servicios como Censys, Shodan y FOFA para recopilar información sobre las víctimas, basándose en fallos de seguridad conocidos y agentes de acceso inicial para establecerse, además de utilizar una combinación de métodos personalizados. y herramientas listas para usar para aplicar fuerza bruta a cuentas VPN, aumentar privilegios y optimizar sus campañas.
«Después de obtener el acceso inicial, Wazawaka y su equipo emplean principalmente comandos de PowerShell para ejecutar su herramienta preferida de monitoreo y administración remota (RMM)», dijo la compañía. «Distintivamente, MeshCentral se destaca como el conjunto de herramientas único del equipo, utilizado frecuentemente como su software de código abierto preferido para diversas operaciones».
El análisis de PRODAFT descubrió además conexiones entre Matveev y Evgeniy Mikhailovich Bogachev, un ciudadano ruso vinculado al desarrollo de la Botnet GameOver Zeusque era desmantelado en 2014, y Corporación malvada.
Vale la pena señalar que las operaciones de ransomware Babuk pasaron a llamarse PayloadBIN en 2021, y esta última se vinculó a Evil Corp en un aparente esfuerzo por eludir las sanciones impuestas en su contra por Estados Unidos en diciembre de 2019.
«Esta asociación técnica, junto con la conocida relación entre Wazawaka y el notorio cibercriminal Bogachev, sugiere conexiones más profundas entre Wazawaka, Bogachev y las operaciones de Evil Corp», dijo PRODAFT.