El Departamento del Tesoro de Estados Unidos impuso sanciones contra una mujer rusa por participar en el blanqueo de moneda virtual para las élites del país y equipos de ciberdelincuentes, incluido el grupo de ransomware Ryuk.
Se dice que Ekaterina Zhdanova, según el departamento, facilitó grandes transacciones transfronterizas para ayudar a los ciudadanos rusos a obtener acceso a los mercados financieros occidentales y eludir las sanciones internacionales.
«Zhdanova utiliza entidades que carecen de controles contra el lavado de dinero y la financiación del terrorismo (AML/CFT), como el intercambio de criptomonedas ruso designado por la OFAC, Garantex Europe OU (Garantex)», dijo el departamento del Tesoro. dicho la semana pasada.
«Zhdanova depende de múltiples métodos de transferencia de valor para mover fondos a nivel internacional. Esto incluye el uso de efectivo y el aprovechamiento de conexiones con otros asociados y organizaciones internacionales de lavado de dinero».
Vale la pena señalar que Garantex fue sancionado anteriormente por EE. UU. en abril de 2022, coincidiendo con el desmantelamiento del mercado de la web oscura conocido como Hydra.
Zhdanova también ha sido acusada de ofrecer servicios a personas relacionadas con el grupo ruso de ransomware Ryuk, lavando más de 2,3 millones de dólares en pagos de presuntas víctimas en nombre de un afiliado de ransomware Ryuk en 2021.
Ryuk, un predecesor del ransomware Conti, apareció por primera vez en el panorama de amenazas en 2018 y ha comprometido a gobiernos, instituciones académicas, atención médica, manufactura y organizaciones tecnológicas en todo el mundo.
A principios de febrero, un ciudadano ruso de 30 años llamado Denis Mihaqlovic Dubnikov se declaró culpable en Estados Unidos de cargos de lavado de dinero y de intentar ocultar el origen de los fondos obtenidos en relación con los ataques de ransomware Ryuk.
El ransomware continúa evolucionando
El desarrollo llega como un récord. 514 víctimas de ransomware se reportaron para el mes de septiembre de 2023, registrando un aumento interanual del 153%, frente a 502 en julio y 390 en agosto.
Casi 100 de esos ataques se han atribuido a grupos nacientes como Confianza perdida y RansomedVC. Algunos de los otros nuevos participantes observados en los últimos meses incluyen Angeles Oscuros, Caballero, Mensaje de dineroy Buen día.
«Los niveles récord de ataques de ransomware son en parte el resultado de la aparición de nuevos actores de amenazas, incluido RansomedVC», dijo NCC Group a finales del mes pasado.
«RansomedVC opera como ‘probadores de penetración’. Sin embargo, su enfoque de la extorsión también incorpora la afirmación de que cualquier vulnerabilidad descubierta en la red de sus objetivos se informará de conformidad con el Reglamento General de Protección de Datos (GDPR) de Europa.
La afluencia de nuevos grupos demuestra la evolución del panorama del ransomware, incluso cuando más establecido actores de amenaza seguir adaptándonos y refinar sus tácticas y técnicas a esquivar los controles de seguridad.
El mes pasado, la Unidad 42 de Palo Alto Networks informó sobre la incorporación de BlackCat de una utilidad con nombre en código Munchkin a su arsenal para propagar la carga útil del ransomware a máquinas remotas y recursos compartidos en la red de una organización víctima.
«Esta herramienta proporcionó un sistema operativo (SO) basado en Linux que ejecuta Sphynx», investigadores de la Unidad 42 dicho. «Los operadores de amenazas pueden utilizar esta utilidad para ejecutar BlackCat en máquinas remotas o implementarlo para cifrar el bloque de mensajes del servidor (SMB)/archivos compartidos comunes de Internet (CIFS) remotos».
La diversificación del ransomware se evidencia en el hecho de que colectivos hacktivistas como fantasmasec – que forma parte de The Five Families – ha entrado en la pelea, lanzando un casillero personalizado llamado GhostLocker para obtener ganancias financieras.
«Incluso si GhostLocker no tiene éxito en el [ransomware-as-a-service] mercado, parece obvio que es un punto de inflexión como modelo», SOCRadar dicho. «El hecho de que tenga un precio relativamente bajo, funcione con un porcentaje muy bajo y sea accesible para casi todo el mundo puede aumentar los ataques de ransomware a niveles graves».
La empresa de ciberseguridad Uptycs, en su propio análisis de GhostSec y GhostLocker, describió la medida como un «desvío sorprendente de sus actividades pasadas y su agenda declarada», dado el historial del colectivo de atacar a entidades israelíes en apoyo a Palestina.
El aumento de los ataques de ransomware también ha impulsado una alianza de 50 países, llamada Iniciativa Internacional Contra el Ransomware. prometido nunca pagar las demandas de rescate en un intento por disuadir a los actores motivados financieramente y a las bandas de ransomware de sacar provecho de tales esquemas.
«Para protegerse contra el ransomware, es imperativo adoptar una estrategia de defensa integral», Uptycs dicho. «Esta estrategia debe abarcar sistemas de respaldo resistentes, software de seguridad eficaz, capacitación de usuarios y un plan proactivo de respuesta a incidentes».