Los investigadores de seguridad cibernética han detallado las diversas medidas que los actores de ransomware han tomado para ocultar su verdadera identidad en línea, así como la ubicación de alojamiento de su infraestructura de servidor web.
“La mayoría de los operadores de ransomware utilizan proveedores de alojamiento fuera de su país de origen (como Suecia, Alemania y Singapur) para alojar sus sitios de operaciones de ransomware”, dijo Paul Eubanks, investigador de Cisco Talos. dijo. “Utilizan puntos de salto VPS como un proxy para ocultar su verdadera ubicación cuando se conectan a su infraestructura web de ransomware para tareas de administración remota”.
También destacan el uso de la red TOR y los servicios de registro de proxy DNS para proporcionar una capa adicional de anonimato para sus operaciones ilegales.
Pero al aprovechar los pasos en falso de seguridad operativa de los actores de amenazas y otras técnicas, la firma de ciberseguridad reveló la semana pasada que pudo identificar los servicios ocultos TOR alojados en direcciones IP públicas, algunos de los cuales son infraestructuras previamente desconocidas asociadas con Angeles Oscuros, Arrebatar, Cuánticoy Nokoyawa grupos de ransomware.
Si bien se sabe que los grupos de ransomware confían en la dark web para ocultar sus actividades ilícitas, que van desde la filtración de datos robados hasta la negociación de pagos con las víctimas, Talos reveló que pudo identificar “direcciones IP públicas que albergan la misma infraestructura de actores de amenazas que las que se encuentran en la oscuridad”. web.”
“Los métodos que usamos para identificar las direcciones IP públicas de Internet involucraron la coincidencia de los actores de amenazas”. [self-signed] certificado TLS números de serie y elementos de página con los indexados en la Internet pública”, dijo Eubanks.
Además de la coincidencia de certificados TLS, un segundo método empleado para descubrir las infraestructuras web claras de los adversarios implicaba verificar los favicons asociados con los sitios web de la red oscura contra la Internet pública utilizando rastreadores web como Shodan.
En el caso de Nokoyawauna nueva cepa de ransomware de Windows que apareció a principios de este año y comparte similitudes sustanciales de código con Karma, se descubrió que el sitio alojado en el servicio oculto TOR albergaba una falla transversal de directorio que permitía a los investigadores acceder a “/var/log/auth.log” archivo utilizado para capturar los inicios de sesión de los usuarios.
Los hallazgos demuestran que los sitios de filtración de los actores criminales no solo son accesibles para cualquier usuario en Internet, sino que otros componentes de la infraestructura, incluida la identificación de datos del servidor, quedaron expuestos, lo que hizo posible obtener las ubicaciones de inicio de sesión utilizadas para administrar los servidores de ransomware.
Un análisis más detallado de los inicios de sesión exitosos del usuario raíz mostró que se originaron a partir de dos direcciones IP 5.230.29[.]12 y 176.119.0[.]195, el primero de los cuales pertenece a GHOSTnet GmbH, un proveedor de hosting que ofrece servicios de Virtual Private Server (VPS).
“176.119.0[.]195, sin embargo, pertenece a AS58271, que figura bajo el nombre de Tyatkova Oksana Valerievna”, señaló Eubanks. “Es posible que el operador se olvidó de usar el VPS con sede en Alemania para la ofuscación e inició una sesión con este servidor web directamente desde su ubicación real en 176.119 .0[.]195”.
LockBit agrega un programa de recompensas por errores a su operación RaaS renovada
El desarrollo llega como los operadores del emergente ransomware Black Basta expandido su arsenal de ataque utilizando QakBot para el acceso inicial y el movimiento lateral, y aprovechando la vulnerabilidad PrintNightmare (CVE-2021-34527) para realizar operaciones de archivos privilegiados.
Además, la banda de ransomware LockBit la semana pasada Anunciado el lanzamiento de LockBit 3.0 con el mensaje “Make Ransomware Great Again!”, además de lanzar su propio programa Bug Bounty, que ofrece recompensas que oscilan entre $ 1,000 y $ 1 millón por identificar fallas de seguridad e “ideas brillantes” para mejorar su software.
“El lanzamiento de LockBit 3.0 con la introducción de un programa de recompensas por errores es una invitación formal a los ciberdelincuentes para ayudar al grupo en su búsqueda por permanecer en la cima”, dijo Satnam Narang, ingeniero senior de investigación de Tenable, en un comunicado compartido. con las noticias del hacker.
“Un enfoque clave del programa de recompensas por errores son las medidas defensivas: evitar que los investigadores de seguridad y las fuerzas del orden encuentren errores en sus sitios de fugas o ransomware, identificar formas en que los miembros, incluido el jefe del programa de afiliados, podrían ser engañados, así como encontrar errores en los mensajes. software utilizado por el grupo para las comunicaciones internas y la propia red Tor”.
“La amenaza de ser engañado o identificado indica que los esfuerzos de aplicación de la ley son claramente una gran preocupación para grupos como LockBit. Finalmente, el grupo planea ofrecer Zcash como una opción de pago, lo cual es significativo, ya que Zcash es más difícil de rastrear que Bitcoin, lo que dificulta que los investigadores controlen la actividad del grupo”.
About the Author
