Se ha expuesto el funcionamiento interno de un grupo de ciberdelincuentes conocido como Wizard Spider, lo que arroja luz sobre su estructura organizativa y sus motivaciones.
“La mayoría de los esfuerzos de Wizard Spider se dedican a piratear empresas europeas y estadounidenses, con una herramienta de craqueo especial utilizada por algunos de sus atacantes para violar objetivos de alto valor”, la empresa suiza de ciberseguridad PRODAFT. dicho en un nuevo informe compartido con The Hacker News. “Parte del dinero que obtienen se vuelve a poner en el proyecto para desarrollar nuevas herramientas y talento”.
Se cree que Wizard Spider, también conocido como Gold Blackburn, opera desde Rusia y se refiere a un actor de amenazas con motivación financiera que se ha vinculado a la botnet TrickBot, un malware modular que se suspendió oficialmente a principios de este año a favor de malware mejorado como BazarBackdoor. .
Eso no es todo. Los operadores de TrickBot también han cooperado ampliamente con Conti, otro grupo de delitos cibernéticos vinculado a Rusia conocido por ofrecer paquetes de ransomware como servicio a sus afiliados.
Gold Ulrick (también conocido como Grim Spider), como se llama el grupo responsable de la distribución del ransomware Conti (anteriormente Ryuk), ha aprovechado históricamente el acceso inicial proporcionado por TrickBot para implementar el ransomware contra las redes objetivo.
“Gold Ulrick está compuesto por algunos o todos los mismos operadores que Gold Blackburn, el grupo de amenazas responsable de la distribución de malware como TrickBot, BazarLoader y Beur Loader”, firma de ciberseguridad Secureworks. notas en un perfil del sindicato ciberdelincuente.
Al afirmar que el grupo es “capaz de monetizar múltiples aspectos de sus operaciones”, PRODAFT enfatizó la capacidad del adversario para expandir su empresa criminal, lo que, según dijo, es posible gracias a la “extraordinaria rentabilidad” de la pandilla.
Las cadenas de ataque típicas que involucran al grupo comienzan con campañas de spam que distribuyen malware como Qakbot (también conocido como QBot) y SystemBC, usándolos como plataformas de lanzamiento para lanzar herramientas adicionales, incluido Cobalt Strike para movimiento lateral, antes de ejecutar el software de casillero.
Además de aprovechar una gran cantidad de utilidades para el robo de credenciales y el reconocimiento, se sabe que Wizard Spider utiliza un conjunto de herramientas de explotación que utiliza vulnerabilidades recientemente reveladas, como Log4Shell, para obtener un punto de apoyo inicial en las redes de las víctimas.
Además, proporcione a los usuarios una estación de craqueo que aloje hashes descifrados asociados con credenciales de dominio, tickets de Kerberos y archivos KeePass, entre otros.
Además, el grupo ha invertido en una configuración de VoIP personalizada en la que los operadores telefónicos contratados llaman en frío a las víctimas que no responden en un intento por ejercer presión adicional y obligarlas a pagar después de un ataque de ransomware.
Esta no es la primera vez que el grupo recurre a una táctica de este tipo. El año pasado, Microsoft detalló una campaña de BazarLoader denominada BazaCall que empleó centros de llamadas falsos para atraer a víctimas desprevenidas para que instalaran ransomware en sus sistemas.
“El grupo tiene a su disposición una gran cantidad de dispositivos comprometidos y emplea un flujo de trabajo profesional altamente distribuido para mantener la seguridad y un alto ritmo operativo”, dijeron los investigadores.
“Es responsable de una enorme cantidad de spam en cientos de millones de millones de dispositivos, así como de violaciones de datos concentradas y ataques de ransomware en objetivos de alto valor”.
About the Author
