El proveedor de seguridad de TI Palo Alto Networks y su equipo de análisis de malware Unit42 informan nuevos hallazgos sobre "Ransom Cartel", un proveedor de ransomware como servicio (RaaS) que apareció por primera vez a mediados de diciembre de 2021. Técnicamente, existe una superposición con el ransomware REvil.
Este grupo de delincuentes realiza ataques duales de ransomware y comparte varias similitudes y superposiciones técnicas con el ransomware REvil. El ransomware REvil desapareció solo unos meses antes de que surgiera el cártel del ransomware y solo un mes después de que 14 de sus presuntos miembros fueran arrestados en Rusia. Cuando Ransom Cartel apareció por primera vez, no estaba claro si se trataba de un cambio de marca de REvil o de un actor de amenazas independiente que reutilizaba o imitaba el código del ransomware REvil.
Ransom-Cartel ransomware bajo análisis
Palo Alto Networks y Unit42 presentan el ransomware Ransom-Cartel y una evaluación de los posibles vínculos entre REvil y el ransomware Ransom-Cartel en su último análisis. En octubre de 2021 se hizo el silencio entre los operadores de REvil. El sitio de filtraciones de la web oscura de REvil dejó de estar disponible. A mediados de abril de 2022, investigadores de seguridad individuales y medios de ciberseguridad informaron sobre un nuevo desarrollo en REvil que podría significar el regreso de la pandilla.
Paralelamente, el ransomware Palo Alto Networks observó por primera vez a Cartel a mediados de enero de 2022. Los investigadores de seguridad de MalwareHunterTeam creen que el grupo ha estado activo al menos desde diciembre de 2021. Observaron la primera actividad conocida de Ransom Cartel y encontraron varias similitudes y superposiciones técnicas con el ransomware REvil. La Unidad 42 también ha observado grupos de cárteles de rescate que apuntan a organizaciones, con las primeras víctimas conocidas que observamos en enero de 2022 en los EE. UU. y Francia. Ransom Cartel apuntó a organizaciones en las siguientes verticales: Educación, Manufactura y Servicios Públicos y Energía.
Ransomware-as-a-Service como negocio
Los delincuentes detrás de Ransom Cartel son actores que ofrecen vender acceso a redes comprometidas. Su motivación no es lanzar ataques cibernéticos ellos mismos, sino vender el acceso a otros actores de amenazas. Dada la rentabilidad del ransomware, es probable que estos corredores tengan relaciones de trabajo con grupos RaaS en función de la cantidad que estén dispuestos a pagar. La Unidad 42 ha visto evidencia de que Ransom Cartel se basó en este tipo de servicios para obtener acceso inicial para entregar ransomware.
Conclusión de los expertos en seguridad
Ransom Cartel es una de las muchas familias de ransomware que han surgido en 2021. Si bien Ransom Cartel usa chantaje dual y algunos de los mismos TTP que se ven a menudo en los ataques de ransomware, este tipo de ransomware usa herramientas menos comunes, como DonPAPI, por ejemplo, que no se habían visto anteriormente en otros ataques de ransomware.
Los operadores de Ransom Cartel claramente tenían acceso al código fuente original del ransomware REvil. Sin embargo, no parecen tener el motor de ofuscación que encripta u oculta cadenas y llamadas API. Por lo tanto, los expertos en seguridad especulan que los operadores del cartel de rescate tenían alguna relación con el grupo REvil antes de comenzar su propia operación.
Se pueden encontrar más evaluaciones del grupo e información técnica en línea en Unit42.
Más en PaloAltoNetworks.com
Acerca de Palo Alto Networks Palo Alto Networks, el líder mundial en soluciones de ciberseguridad, está dando forma al futuro basado en la nube con tecnologías que transforman la forma en que trabajan las personas y las empresas. Nuestra misión es ser el socio de ciberseguridad preferido y proteger nuestra forma de vida digital. Lo ayudamos a abordar los mayores desafíos de seguridad del mundo con innovación continua aprovechando los últimos avances en inteligencia artificial, análisis, automatización y orquestación. Al ofrecer una plataforma integrada y potenciar un ecosistema creciente de socios, somos líderes en la protección de decenas de miles de empresas en nubes, redes y dispositivos móviles. Nuestra visión es un mundo donde cada día sea más seguro que el anterior.
Un pensamiento sobre "Ransom Cartel ransomware-as-a-service proviene de REvil?"
Comentarios cerrados