La creciente sofisticación de los ciberdelincuentes clandestinos se refleja ahora en la forma en que las operaciones de ransomware unen a sus equipos, buscando talentos y habilidades especializadas. De hecho, algunas pandillas están llegando a parecerse a las corporaciones, con roles diversificados y negociaciones subcontratadas con las víctimas, según una nueva investigación publicada por Kela, un proveedor de servicios de inteligencia de amenazas.
La analista de Kela Victoria Kivilevich y otros miembros del equipo pasaron más de un año monitoreando el ecosistema de trabajo cibernético de la web oscura y rápidamente establecieron la existencia de cuatro áreas principales de especialización:
- Codificar o adquirir malware con las capacidades necesarias.
- Infección de víctimas objetivo.
- Mantener el acceso a los sistemas de las víctimas y filtrar y procesar sus datos.
- Monetizar, cobrar, vender o monetizar de otra manera los datos robados.
Cada una de estas etapas involucra varias actividades maliciosas en las que varias habilidades pueden ser útiles, y Kivilevich dijo que su equipo había descubierto que cuando se mira específicamente a la cadena de suministro de ransomware, muchos actores se concentran en el nicho de extracción, enfocándose en aumentar sus privilegios dentro de los comprometidos. red, y el nicho de monetización, donde los actores participan en la extracción de rescates durante las negociaciones de las víctimas.
Las personas con las habilidades adecuadas, y no necesariamente técnicas, para tener éxito en las negociaciones de rescate son particularmente valoradas, descubrió Kela. “Observamos varias publicaciones [on the dark web] describiendo un nuevo papel en el ecosistema de ransomware, los negociadores, cuyo propósito es obligar a la víctima a pagar un rescate utilizando información privilegiada y amenazas ”, dijo Kivilevich.
“Las víctimas empezaron a utilizar negociadores, mientras que hace unos años no existía esa profesión, ahora existe una demanda de servicios de negociación. Los especialistas en negociación de ransomware se asocian con las compañías de seguros y no carecen de clientes. Los actores de Ransom también tuvieron que mejorar su juego para obtener buenos márgenes.
“Como la mayoría de los agentes de rescate probablemente no son hablantes nativos de inglés, las negociaciones más delicadas, específicamente en torno a presupuestos muy altos y situaciones comerciales complejas que rodean, requerían un mejor inglés. Cuando el representante de REvil estaba buscando un miembro de ‘apoyo’ del equipo para llevar a cabo las negociaciones, mencionaron específicamente el ‘inglés conversacional’ como una de las demandas. Este no es un caso nuevo: los actores están interesados en hablantes nativos de inglés para usar en campañas de spear-phishing “.
Kivilevich encontró varios hilos en foros clandestinos de habla rusa donde los ciberdelincuentes buscaban negociadores y discutían su trabajo.
En la imagen de abajo, que Kela tradujo del ruso utilizando los servicios de Google, un actor de amenazas que ya ha establecido la persistencia en la red de una víctima en Arabia Saudita parece llamar a una persona con información privilegiada, o alguien con contactos, en empresas de ciberseguridad de Oriente Medio puede entregar los datos de contacto de los gerentes de TI de la víctima para llevar a cabo las negociaciones. La remuneración en este caso estaría entre $ 1 millón y $ 5 millones (£ 720,000 a £ 3,6 millones, o € 840,000 a € 4,22 millones), o probablemente alrededor del 20% del rescate.
Y así como una organización legítima podría contratar a un contratista que resulta no encajar, las bandas de ransomware también pueden tomar malas decisiones de contratación, y en algunos de los foros, Kela encontró evidencia de disputas entre bandas de ransomware y sus pistoleros contratados. (ver imagen abajo).
En un caso documentado, la falta de comunicación entre un afiliado de Conti y un negociador contratado estalló en una disputa total en el intento de extorsión en abril de 2021 del Distrito de Escuelas Públicas del Condado de Broward en Florida.
El negociador afirmó que tenían información privilegiada que obligaría a la víctima a pagar (habían exigido 40 millones de dólares, en sí mismo una extralimitación masiva), pero luego acusó al afiliado de Conti de entrometerse en las negociaciones y realizar sus esfuerzos. Conti respondió acusando a los negociadores de comportarse de manera poco profesional.
Otros luego intervinieron en el foro con sus experiencias, con REvil, actualmente en el centro del incidente de Kaseya que se desarrolla, acusando al negociador de ser un estafador.
El informe de Kela entra en más detalles sobre algunas de las funciones especializadas por las que los operadores de ransomware están dispuestos a pagar mucho dinero, como agentes de acceso, especialistas en intrusiones (o probadores de penetración) y propietarios de redes de bots para ataques de denegación de servicio distribuidos (DDoS) asociados. Puede leerse completo aquí.