Cómo los grupos de Ransomware recurren a datos baratos (robados) para lanzar campañas de extorsión

Lockbit, el sindicato de ransomware más prolífico del mundo, ha recibido 91 millones de dólares en rescates desde 2020, según un aviso conjunto publicado en junio de 2023 por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos. Solo en los últimos seis meses, sus víctimas aparentes han sido la empresa británica Royal Mail, un proveedor de SpaceX, casi nueve millones de clientes de MCNA Dental, la mayor aseguradora dental de Estados Unidos, y, a principios de junio, el mayor fabricante de cremalleras del mundo.

Análisis TRM Labs indica que Lockbit y otros grandes grupos de ransomware que extorsionan a millones de víctimas se basan en datos robados comprados a bajo precio en mercados en línea especializados, que a menudo comercian exclusivamente con criptomoneda. Una credencial de cuenta pirateada de "buena calidad" en estas plataformas puede comprarse por tan solo 10 dólares.

El análisis de TRM de la actividad en la cadena muestra que en febrero de 2023, poco antes de vulnerar MCNA Dental, Lockbit realizó dos depósitos relativamente pequeños en Russian Market, un proveedor de la darknet de los llamados "registros de robos", que incluyen información robada de navegadores web, como datos almacenados y detalles de ciertos dispositivos. Teniendo en cuenta la cuantía de los depósitos, estos pagos podrían haber permitido a Lockbit adquirir datos de más de 100 cuentas comprometidas. 

El pago indica que es probable que LockBit esté comprando datos comprometidos en mercados en línea de terceros, como Russian Market, para llevar a cabo sus actividades maliciosas. 

Como se indica en el siguiente gráfico, una dirección de pago de LockBit, que ha recibido pagos de víctimas del rescate, envía fondos a dos direcciones: una dirección de afiliado y una dirección de desarrollador. Un afiliado de ransomware se refiere a una entidad que alquila el acceso a plataformas Ransomware(RaaS). Un desarrollador de ransomware desarrolla y mantiene el software malicioso.

El desglose observado en este intercambio, en el que el afiliado recibe el 80% de los fondos y el promotor el 20% restante, es típico entre las relaciones promotor / afiliado. En este caso, la dirección del afiliado envía fondos a Russian Market para reponer la cuenta.

Russian Market, que se lanzó en 2022, ofrece a los usuarios la oportunidad de encargar por adelantado credenciales robadas para una organización específica. Los clientes que mantengan un saldo mínimo de 1.000 dólares en sus cuentas de la plataforma tienen la oportunidad de enviar una lista de dominios a los que desean dirigirse. A continuación, recibirán notificaciones por adelantado sobre la disponibilidad de los registros asociados a esos dominios. Estos clientes tienen acceso anticipado a los registros correspondientes a los dominios especificados antes de que sean accesibles al mercado en general. El servicio no viene acompañado de ninguna garantía, pero esta función permite a los ciberdelincuentes pasar de ataques oportunistas a ataques más centrados y selectivos. En noviembre de 2022 y enero de 2023, LockBit realizó transacciones con importes superiores o iguales al saldo mínimo requerido, lo que indica el uso del servicio.

La investigación on-chain de TRM muestra que LockBit ha estado enviando fondos a Russian Market cada mes desde noviembre de 2022, presumiblemente para comprar datos. En noviembre de 2022 y enero de 2023, LockBit realizó transacciones con importes superiores o iguales al saldo mínimo requerido, lo que indica el uso del servicio.

Tras el desmantelamiento de Genesis Market, un mercado en línea al que sólo se podía acceder por invitación y que vendía credenciales de cuentas robadas, Russian Market ha experimentado un aumento de popularidad. Los foros de la Dark Web están repletos de discusiones sobre fuentes alternativas para comprar registros tras la desaparición de Genesis. 

Actualmente, Russian Market y 2easyShop son los principales competidores en el mercado. Sin embargo, 2easyShop se ha ganado una reputación negativa entre los ciberdelincuentes que, según populares foros de ciberdelincuencia, acusan al sitio de actividades de estafa. Según los foros, la escasa atención al cliente de 2easyShop y la baja calidad de los datos hacen que los registros adquiridos no sean válidos, lo que proporciona una ventaja de mercado a Russian Market tras la retirada de Genesis. 

Desde la desaparición de Genesis, Russian Market está recibiendo una atención significativa y ha sido testigo de un aumento de las menciones en foros de ciberdelincuencia. Además, se ha producido un aumento de los canales dedicados de Telegram que facilitan la venta de productos similares. Básicamente, el desmantelamiento de Genesis ha desencadenado un efecto hidra, en el que la eliminación de una entidad provoca la aparición de muchas otras. Una cosa es segura: mientras haya demanda por parte de los actores del ransomware , seguiremos viendo una proliferación de empresas que les sirven luchando por su cuota de mercado.

En una actualización sobre Lockbit, el 15 de junio de 2023, el Departamento de Justicia de Estados Unidos anunció cargos contra Ruslan Magomedovich Astamirov, un ciudadano ruso, por su participación en el despliegue de numerosos ransomware LockBit y otros ciberataques. Según la denuncia, los autores de LockBit han ejecutado más de 1.400 ataques contra víctimas en Estados Unidos y en todo el mundo, emitiendo más de 100 millones de dólares en peticiones de rescate y recibiendo al menos hasta decenas de millones de dólares en pagos reales de rescates efectuados en forma de bitcoin. Al menos en una ocasión, las fuerzas de seguridad pudieron rastrear una parte del pago del rescate de una víctima hasta una dirección de moneda virtual controlada por Astamirov.

El anuncio sigue a los cargos relacionados con LockBit en otros dos casos del Distrito de Nueva Jersey. En noviembre de 2022, el departamento anunció cargos penales contra Mikhail Vasiliev, con doble nacionalidad rusa y canadiense, que actualmente se encuentra detenido en Canadá a la espera de ser extraditado a Estados Unidos. En mayo de 2023, DOJ anunció la acusación de Mikhail Pavlovich Matveev, por su presunta participación en conspiraciones separadas para desplegar variantes de ransomware LockBit, Babuk y Hive contra víctimas en Estados Unidos y en el extranjero.

Este caso es otro gran ejemplo de cooperación y coordinación a escala federal, estatal y mundial entre DOJ Estados Unidos, el FBI, el Departamento de Policía de Jersey City, la Policía Estatal de Nueva Jersey, IRS Investigación IRS, el Centro Europeo de Ciberdelincuencia de Europol, Eurojust, la Agencia Nacional de Policía de Japón, el Mando Ciberespacial de la Gendarmerie Nationale de Francia, la Agencia Nacional contra la Delincuencia y la Unidad Regional contra la Delincuencia Organizada del Suroeste del Reino Unido, la Kantonspolizei Zürich de Suiza, la Landeskriminalamt Schleswig-Holstein y la Bundeskriminalamt de Alemania, y la Autoridad Policial Sueca de Suecia.

‍

‍