La enorme riqueza de miles de millones de dólares de las bandas de cibercriminales que subcontratan su trabajo: El negocio del Ransomware
Hay un viejo refrán en la comunidad InfoSec que dice: «Todas las empresas están sometidas a pruebas de penetración, ya sea que paguen por ellas o no, alguien siempre lo hará por placer».
Existen cientos de miles de anuncios en internet y en la deep web ofreciendo trabajo a pentesters para trabajar en el mundo underground del cibercrimen. Entrar a equipos y a grandes corporaciones no es problema, el problema real para ellos es contratar a las suficientes personas para sacar el mayor provecho a los accesos ilegales que tienen en las empresas.
Una de las actividades que más generan dinero son los ataques con Ransomware. Pero en muchos casos, requiere de mucho tiempo (días, semanas o meses) para los cibercriminales desde el día que logran ingresar a las empresas, la instalación del ransomware hasta la obtención del pago de las víctimas.
Esto se debe a que, por lo general, los intrusos necesitan tiempo y mucho esfuerzo para pasar de una sola PC infectada a tomar el control de suficientes recursos dentro de la organización víctima, para que tenga sentido lanzar el ataque (secuestrar la información).
¿Cómo logran esto?
Solo necesitan ingresar a una computadora y obtener a una cuenta de usuario (con mínimos privilegios), posteriormente explotan vulnerabilidades en el equipo para obtener acceso a una cuenta de administrador para deshabilitar las herramientas de seguridad instaladas en el equipo, como un antivirus. La cuenta de administrador tiene mayores privilegios dentro del equipo y dentro de la red de la empresa.
Con la cuenta de administrador escanean la red en busca de software de seguridad que los pueda detectar, una vez identificado el software de seguridad lo deshabilitan, realizan la búsqueda de sistemas de respaldos, identifican los sistemas o métodos de respaldos y la información respaldada para posteriormente destruirlos durante el ataque.
La historia de un “empresario” que subcontrata criminales.
Dr. Samuil, es un cybercriminal que tiene presencia en foros underground desde hace 15 años. Dr. Samuil coloca anuncios en algunos foros para contratar a expertos para las etapas de post-explotación.
Una etapa post-explotación, se da cuando un atacante tiene acceso a un equipo y necesita obtener privilegios de administración, recolectar información y saltar a otros equipos dentro de la red para obtener acceso a la mayor cantidad de equipos posibles.
Uno de sus anuncios de Dr. Samuil dice “Se le proporcionarán con regularidad accesos selectos que fueron auditados (estos son aproximadamente 10-15 accesos de cada 100), esto ayuda a todos los involucrados a ahorrar tiempo”
A partir de otros anuncios clasificados que publicó en agosto y septiembre de 2020, parece claro que el equipo del Dr. Samuil tiene algún tipo de acceso privilegiado a los datos financieros de las empresas víctimas que les da una mejor idea de cuánto efectivo puede tener disponible la empresa víctima para pagar un rescate:
“Existe una enorme información privilegiada sobre las empresas a las que nos dirigimos, incluida información si hay respaldos en unidades de cinta y/o en la nube, lo que afecta significativamente la escala de la tasa de conversión.
Requisitos:
– Experiencia con almacenamiento en la nube, ESXi.
– Experiencia con Active Directory.
– Escalamiento de privilegios en cuentas con privilegios limitados.
* El nivel de información privilegiada de las empresas con las que trabajamos es alta. Hay comprobantes de pagos realizados por las víctimas, pero solo para LEAD verificados.
* También hay un MEGA INSIDE privado, sobre el cual no escribiré aquí en público, y es solo para LEADs experimentados.
* No miramos los informes de INGRESOS / INGRESOS NETOS. Reportes contables, este es nuestro MEGA INSIDE, en el que sabemos exactamente cuánto exprimir con confianza al máximo en total.
La firma Intel 471 dice que dentro de la clandestinidad de los ciberdelincuentes, los accesos comprometidos a las organizaciones se compran, venden y comercializan fácilmente.
Quien es Dr. Samuil?
Al realizar la investigación para esta historia, KrebsOnSecurity descubrió que Dr. Samuil es el identificador utilizado por el propietario de multi-vpn [.] Biz, un servicio de red privada virtual (VPN) de larga duración comercializado para ciberdelincuentes que buscan anonimizar y cifrar su tráfico online haciéndolo saltar a través de varios servidores en todo el mundo.
MultiVPN es el producto de una empresa llamada Ruskod Networks Solutions (también conocida como ruskod [.] Net), que de diversas formas afirma tener su sede en los paraísos de empresas offshore de Belice y Seychelles, pero que parece estar dirigida por un tipo que vive en Rusia. Los registros de registros de dominios para ruskod [.] Net fueron ocultos hace mucho tiempo por los servicios de privacidad de WHOIS. Pero según Domaintools.com, los registros de WHOIS originales para el sitio de mediados de la década de 2000 indican que el dominio fue registrado por Sergey Rakityansky. Este no es un nombre poco común en Rusia o en muchas naciones vecinas de Europa del Este. Pero un ex socio comercial de MultiVPN que tuvo una pelea bastante pública con Dr. Samuil en la clandestinidad le dijo a KrebsOnSecurity que Rakityansky es de hecho el apellido real del Dr. Samuil, y que él tiene 32 o 33 años que actualmente vive en Bryansk, una ciudad ubicada aproximadamente a 200 millas al suroeste de Moscú.
Photo by Christina @ wocintechchat.com on Unsplash
Nuestras Redes
Sigue a León, Hiram y Alina en Twitter
¡Escúchanos!
