• Tiempo de lectura:7 minutos de lectura
  • Categoría de la entrada:Hacking

Wizard Spider, el equipo vinculado a Rusia detrás de los malware de alto perfil Conti, Ryuk y Trickbot, ha crecido en los últimos cinco años hasta convertirse en una organización multimillonaria que ha construido un modelo operativo de tipo corporativo.

En un informe técnico, Prodaft, ha estado rastreando a la pandilla de delitos informáticos desde 2021 y describió sus propios hallazgos sobre Wizard Spider, complementados con información que se filtró sobre la operación Conti después de que los delincuentes se pusieran públicamente del lado de Rusia durante el invasión ilegal de Ucrania.

Lo que encontró Prodaft fue una pandilla que se asentaba en activos por valor de cientos de millones de dólares canalizados desde múltiples variantes sofisticadas de malware.

Wizard Spider, funciona como un negocio con una red compleja de subgrupos y equipos que se enfocan en tipos específicos de software y tiene asociaciones con otros ciberdelicuentes conocidos.

Entre otros, se podrían incluir a los grupos que se encuentran detrás de REvil y Qbot (también conocido como Qakbot o Pinkslipbot).

Además, Wizard Spider ofrece servicios completos.

Gestiona todo el ciclo de vida de un ciberataque, desde la intrusión inicial y el cifrado de datos en la organización comprometida, hasta la contratación de ayuda externa para trabajos tales como llamar en frío a las víctimas de ransomware para asustarlas y obligarlas a pagar.

Si es necesario, comprar cualquier código malicioso que se necesite, aunque también está creando cada vez más sus propias herramientas: Como una aplicación para descifrar hash.

“La extraordinaria rentabilidad del grupo permite a sus líderes invertir en iniciativas ilícitas de investigación y desarrollo”, escribieron los investigadores de Prodaft.
“Wizard Spider es totalmente capaz de contratar talento especializado, construir una nueva infraestructura digital y comprar acceso a exploits avanzados”.

Wizard Spider, es capaz de monetizar múltiples aspectos de sus operaciones. Es responsable de una enorme cantidad de spam en cientos de millones de millones de dispositivos, así como de filtraciones de datos concentradas y ataques de objetivos.

El malware desarrollado por Wizard Spider, particularmente Conti, ha llamado la atención de los funcionarios gubernamentales en los EE. UU.

El ransomware Conti se usó en un ataque que casi cerró el sistema de salud de Irlanda y más recientemente, destruyó las agencias gubernamentales de Costa Rica. El presidente de Costa Rica, Rodrigo Chaves, ha dicho que su país está en guerra con quien esté detrás de Coni.

Durante el año pasado, el gobierno de EE. UU. emitió varias alertas sobre Conti y a principios de este mes, ofreció una recompensa de hasta 15 millones de dólares por información sobre las figuras clave del grupo que desarrolla Conti y las personas detrás de cualquier ataque que use una variante del ransomware.

Una amplia red de hecho

El alcance del grupo es amplio y ha sido objeto de investigación por parte de varios equipos de ciberseguridad.

Según Prodaft, Wizard Spider controla miles de dispositivos de clientes en todo el mundo a través de un grupo de servidores que ejecutan el malware proxy SystemBC.

Los investigadores contaron 128.036 cajas infectadas con SystemBC, la mayoría de ellas en Rusia (20,5 por ciento) y EE. UU. (12,9 por ciento).

“Si bien estos dos países son, con mucho, los objetivos más populares, vale la pena señalar que otras economías importantes como China, India y Brasil también están bien representadas”.
“Wizard Spider tiene una presencia significativa en casi todos los países desarrollados del mundo y también en muchas economías emergentes”.

La mayoría de los ataques lanzados por Wizard Spider comienzan con una campaña de spam masiva que usa Qbot, SystemBC y correo electrónico comercial comprometido, con el objetivo de engañar a las marcas para que descarguen y ejecuten parte del malware de la pandilla en sus PC con Windows.

Después de eso, otro equipo utiliza la selección basada en dominios para identificar los objetivos valiosos para sus demandas de rescate y desplegar Cobalt Strike para actividades de movimiento lateral.

Si el equipo de intrusión obtiene con éxito el privilegio de administrador de dominio, implementan la variedad de ransomware de Conti.

Un subequipo de Wizard Spider, por ejemplo, se especializa en infectar servidores de hipervisor, como máquinas con ESXi de VMware con el ransomware Conti.

Una vez que los datos se extraen de la caja de la víctima, los delincuentes cargan un código malicioso que encripta la información y deja una nota de rescate.

Los investigadores también descubrieron que el equipo escaneó y explotó directamente cientos de servidores VMware vCenter utilizando la vulnerabilidad generalizada Log4j, denominada Log4Shell y varias de las direcciones IP utilizadas para el escaneo también se usaron para los servidores de comando y control (C2) de Cobalt Strike en ataques posteriores.

Girando el brazo de la investigación

Wizard Spider también invirtió en el desarrollo de sus propias tecnologías, incluido un conjunto de herramientas personalizado para explotar fallas de seguridad, incluido el agujero Log4j y un sistema personalizado de voz sobre IP (VoIP) utilizado por los operadores para llamar a las víctimas y exigir el pago de rescates.

El sistema de llamadas en frío almacena informes de llamadas que los subequipos pueden usar para presionar más a las víctimas.

Los informes incluyen todo, desde el nombre único que los extorsionadores dan a sus víctimas, la hora del ataque de ransomware y un estado de llamada que usa “1” para una llamada exitosa y “0” para llamadas que no lo son o que aún no lo han sido.

También hay un sistema de descifrado de hash personalizado que “almacena hashes descifrados, actualiza a los actores de amenazas sobre el estado de descifrado y muestra los resultados de los intentos de descifrado en otros servidores”, escribieron los cazadores de amenazas.

El software afirma que puede descifrar una amplia gama de tipos de hash comunes, incluidos hashes LM:NTLM, credenciales de dominio en caché, tickets Kerberos 5 TGS-REP/AS-REP, archivos KeePass y los que se utilizan para documentos de MS Office 2013.

La aplicación de gestión de hash-cracking también se utiliza como una herramienta de comunicación para rastrear el trabajo del equipo, lo que indica que juega un papel central en la forma en que opera el negocio de Wizard Spider.

En el momento del informe de Prodaft, había 32 usuarios activos en la suite de craqueo.

Los analistas se sorprendieron al enterarse de un vínculo entre Wizard Spider y REvil, el grupo de ransomware que puso una bola de demolición entre el proveedor mundial de carne JBS y el fabricante de software de TI Kaseya.

Los servidores de Wizard Spider utilizados para sus campañas de extorsión ocasionalmente copian sus datos a un servidor de respaldo en Rusia que tiene un tamaño de disco de aproximadamente 26 TB.

Los investigadores de Prodaft encontraron datos en este almacenamiento de respaldo que fueron robados de algunas organizaciones que también fueron atacadas por REvil durante el primer trimestre de 2021.

Sin embargo, no existe más información para confirmar si el equipo de Wizard Spider llevó a cabo estos ataques o si los datos robados se transfirieron de los servidores de REvil al almacenamiento de respaldo.