Conoce a Wizard Spider, el Equipo de Crackers Multimillonario detrás de los Malware Conti y Ryuk

Wizard Spider, es equipo de crackers vinculado a Rusia y asociado a los ataques realizados por el malware de alto perfil Conti, Ryuk y Trickbot.

¿Cómo funciona el ransomware Ryuk con el que ha sido atacado el SEPE?

Este equipo se ha convertido en los últimos cinco años en una organización multimillonaria que ha construido un modelo operativo de tipo corporativo, según un estudio realizado hace un año.

En un informe técnico realizado por la gente de Prodaft, se habla de una pandilla que se asentaba en activos por valor de cientos de millones de dólares canalizados desde múltiples variantes sofisticadas de malware.

Wizard Spider, funciona como un negocio con una red compleja de subgrupos y equipos que se enfocan en tipos específicos de software y tiene asociaciones con otros malhechores conocidos; incluidos los que están detrás de REvil y Qbot (también conocido como Qakbot o Pinkslipbot.

Los operadores de ransomware establecieron varios “récords” durante 2021

Además, Wizard Spider gestiona todo el ciclo de vida de un ciberataque, desde la intrusión inicial y el cifrado de datos en la organización comprometida, hasta la contratación de ayuda externa para trabajos tales como llamar en frío a las víctimas de ransomware para asustarlas y obligarlas a pagar.

Si es necesario, compra cualquier código malicioso que necesite, aunque también están creando cada vez más sus propias herramientas; como una aplicación para descifrar hash.

El malware desarrollado por Wizard Spider, particularmente Conti, ha llamado la atención de los funcionarios gubernamentales en los EE. UU.

El ransomware Conti se usó en un ataque que casi cerró el sistema de salud de Irlanda y posteriormente, destruyó las agencias gubernamentales de Costa Rica.

El SEPE recibe un ciberataque basado en el ransomware Ryuk

Durante el año pasado, el gobierno de EE. UU. emitió varias alertas sobre Conti y luego ofreció una recompensa de hasta 15 millones de dólares por información sobre las figuras clave del grupo que desarrolla Conti y las personas detrás de cualquier ataque que use una variante del ransomware.

Una amplia red de hecho

El alcance del grupo es amplio y ha sido objeto de investigación por parte de varios equipos de ciberseguridad.

Según Prodaft, Wizard Spider controla miles de dispositivos de clientes en todo el mundo a través de un grupo de servidores que ejecutan el malware proxy SystemBC.

Los investigadores contaron 128.036 cajas infectadas con SystemBC, la mayoría de ellas en Rusia (20,5 por ciento) y EE. UU. (12,9 por ciento).

La mayoría de los ataques lanzados por Wizard Spider comienzan con una campaña masiva de spam que usa Qbot, SystemBC y correo electrónico comercial comprometido, con el objetivo de engañar a las marcas para que descarguen y ejecuten parte del malware de la pandilla en sus PC con Windows.

Después de eso, otro equipo utiliza la selección basada en dominios para identificar los objetivos valiosos para sus demandas de rescate y desplegar Cobalt Strike para actividades de movimiento lateral.

Malware: Los Ransomware de Criptovirología más Conocidos

Si el equipo de intrusión obtiene con éxito el privilegio de administrador de dominio, implementan la variedad de ransomware de Conti.

Un subequipo de Wizard Spider, por ejemplo, se especializa en infectar servidores de hipervisor, como máquinas con ESXi de VMware, con el ransomware Conti.

Una vez que los datos se extraen de la caja de la víctima, los delincuentes cargan un código malicioso que encripta la información y deja una nota de rescate.

El grupo maneja a las víctimas a través de un panel de control de casilleros. Los investigadores también descubrieron que el equipo escaneó y explotó directamente cientos de servidores VMware vCenter utilizando la vulnerabilidad generalizada Log4j, denominada Log4Shell, y varias de las direcciones IP utilizadas para el escaneo también se usaron para los servidores de comando y control (C2) de Cobalt Strike en ataques posteriores.

Profundizando en la investigación

Wizard Spider también invirtió en el desarrollo de sus propias tecnologías, incluido un conjunto de herramientas personalizado para explotar fallas de seguridad, incluido el agujero Log4j y un sistema personalizado de voz sobre IP (VoIP) utilizado por los operadores para llamar a las víctimas y exigir el pago de rescates.

El sistema de llamadas en frío almacena informes de llamadas que los subequipos pueden usar para presionar más a las víctimas. Los informes incluyen todo, desde el nombre único que los extorsionadores dan a sus víctimas, la hora del ataque de ransomware y un estado de llamada que usa “1” para una llamada exitosa y “0” para llamadas que no lo son o aún no ha sido exitosa.

También hay un sistema de descifrado de hash personalizado capaz de almacenar hashes descifrados, que actualiza a los actores de amenazas sobre el estado de descifrado y muestra los resultados de los intentos de descifrado en otros servidores.

El software afirma que puede descifrar una amplia gama de tipos de hash comunes, incluidos hashes LM:NTLM, credenciales de dominio en caché, tickets Kerberos 5 TGS-REP/AS-REP, archivos KeePass y los que se utilizan para documentos de MS Office 2013.

La aplicación de gestión de hash-cracking también se utiliza como una herramienta de comunicación para rastrear el trabajo del equipo, lo que indica que juega un papel central en la forma en que opera el negocio de Wizard Spider.

Los analistas se sorprendieron al enterarse de un vínculo entre Wizard Spider y REvil, el grupo de ransomware que puso una bola de demolición entre el proveedor mundial de carne JBS y el fabricante de software de TI Kaseya.

Los servidores de Wizard Spider utilizados para sus campañas de extorsión ocasionalmente copian sus datos a un servidor de respaldo en Rusia que tiene un tamaño de disco de aproximadamente 26 TB.

Los investigadores de Prodaft encontraron datos en este almacenamiento de respaldo que fueron robados de algunas organizaciones que también fueron atacadas por REvil durante el primer trimestre de 2021.

Sin embargo no existen pruebas profundas de que el grupo sea exactamente el mismo.

Relacionados