GandCrab (o simplemente cangrejo) ransomware definitivamente cambió las reglas del juego ransomware.
Los operadores detrás de la infame cryptovirus crearon un modelo de negocio muy aprovecharse las que otros adoptaron rápidamente. Por ejemplo, vamos a echar un vistazo a la llamada ransomware Sodinokibi.
Se visualiza bien coordinadas campañas de comportamiento y distribución, y era bastante evidente que sus operadores prestadas bastantes trucos de GandCrab. Esto indicó que Sodinokibi podría crecer tan grande como GandCrab en términos de ataques y variantes, que conduce a la adopción de muchos afiliados.
Así, que hackers emergieron de GandCrab?
La nuevo reporte por la Inteligencia Avanzada arroja algo de luz sobre el “paradigma GandCrab”.
La primera diferencia notable que hizo GandCrab se destacan es la exposición, un verdadero signo de un modelo de negocio creciente. "antes GandCrab, ransomware equipos tradicionales, a cargo de los piratas informáticos de habla rusa estaban actuando de forma privada, silenciosamente, y evitado foros subterráneos,”El informe dice. Esto se hizo por motivos de privacidad, ya que la comunidad subterránea de Rusia no fue junto con el modelo digital de extorsión, que es fundamental para el desarrollo ransomware.
Los operadores de GandCrab hicieron exactamente lo opuesto al optar por convertirse en “un fenómeno de cambio de paradigma":
Se volvieron negocio ransomware en una operación en toda regla medios. Marca, márketing, superar a, e incluso las relaciones públicas (PR) manifestada en comunicación continua con los clientes, afiliados, víctimas, y los investigadores de seguridad – todo estaba listo meticulosamente para establecer un nuevo tipo de empresa ransomware.
Pero lo que hizo exactamente el cambio GandCrab?
Para empezar, el desarrollador ransomware(s) creado sus propias campañas de caridad y asociaciones de microcréditos a través de foros.
El impacto del sindicato del crimen cibernético era tan fuerte que incluso una reseña publicada por sus cuentas oficiales darkweb fue suficiente para elevar o borrar un determinado producto de software malicioso a la venta. Cuando se publicaron nuevos cargadores o ladrones, la primera pregunta que los miembros de alto perfil del subterráneo preguntaron era: “¿Estos son compatibles con“cangrejo?", mientras que numerosas muestras de malware exclusivos, botnets, accesos de dominio, credenciales de red, y otras rondas de subasta se cerraron con el mensaje “vendido a GandCrab.”
Poco dicho, Cangrejo "abandonado las viejas formas”De trabajar sólo con los afiliados con experiencia, y dio la bienvenida a los recién llegados lo suficientemente motivado para unirse a la operación. Para muchos, esta fue su primera experiencia ransomware, pero esto no era un problema, ya-as-a-service ransomware de cangrejo (RAAS) programas y asociaciones de afiliados fueron construidos para servir a los inexpertos. Finalmente, el "estudiantes”De estos programas comenzado sus propias empresas más pequeñas, que trajo nuevas ideas a la fundación.
Quien participó en el modelo de negocio de cangrejo de ransomware?
Algunos de los más exitosos afiliados incluyen actores de amenazas conocidas por los siguientes apodos - Ford, FloodService, veneno, copo de nieve. Es de destacar que los colectivos enteros, como ransomware jsworm y sus afiliados PenLat que están detrás del ransomware JSworm y Nemty partieron de GandCrab. Algunos de los seguidores más devotos GandCrab, incluyendo Lalartu puede haber contribuido a la subida de la Revil (Sodinokibi) grupo RaaS.
En marzo de este año, CrowdStrike investigadores dijeron que el grupo criminal detrás del ransomware GandCrab infame es conocida como la araña Pinchy.
Es curioso notar que el programa ofreció una 60-40 dividida en las ganancias, con 60 ciento ofrecido al cliente. Sin embargo, la banda estaba dispuesto a negociar hasta una 70-30 dividida para los clientes que se consideran más “sofisticado", los investigadores dicen.
GrandCrab 5.2, publicado en febrero, 2019 llegó justo después de una herramienta de descifrado para la versión anterior apareció a las víctimas. Según los investigadores CrowdStrike, el "el desarrollo de la propia ransomware ha sido impulsado, en parte, por interacciones de Pinchy araña con la comunidad de investigación de seguridad cibernética. GandCrab contiene múltiples referencias a los miembros de la comunidad de investigación que son ambas activas públicamente en las redes sociales y han informado sobre el ransomware".
En ese tiempo, criminales araña Pinchy eran publicidad GandCrab a las personas con protocolo de escritorio remoto (RDP) y VNC (Virtual Network Computing) habilidades, y operadores de spam que tenían experiencia en redes corporativas.
Los investigadores también proporciona un ejemplo de este tipo de publicidad, que dice lo siguiente: "Los spammers, trabajar con páginas de destino y los especialistas en redes corporativas - no se pierda su boleto a una vida mejor. Te estamos esperando."
La aparición del colectivo Truniger
Es curioso observar que uno de los colectivos de hackers más exitosos que surgieron de las profundidades del GandCrab se TeamSnatch también conocido como Truniger:
Al principio de su carrera ciberdelincuencia, Truniger (que a continuación se hace referencia a ellos en singular) estaba fascinado con cardado y e-descremado. Según ellos, que han comenzado con una suma de dinero obtenido de un trabajo legítimo, que fue invertido en la infraestructura digital fraude financiero. Esta vía penal, sin embargo, rápidamente los fondos de Truniger agotado y los llevan en dificultades financieras. En los intentos de esquivar estas circunstancias extremas, el hacker comenzó a investigar protocolo de escritorio remoto (RDP) vulnerabilidades, específicamente, fuerza bruta PDR para acceder a bases de datos diferentes.
Este vector demostrado ser más eficiente y poco después de, Truniger comenzó a investigar las diversas formas de monetizar los accesos obtenidos. No es sorprendente, el modelo ransomware-as-a-servicio era un siguiente paso lógico. La colección ya había adquirido cierta experiencia y conocimientos sobre el ransomware, vulnerabilidades anti-virus, y puertas traseras en software legítimo. Incluso probaron sus habilidades en una asociación con ransomware rápida.
Para agosto 2018, hackers Truniger codificadas de más de 1,800 dispositivos, y finalmente fueron notados por GandCrab. Larga historia corta, el colectivo Truniger ilustra lo rápido que un actor puede convertirse en un grupo de la delincuencia informática que funciona bien.
A partir de operaciones de cardado menores, Truniger se desarrolló con la ayuda de GandCrab RaaS e incluso creó su propia versión de un programa de ransomware, los investigadores llegaron a la conclusión.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: