1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Una Mirada Más cercana al Grupo de Rescate de Datos Snatch

Una Mirada Más cercana al Grupo de Rescate de Datos Snatch

A principios de esta semana, KrebsOnSecurity revelado que el sitio web de darknet para el Arrebatar el grupo de ransomware estaba filtrando datos sobre sus usuarios y las operaciones internas de la banda criminal. Hoy, analizaremos más de cerca la historia de Snatch, su supuesto fundador, y sus afirmaciones de que todos los han confundido con un grupo de ransomware diferente y antiguo con el mismo nombre.

De acuerdo con un aviso conjunto del 20 de septiembre de 2023 del FBI y el Administración de Seguridad de Infraestructura y Ciberseguridad de EE. UU.n (CISA), Snatch fue nombrado originalmente Equipo Truniger, basado en el apodo del fundador y organizador del grupo: Truniger.

El informe del FBI/ CISA dice que Truniger operaba anteriormente como afiliado de GandCrab, una oferta temprana de ransomware como servicio que cerró la tienda después de varios años y afirma haber extorsionado a más de $2 mil millones de las víctimas. GandCrab se disolvió en julio de 2019 y se cree que se convirtió en "REvil, "uno de los grupos de ransomware rusos más despiadados y rapaces de todos los tiempos.

El gobierno dice que Snatch usó una variante de ransomware personalizada notable para reiniciar Microsoft Windows dispositivos en modo seguro, lo que permite al ransomware eludir la detección mediante antivirus o protección de puntos finales — y luego cifrar archivos cuando se ejecutan pocos servicios.

"Se ha observado que los actores de la amenaza Snatch compran datos previamente robados de otras variantes de ransomware en un intento de explotar aún más a las víctimas para que paguen un rescate para evitar que sus datos se publiquen en el blog de extorsión de Snatch", dice la alerta del FBI/CISA. Continúa:

"Antes de implementar el ransomware, se observó que los actores de la amenaza Snatch pasaban hasta tres meses en el sistema de una víctima. Dentro de este período de tiempo, los actores de la amenaza Snatch explotaron la red de la víctima moviéndose lateralmente a través de la red de la víctima con RDP para la mayor implementación posible de ransomware y la búsqueda de archivos y carpetas para la exfiltración de datos seguida del cifrado de archivos.”

Firma de inteligencia cibernética con sede en la ciudad de Nueva York Punto de Inflamación dijo que el grupo de ransomware Snatch se creó en 2018, basado en el reclutamiento de Truniger tanto en foros de delitos cibernéticos en idioma ruso como en tableros públicos de programación rusos. Flashpoint dijo que Truniger reclutó "probadores de bolígrafos" para un nuevo grupo de delitos cibernéticos, que entonces no tenía nombre, publicando sus datos de contacto privados de mensajería instantánea Jabber en múltiples foros de codificación en ruso, así como en Facebook.

"El comando requiere administradores de sistemas Windows", explicaron los anuncios de Truniger. "Experiencia en copias de seguridad, aumento de privilegios, mikicatz, red. Detalles después de contactar en jabber: truniger@xmpp[.] jp.”

En al menos algunos de esos anuncios de reclutamiento, como uno en 2018 en el foro administradores de sistemas[.] ru –el nombre de usuario que promocionaba la información de contacto de Truniger era Semen7907. En abril de 2020, Truniger fue expulsado de dos de los principales foros de delitos cibernéticos rusos, donde los miembros de ambos foros confirmaron que Semen7907 era uno de los alias conocidos de Truniger.

[NOTA AL MARGEN: Truniger fue expulsado porque compró credenciales para una empresa de un intermediario de acceso a la red en la web oscura, y aunque prometió compartir un cierto porcentaje de la cantidad de rescate que el grupo de Truniger extrajo de la víctima, Truniger le pagó al agente de acceso solo unos cientos de dólares de un rescate de seis cifras].

Según Inteligencia Constella, una plataforma de investigación de actores de amenazas y violación de datos, un usuario llamado Semen7907 registrado en 2017 en el foro de programación en ruso pawno[.] ru uso de la dirección de correo electrónico tretyakov-files@yandex.ru.

Esa misma dirección de correo electrónico se asignó al usuario "Semen-7907" en el sitio web de juegos ahora desaparecido tunngle.net, que sufrió una violación de datos en 2020. Semen-7907 registrado en Tunngle desde la dirección de Internet 31.192.175[.]63, que está en Ekaterimburgo, RU.

Constella informa que tretyakov-files@yandex.ru también se utilizó para registrar una cuenta en el juego en línea stalker[.] así que con el apodo Troyano7907.

Hay un Skype usuario por el identificador semen7907, y que tiene el nombre Semyon Tretiakov de Ekaterimburgo, RU. Constella también encontró un registro violado del sitio ruso de telefonía móvil tele2[.] ru, lo que muestra que un usuario de Ekaterimburgo se registró en 2019 con el nombre Semyon Sergeyvich Tretiakov y dirección de correo electrónico tretyakov-files@ya.ru.

Las cuentas anteriores, así como la dirección de correo electrónico semen_7907@mail.ru, todos fueron registrados o accedidos desde la misma dirección de Internet de Ekaterimburgo mencionada anteriormente: 31.192.175.63. El número de teléfono móvil ruso asociado a ese tele2[.] la cuenta de ru está conectada a la cuenta de Telegram "Perchatka, "("guante" en ruso).

BAD BEATS

Contactado por Telegrama, Perchatka (también conocido como el Sr. Tretyakov) dijo que no era un ciberdelincuente y que actualmente tiene un trabajo a tiempo completo trabajando en TI en una gran empresa(se negó a especificar cuál).

Presentado con la información recopilada para este informe (y más que no se publica aquí), el Sr. Tretyakov reconoció que Semen7907 era su cuenta en sysadmins[.] ru, la misma cuenta que Truniger utilizó para reclutar piratas informáticos para el grupo de ransomware Snatch en 2018.

Sin embargo, afirma que nunca hizo esas publicaciones, y que alguien más debe haber asumido el control de sus administradores de sistemas[.] cuenta ru y publicado como él. El Sr. Tretyakov dijo que el alcance de KrebsOnSecurity esta semana fue la primera vez que se dio cuenta de que sus administradores de sistemas[.] la cuenta de ru fue utilizada sin su permiso.

El Sr. Tretyakov sugirió que alguien pudo haberlo incriminado, señalando a una historia de agosto de 2023 en un medio de comunicación ruso sobre el hackeo y la filtración de la base de datos de usuarios de los administradores de sistemas[.] ru, supuestamente a manos de un grupo de hackers pro-ucraniano llamado CyberSec.

"Recientemente, debido a la guerra en Ucrania, se ha filtrado una gran cantidad de bases de datos y encontrar información sobre una persona no es difícil", dijo Tretyakov. "He estado usando este inicio de sesión desde aproximadamente 2013 en todos los foros donde me registro, y no siempre establezco una contraseña segura. Si hubiera hecho algo ilegal, me habría escondido mucho mejor: D."

[Para que conste, KrebsOnSecurity generalmente no considera que este sea el caso, ya que el Serie de migas de pan testificará.]

A Semyon Sergeyvich Tretyakov figura como el compositor de una canción de rap en ruso llamada "Paralelos, "que parece ser sobre la búsqueda de un estilo de vida de alto riesgo en línea. Un fragmento de la canción va:

"Alguien está en la pantalla, alguien está en la lista negra
Enciendo el temporizador y calculo los riesgos
No quiero quedarme sin dinero y en la búsqueda de dinero
No puedo tomar estos ceros La vida es como una cebra –
todo el mundo quiere ser el primero O las rayas son blancas,
o nos estamos moviendo a través de la selva, no perderé el tiempo.”

Tretiakov dijo que él no era el autor de esa rima en particular, pero que se sabe que graba sus propios ritmos.

"A veces hago malos golpes", dijo. "Soundcloud.”

NO IMPORTA EL NOMBRE DE DOMINIO

El Alerta del FBI/ CISA sobre el ransomware Snatch (PDF) incluye una advertencia interesante: Dice que Snatch realmente implementa ransomware en los sistemas de las víctimas, pero también reconoce que los ocupantes actuales de los dominios web oscuros y claros de Snatch se llaman a sí mismos Snatch Team y sostienen que no son las mismas personas que Snatch Ransomware de 2018.

Aquí está la parte interesante del informe del FBI/ CISA:

"Desde noviembre de 2021, un sitio de extorsión que operaba bajo el nombre de Snatch sirvió como centro de intercambio de datos filtrados o robados de las empresas víctimas en Clearnet y TOR alojados por un servicio de alojamiento a prueba de balas. En agosto de 2023, personas que afirmaban estar asociadas con el blog concedieron una entrevista a los medios de comunicación en la que afirmaban que el blog no estaba asociado con el ransomware Snatch y que "ninguno de nuestros objetivos ha sido atacado por el Ransomware Snatch Sn", a pesar de que múltiples datos confirmados de víctimas de Snatch aparecen en el blog junto con víctimas asociadas con otros grupos de ransomware, en particular Nokoyawa y Conti.”

Los lectores ávidos recordarán una historia aquí a principios de esta semana sobre Snatch Team sitio web de darknet con fugas con sede en Ekaterimburgo, RU, que expuso sus operaciones internas y las direcciones de Internet de sus visitantes. Los datos filtrados sugieren que Snatch es uno de los varios grupos de ransomware que utilizan anuncios pagados en Google.com engañar a las personas para que instalen malware disfrazado de software gratuito popular, como Equipos de MicrosoftAdobe ReaderMozilla Thunderbird, y Discordia.

Snatch Team afirma tratar solo con datos robados, no con la implementación de malware de ransomware para mantener los sistemas como rehenes.

Representantes del equipo de Snatch respondieron recientemente preguntas de Databreaches.net sobre la supuesta discrepancia en el informe del FBI/ CISA.

"En primer lugar, repetimos una vez más que no tenemos nada que ver con el Ransomware Snatch, somos un Archivo Adjunto de Notificación de Seguridad y nunca hemos violado los términos de las transacciones concluidas, porque nuestra honestidad y apertura es la garantía de nuestros ingresos", escribió el equipo de Snatch a Databreaches.net en respuesta a preguntas.

Pero hasta ahora el equipo de Snatch no ha podido explicar ¿por qué está utilizando los mismos nombres de dominio que utilizó el grupo Snatch ransomware?

Su afirmación es aún más increíble porque los miembros del equipo Snatch dijeron Databreaches.net ni siquiera sabían que ya existía un grupo de ransomware con ese nombre cuando se formaron inicialmente hace solo dos años.

Esto es difícil de tragar porque incluso si fueran un grupo separado, aún tendrían que coordinar de alguna manera la transferencia de los dominios del grupo de Ransomware en las redes claras y oscuras. Si esperaban un nuevo comienzo o una separación, ¿por qué no elegir un nuevo nombre y un nuevo destino web?

"Snatchteam[.] cc es esencialmente un mercado de datos", continuaron. "Lo único que hay que subrayar es que estamos en contra de vender información filtrada, apegándonos a la idea del libre acceso. Absolutamente cualquier equipo puede venir a nosotros y ofrecer información para su publicación. Aún más, hemos escuchado rumores de que varios equipos de ransomware asustan a sus clientes de que publicarán información filtrada en nuestro recurso. No tenemos nuestro propio ransomware, pero estamos abiertos a la cooperación en la colocación y monetización de fechas (sic).”

Tal vez Snatch Team no desee asociarse con Snatch Ransomware porque actualmente creen que robar datos y luego extorsionar a las empresas víctimas por dinero es de alguna manera menos malvado que infectar todos los servidores y copias de seguridad de la víctima con ransomware.

También es probable que Snatch Team sea consciente de lo mal que algunos de sus fundadores cubrieron sus huellas en línea, y esperan una renovación en ese frente.



>>Más