Investigadores comparten técnicas para descubrir sitios de ransomware anónimos en la Dark Web

Los investigadores de seguridad cibernética han detallado las diversas medidas que los actores de ransomware han tomado para ocultar su verdadera identidad en línea, así como la ubicación de alojamiento de su infraestructura de servidor web.

"La mayoría de los operadores de ransomware utilizan proveedores de alojamiento fuera de su país de origen (como Suecia, Alemania y Singapur) para alojar sus sitios de operaciones de ransomware", dijo Paul Eubanks, investigador de Cisco Talos . "Utilizan puntos de salto VPS como un proxy para ocultar su verdadera ubicación cuando se conectan a su infraestructura web de ransomware para tareas de administración remota".

También destacan el uso de la red TOR y los servicios de registro de proxy DNS para proporcionar una capa adicional de anonimato para sus operaciones ilegales.

Pero al aprovechar los errores de seguridad operativa de los actores de amenazas y otras técnicas, la firma de ciberseguridad reveló la semana pasada que pudo identificar los servicios ocultos TOR alojados en direcciones IP públicas, algunos de los cuales son infraestructuras previamente desconocidas asociadas con DarkAngels , Snatch , Grupos de ransomware Quantum y Nokoyawa.

Si bien se sabe que los grupos de ransomware confían en la dark web para ocultar sus actividades ilícitas, que van desde la filtración de datos robados hasta la negociación de pagos con las víctimas, Talos reveló que pudo identificar "direcciones IP públicas que albergan la misma infraestructura de actores de amenazas que las que se encuentran en la oscuridad". web."

"Los métodos que utilizamos para identificar las direcciones IP públicas de Internet implicaron hacer coincidir los números de serie del certificado TLS [autofirmado] de los actores de amenazas y los elementos de la página con los indexados en la Internet pública", dijo Eubanks.

cert

Además de la coincidencia de certificados TLS, un segundo método empleado para descubrir las infraestructuras web claras de los adversarios implicaba verificar los favicons asociados con los sitios web de la red oscura contra la Internet pública utilizando rastreadores web como Shodan.

En el caso de Nokoyawa , una nueva cepa de ransomware de Windows que apareció a principios de este año y comparte similitudes sustanciales de código con Karma, se descubrió que el sitio alojado en el servicio oculto TOR albergaba una falla transversal de directorio que permitía a los investigadores acceder a " /var /log/auth.log " archivo utilizado para capturar los inicios de sesión de los usuarios.

Los hallazgos demuestran que los sitios de filtración de los actores criminales no solo son accesibles para cualquier usuario en Internet, sino que otros componentes de la infraestructura, incluida la identificación de datos del servidor, quedaron expuestos, lo que hizo posible obtener las ubicaciones de inicio de sesión utilizadas para administrar los servidores de ransomware.

ransomware

Un análisis más detallado de los inicios de sesión exitosos de los usuarios raíz mostró que se originaron en dos direcciones IP 5.230.29[.]12 y 176.119.0[.]195, la primera de las cuales pertenece a GHOSTnet GmbH, un proveedor de alojamiento que ofrece Virtual Private Server ( VPS) servicios.

"176.119.0[.]195, sin embargo, pertenece a AS58271, que figura bajo el nombre Tyatkova Oksana Valerievna", señaló Eubanks. "Es posible que el operador se olvidó de usar el VPS con sede en Alemania para la ofuscación y se conectó a una sesión con este servidor web directamente desde su ubicación real en 176.119.0[.]195".

 

LockBit agrega un programa de recompensas por errores a su operación RaaS renovada

El desarrollo se produce cuando los operadores del emergente ransomware Black Basta ampliaron su arsenal de ataques mediante el uso de QakBot para el acceso inicial y el movimiento lateral, y aprovechando la vulnerabilidad PrintNightmare ( CVE-2021-34527 ) para realizar operaciones de archivos privilegiados.

Además, la banda de ransomware LockBit anunció la semana pasada el lanzamiento de LockBit 3.0 con el mensaje "¡Haga que el ransomware vuelva a ser grandioso!", Además de lanzar su propio programa Bug Bounty, que ofrece recompensas que oscilan entre $ 1,000 y $ 1 millón por identificar fallas de seguridad y " ideas brillantes" para mejorar su software.

bug

"El lanzamiento de LockBit 3.0 con la introducción de un programa de recompensas por errores es una invitación formal a los ciberdelincuentes para ayudar al grupo en su búsqueda por permanecer en la cima", dijo Satnam Narang, ingeniero senior de investigación de Tenable, en un comunicado compartido. con las noticias del hacker.

"Un enfoque clave del programa de recompensas por errores son las medidas defensivas: evitar que los investigadores de seguridad y las fuerzas del orden encuentren errores en sus sitios de fugas o ransomware, identificar formas en que los miembros, incluido el jefe del programa de afiliados, podrían ser engañados, así como encontrar errores en los mensajes. software utilizado por el grupo para las comunicaciones internas y la propia red Tor".

"La amenaza de ser engañado o identificado indica que los esfuerzos de aplicación de la ley son claramente una gran preocupación para grupos como LockBit. Finalmente, el grupo planea ofrecer Zcash como una opción de pago, lo cual es significativo, ya que Zcash es más difícil de rastrear que Bitcoin, lo que dificulta que los investigadores controlen la actividad del grupo".

 

Fuente: Thehackernews.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies