La Oficina Federal de Investigaciones (FBI) de Estados Unidos anunció un significativo golpe contra la infraestructura en línea de un emergente grupo de ransomware conocido como Radar/Dispossessor. Este operativo marcó un avance en la lucha contra el cibercrimen al desmantelar una red global que abarcaba diversos países y sectores económicos.
En un esfuerzo coordinado, las autoridades estadounidenses lograron cerrar tres servidores ubicados en Estados Unidos, tres en el Reino Unido, 18 en Alemania, así como ocho dominios criminales con sede en EE. UU. y un dominio con sede en Alemania. Radar/Dispossessor es dirigido por individuos que se hacen llamar "Cerebro" en los círculos, un apodo que subraya la naturaleza sofisticada y calculadora de sus operaciones.
Desde su aparición en agosto de 2023, Radar/Dispossessor ha emergido rápidamente como un jugador importante en el ecosistema del ransomware, atacando a pequeñas y medianas empresas y organizaciones en diversos sectores, que incluyen producción, desarrollo, educación, atención médica, servicios financieros y transporte.
Este rápido ascenso se debe a sus métodos altamente efectivos y a su capacidad para adaptar sus tácticas a las medidas de seguridad que las víctimas intentan implementar.
Hasta el momento, se ha identificado a 43 empresas como víctimas directas de los ataques de Dispossessor, con ubicaciones que van desde Argentina y Australia hasta el Reino Unido y Estados Unidos. Esta amplia gama geográfica destaca la capacidad del grupo para ejecutar ataques a nivel internacional, afectando a una variedad de sectores críticos.
Dispossessor se asemeja a LockBit, otro grupo de ransomware infame, en su enfoque y estructura. Funciona bajo el modelo de ransomware como servicio (RaaS), que implica una estrategia de extorsión dual: cifrar los sistemas de las víctimas y exfiltrar datos sensibles para exigir un rescate. Si las víctimas no ceden a las demandas, los atacantes amenazan con la publicación pública de los datos robados, intensificando la presión para que paguen.
Los ataques típicos de Dispossessor explotan vulnerabilidades en los sistemas de las víctimas, tales como fallos de seguridad o contraseñas débiles, para obtener acceso elevado y cifrar los datos.
El FBI ha observado que, una vez comprometida una empresa, el grupo no espera a que la víctima se comunique; en cambio, contacta proactivamente a otros miembros de la empresa mediante correos electrónicos y llamadas telefónicas. Estos correos suelen contener enlaces a plataformas de video que muestran los archivos robados, aumentando así la presión sobre la víctima para que pague el rescate.
Según DataBreaches.Net, Radar y Dispossessor son grupos que comparten herramientas, métodos y accesos, distribuyendo las ganancias entre ellos. Se cree que los miembros de Dispossessor son antiguos afiliados de LockBit que se separaron para crear su propia operación criminal, lo que refleja la dinámica de evolución y fragmentación dentro del mundo del ransomware.
Un informe reciente de SentinelOne reveló que Dispossessor no solo lleva a cabo ataques, sino que también se dedica a la venta de datos robados. Este grupo ha sido observado publicando y revendiendo datos filtrados que anteriormente habían sido asociados con otros ataques, como los realizados por Cl0p, Hunters International y 8Base. Este patrón indica una tendencia preocupante en el cibercrimen, donde los datos robados se reciclan y reutilizan en múltiples operaciones.
El aumento en la frecuencia de estos desmantelamientos refleja una intensificación global en la lucha contra el ransomware.
Sin embargo, los actores de amenazas continúan innovando, adaptándose y prosperando en un entorno en constante cambio. Un aspecto preocupante es el incremento de ataques a través de contratistas y proveedores de servicios, un enfoque que explota las relaciones de confianza para facilitar ataques a gran escala con menos esfuerzo y, a menudo, con menos detección hasta que se revelan las fugas de datos o el cifrado de información.
Según datos recopilados por la Unidad 42 de Palo Alto Networks, los sectores más afectados por el ransomware durante el primer semestre de 2024 han sido la manufactura (16,4%), la atención médica (9,6%) y la construcción (9,4%). Esta información destaca la necesidad urgente de robustecer las medidas de seguridad y cooperación internacional para combatir la creciente amenaza del ransomware en todas sus formas.
Los servidores son esenciales para almacenar los datos que los atacantes han exfiltrado de las víctimas. Este almacenamiento permite a los grupos de ransomware conservar información sensible y utilizarla como palanca para exigir rescates. Los datos robados pueden incluir documentos empresariales, información financiera y datos personales.
Algunos servidores gestionan el proceso de cifrado de los sistemas de las víctimas y el desencriptado una vez que se paga el rescate. Los atacantes pueden utilizar estos servidores para almacenar y ejecutar el software de cifrado y desencriptado que bloquea o desbloquea los datos en las máquinas comprometidas.
Los servidores permiten a los grupos de ransomware coordinar sus actividades. Esto incluye la distribución de herramientas de ataque, la gestión de campañas de phishing y la organización de la infraestructura de ataque. Los servidores actúan como centros de mando desde los cuales se pueden ejecutar y controlar diversas acciones maliciosas.
A través de los servidores, los grupos de ransomware pueden comunicarse con sus víctimas. Esto incluye el envío de notas de rescate, instrucciones para pagar el rescate y amenazas para publicar datos si no se cumple con las demandas. Estos servidores facilitan la comunicación y el intercambio de mensajes entre los atacantes y sus objetivos.
Los servidores sirven como puntos de distribución para las herramientas y recursos necesarios para llevar a cabo los ataques. Esto puede incluir el software de ransomware, scripts para explotación de vulnerabilidades y listas de objetivos. La centralización de estos recursos en servidores facilita el despliegue y la operación de campañas de ransomware a gran escala.
El cierre de servidores utilizados por grupos de ransomware interrumpe significativamente sus operaciones. Los atacantes pierden el acceso a los datos robados y a las herramientas necesarias para llevar a cabo nuevos ataques o continuar con los existentes.
.png)
