REvil Gang promete un gran éxito para los videojuegos;  Grandes reclamos de ingresos - Calendae | Informática, Electrónica, CMS, Ciberseguridad

REvil Gang promete un gran éxito para los videojuegos; Grandes reclamos de ingresos

Hola, un placer verte por aquí. Yo soy Eduardo Arroyo y en esta ocasión vamos a hablar sobre REvil Gang promete un gran éxito para los videojuegos; Grandes reclamos de ingresos

REvil Gang promete un gran éxito para los videojuegos; Grandes reclamos de ingresos

En una amplia entrevista, un líder de REvil dijo que la pandilla gana $ 100 millones al año y brindó información sobre la vida de un ciberdelincuente.

La banda de ransomware REvil afirma que recaudará $ 100 millones para fin de año. Esto es según un líder del grupo REvil en una rara sesión de preguntas y respuestas con el canal de YouTube para el blog de tecnología «Russian OSINT». Durante la entrevista Online, el hacker REvil advirtió sobre un «gran ataque que se avecina … vinculado a un desarrollador de juegos muy grande».

Las alardes y las amenazas vienen a raíz de los principales rivales de REvil, la banda Maze, que anuncian el cierre de la tienda (ver más abajo).

La entrevista (traducción rusa proporcionada a Threatpost por Flashpoint) fue de gran alcance y toca las operaciones del grupo, el dinero que gana, los detalles sobre sus ataques de alto perfil y el hecho de que los miembros son perseguidos activamente por gobiernos de todo el mundo.

Las preguntas y respuestas primero ofreció detalles sobre las operaciones del grupo. Por ejemplo, el entrevistado señaló un inminente cambio de estrategia.

Si bien REvil ya usa la estrategia de doble extorsión (en la que los archivos de la empresa no solo se cifran sino que también se roban, con una amenaza de escape que agrega presión para pagar el rescate), el líder sugirió que el futuro está en perseguir eso. estrategia.

«Al final, todo se reduce a un movimiento hacia la pérdida de archivos y no el bloqueo», dijo. “Personalmente me gustó mucho La idea de SunCrypt. DoS [denial of service] el sitio web de la empresa y su infraestructura, combinado con el bloqueo de archivos y la amenaza de publicarlos …[it] les pone mucha presión …[We’re] pensando en utilizar un modelo similar «.

También confirmó que REvil usa el modelo de ransomware-as-a-service, en el que los «afiliados» que llevan a cabo los ataques reciben entre el 70 y el 80 por ciento de sus «ingresos» de los rescates. Los propios afiliados están estrictamente examinados (al igual que la banda NetWalker) y son responsables de la infección inicial de la red, eliminando las copias de seguridad y descargando archivos. Mientras tanto, los miembros de REvil se encargan de la negociación del rescate, el desarrollo y las actualizaciones del software, la recepción del pago y la entrega del descifrador.

Cuando se trata de socios, «tenemos nuestra familia cerrada, la selección es muy rigurosa y ni nos molestamos en hablar con [amateurs]», Dijo.» El apoyo solo ayuda cuando se trata de negociaciones. Tienen que dominar todas las partes técnicas del trabajo por sí mismos «.

Dicho esto, el grupo también realiza sus propios ataques, dijo, con una unidad dedicada a piratear empresas, aunque el modelo de ransomware-as-a-service (RaaS) es más rentable.

También dijo que el ransomware de Android o iOS no está en las tarjetas del grupo, debido al bajo valor de la información almacenada en los teléfonos. «Tienes que estar loco para involucrarte en esto», dijo. «Estoy 100% en contra».

Todo este diseño corporativo ha permitido a REvil reclamar algunos títulos bastante importantes. Por ejemplo, cuando se le preguntó cuáles fueron los golpes más grandes para REvil, citó con orgullo a Travelex, Grubman Shire Meiselas & Sacks y los 23 municipios de Texas que la pandilla atacó el verano pasado.

El entrevistado también se atribuyó el mérito de dos elementos asociados con REvil. Uno, que recogió datos sobre el presidente Donald Trump y que REvil estaba detrás del Banco Estado de Chile. cerrando todas sus ramas.

En el caso de Trump, los archivos fueron supuestamente revocado como parte del truco de Grubman. «Simplemente deseamos a la NSA, el FBI y los servicios secretos de Estados Unidos» buena suerte «con el descifrado de los archivos», dijo. “No le pedimos dinero a Trump [directly]… El dinero para el [stolen] los datos han sido pagados. Sin embargo, no puedo decirte quién lo compró. Los datos tenían que ver con el régimen de elusión fiscal afiliado a Trump «.

En cuanto al Banco Estado, el vector inicial fue el correo electrónico a los empleados del banco, dijo: «Sí, realmente pasó, lo hicimos», dijo. “A menudo, las empresas no revelan el origen del ataque porque temen dañar su reputación [affecting] su posición patrimonial. «

Agregó que alrededor de un tercio de todas las empresas negocian silenciosamente para pagar el rescate y que los proveedores de TI, las compañías de seguros, los bufetes de abogados, la fabricación y el sector de la agroindustria son los objetivos más rentables.

Con respecto al inicio de sesión inicial, el entrevistado dijo que la recopilación y el uso de credenciales administrativas con malware, las conexiones del Protocolo de escritorio remoto de fuerza bruta y la explotación de errores son las mejores vías de ataque.

«Grubman y Travelex … ambos han sido pirateados a través de versiones antiguas de Pulsar y Citrix», dijo. «En realidad es bastante estúpido: teníamos acceso a [network] en minutos y todo debido a una vulnerabilidad que se puede solucionar rápidamente. «

Es probable que los ataques se intensifiquen, y de hecho, el ataque mencionado anteriormente a la compañía de videojuegos está en proceso, pero está oculto, dijo el operador de REvil. Pero las realidades geopolíticas se sumarán al impulso, según Ilia Kolochenko, fundadora y directora ejecutiva de la firma de seguridad web ImmuniWeb.

«La pandemia agrava gradualmente la situación, a medida que se reducen los presupuestos, las personas en ciberseguridad están agotadas, mientras que los empleados que trabajan desde casa son significativamente más vulnerables y susceptibles a un amplio espectro de ataques de phishing», dijo. afirmado por correo electrónico. “A menudo es suficiente piratear una máquina de un solo usuario para acceder a una red corporativa a través de VPN. Por lo tanto, los ciberdelincuentes ahora disfrutan de una ganancia inesperada de ganancias crecientes al cosechar sin esfuerzo bajas recompensas con impunidad. Peor aún, algunos profesionales de la seguridad cibernética tarde o temprano pueden reflexionar sobre todos los pros y contras y, dadas las oportunidades sin precedentes y los bajos riesgos, cambiarán fácilmente de su trabajo diario a generosas bandas cibernéticas «.

Evidentemente, toda esta actividad está al servicio de una cosa: el enriquecimiento personal.

El líder de REvil señaló que la vida como ciberdelincuente comenzó para él con los videojuegos.

“Érase una vez, cuando era niño, instalé CHLENIX [cheat config for Counter Strike] y me encantó «, explicó. Ese legado sigue vivo. El nombre del ransomware es la abreviatura de» Ransom Evil «, con la nomenclatura inspirada en el videojuego» Resident Evil «, según la entrevista (solo investigadores de seguridad lo llaman Sodinokibi, dijo).

CHLENIX ha llevado a cosas más nefastas y ahora lidera un grupo que afirma recaudar $ 100 millones al año. Esto es menos de lo que estaba haciendo el precursor de REvil, GandCrab. Ese grupo anunció un cierre en junio de 2019, después de afirmar que ganó $ 2 mil millones en un año y medio.

REvil pronto se desarrolló para ocupar su lugar, y aunque el entrevistado no confirmó específicamente la conexión con GandCrab, admitió que un proyecto anterior se cerró para dar paso a un «mejor producto».

Cuando se le preguntó cuándo sería el momento de alejarse de la «vida», respondió. “Personalmente, debería haberme detenido hace mucho tiempo. Tengo suficiente dinero para cientos de años, pero nunca hay demasiado dinero …[I hope to have] $ 1 mil millones, luego $ 2 mil millones y luego, si estoy de buen humor, $ 5 mil millones «.

«Los [$100 million] El número es solo una punta del iceberg de los ingresos por delitos cibernéticos «, dijo Kolochenko.» La proliferación concomitante de criptomonedas hace que estos delitos sean técnicamente inescrutables, mientras que la aplicación de la ley y los grupos de trabajo conjuntos ya están sobrecargados con ataques estatales – ataques selectivos nacionales y transnacionales destinados a robar la propiedad intelectual de las mayores empresas occidentales «.

La sabiduría convencional dice que los ciberataques prosperan en las sombras oscuras y el anonimato, pero los comentarios del líder de la pandilla sugieren que los miembros de REvil pueden no ser tan anónimos como les gustaría.

Cuando se les preguntó si los miembros del grupo podían viajar, por ejemplo, la respuesta fue un «no» sin clasificar. El entrevistado de habla rusa agregó que, contrariamente a la afirmación de Kolochenko de que ser un operador de ransomware es de «bajo riesgo», nadie involucrado en ransomware viajaría jamás a países occidentales o Estados Unidos por temor a ser asesinado.

«Creamos problemas graves y no hay justicia para nosotros, por lo que matarnos sería la única solución viable», dijo.

Dijo que el grupo cree que está siendo perseguido a diario por la inteligencia estadounidense, Europol y empresas de seguridad de la información, y que agentes de la CIA intentan activamente infiltrarse en las operaciones del grupo haciéndose pasar por un candidato afiliado.

«Pero en general, su tapadera se desmorona», señaló. Y en cuanto a los hack-backs, «no tienen ni idea de qué tipo de sistema operativo usamos en nuestros servidores o qué tipo de servidor web usamos … Solo esperan tener suerte. Nuestro producto … está configurado para defenderse. de ellos. «

Durante la entrevista, el líder de REvil también habló sobre su grupo criminal rival Maze, que al parecer está cerrando sus operaciones.

Según alguien que se identifica como operador de Maze dijo Bleeping Computer esta semana que el grupo detuvo sus actividades criptográficas en septiembre para concentrarse en lograr que las víctimas existentes paguen.

Poco después, los afiliados de Maze comenzaron a migrar a la banda de ransomware Egregor, informó el medio.

Maze fue pionero en la táctica de la doble extorsión, que surgió por primera vez en noviembre pasado. Desde entonces, ha hecho olas con grandes golpes como el de Cognizant. Y este verano, formó un «cártel» de delitos informáticos, uniendo fuerzas con varias variedades de ransomware (incluido Egregor) compartiendo código, ideas y recursos.

«Los criminales no solo tienen una epifanía y dejan de ser criminales de la noche a la mañana», dijo Lamar Bailey, director senior de investigación de seguridad de Tripwire, por correo electrónico. “Cierran un trato cuando el retorno de la inversión cae por debajo de los costos de ejecución del ‘programa’ o cuando están a punto de ser descubiertos. No es diferente. «

Añadió: «Están pasando a algo nuevo, tal vez Egregor, que salió milagrosamente al mismo tiempo que Maze comenzó a cerrar. Es como esa tienda de muebles en la ciudad que cierra cada pocos meses solo para reabrir con un nuevo nombre. pero con las mismas personas y productos «.

.

Recuerda compartir en una historia de tu Instagram para que tus amigos lo lean

??? ? ? ???

Comparte