En el verano de 2023, cinco colectivos de hackers - ThreatSec, GhostSec, Stormous, Blackforums y SiegedSec - se fusionaron en "Las cinco familias". El apodo puede derivar de las mafias italoamericanas de Nueva York de los 50 y 60, o de la alianza de inteligencia "Cinco Ojos". Este pacto cambió el panorama de la ciberseguridad, combinando fuerzas para expandir su influencia.
La unión de estos grupos posibilita una colaboración fluida, compartiendo conocimientos, recursos y habilidades, convirtiéndolos en una entidad formidable en el ciberespacio. Las Cinco Familias apuntan a marcar el futuro digital y orientar las dinámicas de Internet adelante.
Un caso que refleja esta dinámica es la implicación de miembros de las Cinco Familias en el enfrentamiento cibernético proisraelí-pro-palestino, que llevó a un incremento en los recursos y efectivos de hacktivistas. El lanzamiento del ransomware GhostLocker, desarrollado por GhostSec de tendencia pro-palestina, promete ser un punto de inflexión en la confrontación digital. La revelación de que Stormous Ransomware, perteneciente al grupo hacker de las Cinco Familias, planea integrar GhostLocker en sus tácticas, evidencia cómo estos colectivos se benefician e influencian recíprocamente.
Te podría interesar leer: Detección de Ataques de Ransomware con Wazuh
El 28 de agosto marcó una jornada significativa en el ciberespacio clandestino, con la unificación de tres notorios grupos de hackers, una célula de ransomware y un foro de ciberdelincuentes en un frente unificado, autodenominado "Las Cinco Familias". Esta alianza se forjó con la visión de establecer una sinergia robusta y ampliar las conexiones dentro de las profundidades ocultas de la red.
Dentro de la estructura de esta coalición, se ha establecido un régimen de liderazgo cohesivo y complejo, diseñado para mantener a cada participante en un nivel de igualdad y responsabilidad compartida. La dirección del colectivo recae en los cabecillas de cada uno de los cinco grupos, quienes, presumiblemente, comparten la carga de la toma de decisiones y las operaciones cruciales de la alianza.
Podría interesarte leer: Descubriendo los canales en Telegram de la Dark Web
Apenas un día tras su formación, el Colectivo llevó a cabo su primer asalto cibernético de gran envergadura, infiltrándose y comprometiendo la página web oficial de la presidencia cubana. En esta primera ofensiva, declararon haber expuesto públicamente una cantidad considerable de información gubernamental y haber eliminado ciertos datos de los sistemas estatales.
La ofensiva continuó en terreno brasileño, donde se lanzó un ataque contra una empresa conocida como Alfa Comercial. La entidad atacante reivindicó la exfiltración de 230 GB de datos corporativos, presentando a la empresa un identificador de sesión único, presumiblemente para facilitar negociaciones de rescate. Además, hicieron pública una dirección de correo electrónico para que interesados pudieran solicitar los datos sustraídos, en caso de que la compañía afectada decidiera no cooperar. Como prueba de su hazaña, distribuyeron muestras de los datos robados a través de un archivo Torrent en su canal de comunicación.
La tercera maniobra del colectivo apuntó hacia una firma de hardware informático con sede en Taiwán, divulgando, según alegan, datos sensibles tanto de clientes como de empleados y la empresa en sí, por medio de los canales de Telegram.
Tras un periodo de inactividad de aproximadamente un mes, "Las Cinco Familias" resurgieron con un cuarto ataque a finales de septiembre de 2023. Este atentado estaba dirigido a la administración del distrito de Ortambo. En esta ocasión, se compartió una identificación de sesión junto con una dirección de Bitcoin (BTC), aunque hasta ese momento, no se habían registrado transacciones en la cartera asociada.
Finalmente, el 15 de octubre, la entidad hizo circular 85 GB de datos de Unisoc, una empresa china especializada en semiconductores, nuevamente a través de un archivo Torrent en Telegram. Afirmaron que la información liberada constituía solo una fracción de la totalidad y, mediante el uso de un identificador de sesión, buscaron extorsionar a la empresa para el rescate de la totalidad de los datos comprometidos.
Podría interesarte leer: Semana del Ransomware Octubre 2023
En una entrevista con Cybertecwiz, ThreatSec, guiado por su fundador apodado Wiz, se describe como un grupo que defiende los derechos y la libertad de los oprimidos. Wiz articuló su misión diciendo: "Nuestra presencia es por la libertad y los derechos de todos, buscando un mundo donde todos puedan vivir". Su enfoque está en los gobiernos corruptos, y subrayan que el beneficio monetario no es su objetivo principal.
ThreatSec se destaca por seleccionar sus objetivos basándose en cómo pueden beneficiar a las poblaciones locales, y no simplemente por ganancia financiera. Wiz indicó que aspiran a ser un modelo a seguir en la libertad y el automejoramiento.
El grupo emplea técnicas como Cross-Site Scripting (XSS), XML External Entity (XXE), e inyección SQL (SQLi), y no descartan usar ransomware y técnicas de ingeniería social. Se consideran neutrales en el conflicto entre Israel y Hamas.
Podría interesarte leer: Misterios de la Dark Web: Curiosidades y Secretos
Conocido por su asociación previa con Anonymous, GhostSec se identifica como un colectivo de hackers que lucha contra el contenido y las actividades extremistas en línea. Se hicieron conocidos en 2015 y se centran en combatir el terrorismo en línea y el extremismo violento.
La misión de GhostSec es obstruir las operaciones en línea de grupos terroristas, aunque también han expresado apoyo a Palestina en su conflicto con Israel. Utilizan tácticas como DDoS, desfiguración y filtración de datos, y no han rechazado el desarrollo y la venta de ransomware como GhostLocker.
"YourAnonWolf" lidera SiegedSec, un colectivo hacktivista que emergió poco antes de la invasión rusa de Ucrania. Conocidos por su humor y lenguaje irreverente, este grupo se conecta con otros colectivos como GhostSec y su rango de edad suele ser de 18 a 26 años.
Aparecieron por primera vez en un canal de Telegram el 3 de abril de 2022, donde también comparten contenido de naturaleza humorística y sexual. La cuenta de Twitter de SiegedSec ha sido suspendida frecuentemente, llevando su actividad principalmente a Telegram. La dirección del grupo ha fluctuado, con "vio" (YourAnonWolf) a veces dejando el liderazgo.
Podría interesarte leer: SiegedSec: Un Vistazo al Perfil de Actores de Amenazas Cibernéticas
Stormous Ransomware intenta capitalizar las tensiones entre Rusia y Ucrania, alineándose con agendas como la del grupo Conti. Aunque no está claro si sus motivaciones son políticas o financieras, la impresión general es que buscan notoriedad más que ganancias.
Se especializan en "operaciones de recuperación", apuntando a empresas previamente comprometidas por otros actores. Su reciente actividad incluye actualizar su sitio de filtraciones de datos y colaborar con GhostSec, enfocándose en objetivos cubanos.
Es un foro de hackers y mercado de datos, que se ha convertido en un epicentro para el intercambio de información confidencial y malware. Aunque opera abiertamente en la web, BlackForums mantiene un perfil bajo y promueve la venta y colaboración en ataques cibernéticos.
Ganaron prominencia tras un ataque a BreachForums, donde compartieron datos robados en su plataforma.
Te podrá interesar leer: Detección de Acceso RDP a la Venta en Foros de la Dark Web
En resumen, la formación de las "Cinco Familias" en el mundo del hacking no solo simboliza un cambio en la dinámica del cibercrimen, sino que también sirve como un llamado a la acción para las organizaciones. Reforzar las defensas cibernéticas y adoptar un enfoque proactivo y colaborativo es más crucial que nunca.