En el cambiante mundo de la ciberseguridad, mantenerse informado sobre las últimas amenazas es crucial. Recientemente, expertos en seguridad digital han descubierto una conexión entre el ransomware 3AM y las conocidas bandas de cibercrimen Conti y Royal. Este hallazgo no solo resalta la evolución y sofisticación de los ataques de ransomware, sino que también subraya la importancia de estrategias de seguridad robustas para proteger datos valiosos.
Expertos en seguridad que investigaron la actividad de la operación de ransomware 3AM, que emergió recientemente, descubrieron conexiones cercanas con grupos notorios como el sindicato Conti y la banda de ransomware Royal.
Además, 3AM, también conocido como ThreeAM, ha estado experimentando con una nueva estrategia de extorsión: difundir noticias sobre una filtración de datos entre los seguidores de la víctima en las redes sociales y utilizar bots para responder a cuentas de alto perfil en X (anteriormente Twitter) con mensajes que señalan posibles fugas de datos.
Conoce más sobre: 3AM Ransomware: Un Peligro Moderno con un Toque Vintage
La actividad de la banda de ransomware 3AM se hizo pública por primera vez en septiembre, cuando el equipo Threat Hunter de Symantec, ahora parte de Broadcom, informó que los actores de amenazas habían cambiado al ransomware ThreeAM después de no poder implementar el malware LockBit. Según investigadores de la empresa francesa de ciberseguridad Intrinsec, ThreeAM probablemente esté conectado con el grupo de ransomware Royal, que ahora se ha rebautizado como Blacksuit. Este grupo está formado por ex miembros del Equipo 2 dentro del sindicato Conti.
El vínculo entre el ransomware 3AM y el sindicato Conti se fortaleció a medida que Intrinsec avanzaba en su investigación de las tácticas del grupo, la infraestructura utilizada en los ataques y los canales de comunicación. En un informe compartido se reveló que el análisis del actor de amenazas mostró "una superposición significativa" en los canales de comunicación, la infraestructura y las tácticas, técnicas y procedimientos (TTP) entre 3AM y el sindicato Conti.
Utilizando una dirección IP que Symantec identificó como un indicador de red comprometida (185.202.0[.]111) en su informe sobre el ataque del actor de amenazas, los investigadores de Intrinsec descubrieron un script de PowerShell en VirusTotal que se había detectado desde 2020 y que se utilizaba para eliminar Cobalt Strike.
Además, se encontró un proxy SOCKS4 en el puerto TCP 8000, que normalmente se utiliza para la comunicación por túnel. Los investigadores señalaron que "la firma asociada con este servicio Socks4 se detectó en dos direcciones IP que mostraban dicho sello de proxy desde mediados de 2022".
Los analistas también identificaron un certificado TLS para un servicio RDP en una máquina llamada "DESKTOP-TCRDU4C", que estaba asociada con ataques de mediados de 2022, algunos de los cuales aprovechaban el cuentagotas de malware IcedID en campañas del ransomware Royal.
Anteriormente, IcedID se utilizaba para distribuir ransomware de grupos como XingLocker, que luego pasó a llamarse Quantum y Conti.
También se descubrió que el contenido HTML del sitio de fuga de datos de 3AM en la red Tor había sido indexado por la plataforma Shodan para servidores conectados a Internet, lo que significa que estaba disponible a través de la web clara. Shodan mostró una dirección IP asociada con un "producto nginx que podría usarse para enviar el tráfico de red a un servidor genuino", según el investigador.
Siguiendo la pista, Intrinsec notó que el mismo banner httpd de Apache en el servidor estaba presente en otros 27 servidores, todos alojados por una organización llamada "UAB Cherry Servers". Cherry Servers es una empresa de alojamiento lituana con un riesgo de fraude relativamente bajo, pero los servicios de inteligencia de amenazas han detectado que los clientes de la empresa alojan malware, como Cobalt Strike.
Un análisis más detallado reveló que seis de los 27 servidores compartían el mismo puerto, protocolo, producto Apache con la misma versión, sistema autónomo (AS16125), organización y el texto "llc" que indica una "sociedad de responsabilidad limitada". Además, los dominios en las direcciones IP analizadas tenían certificados TLS de Google Trust Services LLC y fueron transferidos a Cloudflare.
Intrinsec encontró la misma subred IP en un informe de la empresa de ciberseguridad y servicios gestionados Bridewell en abril pasado, que señaló que la operación de ransomware ALPHV/BlackCat alojaba su infraestructura backend exclusivamente en el ISP de UAB Cherry Servers, utilizaba direcciones IP en la misma subred y algunas de ellas se habían asociado con el malware IcedID que se había utilizado en los ataques de Conti.
Este hallazgo técnico coincide con la inteligencia de amenazas de RedSense, que indica que ALPHV es un grupo aliado que no forma parte del sindicato Conti, pero que podría ayudar a la pandilla de varias maneras en la ejecución de ataques.
Te podrá interesar leer: FBI Desmantela la Operación Ransomware BlackCat
En la búsqueda de más información sobre ThreeAM, el equipo de inteligencia de amenazas cibernéticas identificó que la pandilla había experimentado con una nueva estrategia de extorsión. Esta táctica implicaba el uso de respuestas automáticas en la plataforma X (anteriormente Twitter) para divulgar noticias sobre sus éxitos en los ataques.
El actor de amenazas creó una cuenta en X/Twitter el año pasado, el 10 de agosto, y la empleó para enviar "numerosas respuestas" mencionando a una de sus víctimas y redirigiendo a un sitio web que filtraba datos.
El ransomware 3AM respondía a los tweets de la víctima con enlaces a su sitio de filtración de datos en la red Tor. Estos tweets también se dirigían a varias cuentas, algunas con cientos de miles de seguidores, con el objetivo de amplificar la noticia del ataque y la filtración de datos, así como dañar la reputación comercial de la víctima, una empresa estadounidense que ofrece servicios de empaquetado automatizado.
Según los investigadores, ThreeAM utilizaba el mismo mensaje de manera automatizada para responder a múltiples tweets de seguidores de la víctima. Se sugiere que esta campaña de "nombre y vergüenza" posiblemente se llevó a cabo con la ayuda de un bot en X/Twitter.
Esta teoría se respalda por el incremento en el volumen y la frecuencia de las respuestas de ThreeAM, a veces llegando a 86 respuestas al día, lo cual está muy por encima del promedio de actividad de un usuario real, con alrededor de cuatro respuestas por minuto.
Es importante notar que esta táctica parece haber sido utilizada solamente con una víctima de 3AM, presumiblemente porque no produjo los resultados deseados por el actor de amenazas. Si se examina el sitio de filtración de datos de 3AM en la red Tor, se pueden ver 19 víctimas que no pagaron el rescate y cuyos datos fueron filtrados por el actor de amenazas. Curiosamente, el sitio de 3AM guarda similitudes con el utilizado por la operación del ransomware LockBit.
A pesar de que Intrinsec menciona que los conjuntos de intrusiones de ThreeAM parecen ser menos sofisticados en comparación con Royal, la pandilla no debe subestimarse y aún podría llevar a cabo una variedad de ataques.
Te podrá interesar leer: ¡Cuidado con las Imitaciones en Twitter! Cómo Detectar Cuentas Falsas
El Sindicato Conti, conocido por sus actividades de ransomware, se destacó como una de las operaciones más grandes y agresivas desde 2020 hasta su cierre en mayo de 2022, tras una violación de datos llamada Conti Leaks.
En el apogeo de sus ataques, los afiliados a esta operación lograron comprometer a más de 40 organizaciones en menos de un mes, y algunos ataques rápidos tomaron tan solo tres días desde el acceso inicial a los sistemas hasta el cifrado de datos.
El sindicato se subdividió en varias células, y aunque la marca de ransomware se disolvió, muchos de sus miembros y afiliados se unieron a otras operaciones, aportando experiencia en todas las fases de un ataque, desde la identificación de objetivos y el acceso inicial hasta las negociaciones, infraestructura, desarrollo y operación.
Una de las continuaciones notables es el ransomware Royal, considerado "el heredero directo de Conti" según Yelisey Bohuslavskiy, una investigadora de inteligencia sobre amenazas cibernéticas de RedSense, una operación que involucraba miembros que se conocían personalmente.
Aunque existe especulación sobre un posible líder del grupo Royal conocido como "Baddie", basada en una publicación en un foro de hackers, no se ha presentado evidencia pública sólida al respecto. Además, en el mundo del ransomware, que está en constante evolución, es común que actores de amenazas colaboren con múltiples operaciones de ransomware como servicio (RaaS), lo que dificulta la identificación y vinculación de miembros de una pandilla a una operación específica.
Conoce más sobre: Evolución del Cibercrimen: Unión de las 5 Familias Hacker
El vínculo entre el ransomware 3AM y las bandas Conti y Royal destaca la evolución constante de las amenazas de ciberseguridad. Las organizaciones deben estar alerta, adoptando estrategias de prevención y mitigación eficaces para protegerse contra estos ataques sofisticados. La seguridad en línea es un campo en constante cambio, y mantenerse informado y preparado es la clave para la defensa efectiva en este panorama digital en evolución.