Escrito originalmente por Brian Krebs.
Los delincuentes detrás de un programa de afiliados que pagó a los ciberdelincuentes por instalar la destructiva y exitosa cepa de ransomware GandCrab anunciada el 31 de mayo de 2019, terminaron el programa luego de que supuestamente obtuvieron más de $ 2 mil millones en pagos de extorsión de las víctimas. Lo que sigue es una inmersión profunda en quién puede ser responsable de reclutar nuevos miembros para ayudar a difundir el contagio.
Como la mayoría de las cepas de ransomware, el ransomware-as-a-service de GandCrab ofrece archivos retenidos como rehenes de sistemas infectados hasta que las víctimas accedan a pagar la suma exigida. Pero GandCrab eclipsó por mucho el éxito de los programas de afiliados ransomware de la competencia, en gran parte porque sus autores trabajaron asiduamente para actualizar el malware de modo que pudiera evadir el antivirus y otras defensas de seguridad.
En el lapso de 15 meses de la empresa afiliada a GandCrab a partir de enero de 2018, sus curadores enviaron cinco revisiones principales al código, cada una correspondiente a nuevas características y soluciones de errores dirigidas a frustrar los esfuerzos de las empresas de seguridad informática para frenar la expansión de la malware
«En un año, las personas que trabajaron con nosotros han ganado más de US $ 2 mil millones«, leyó la publicación de despedida de la identidad del mismo nombre de GandCrab en el foro de ciberdelincuencia Exploit[.]in, Donde el grupo reclutó a muchos de sus distribuidores. “Nuestro nombre se convirtió en un término genérico para ransomware en el inframundo. El ingreso semanal promedio del proyecto fue igual a US $ 2.5 millones ”.
El mensaje continuó:
“Nosotros mismos hemos ganado más de US $ 150 millones en un año. Este dinero se ha retirado e invertido con éxito en varios proyectos legales, tanto en línea como fuera de línea. Ha sido un placer trabajar con ustedes. Pero, como dijimos, todo termina. Estamos recibiendo una jubilación bien merecida. Somos una prueba viviente de que puedes hacer el mal y salir impune. Hemos demostrado que uno puede hacer una vida de dinero en un año. Hemos demostrado que puedes convertirte en el número uno por admisión general, no por tu propia cuenta».
Evidentemente, cuando se considera el daño infligido a tantas personas y empresas golpeadas por GandCrab, es fácilmente el malware más rapaz y depredador de 2018 y hasta 2019.
El perfil de GandCrab en Exploit[.]in publicó actualizaciones periódicas sobre el recuento de víctimas y los pagos de rescate. Por ejemplo, a fines de julio de 2018, GandCrab declaró que una sola filial del servicio de alquiler de ransomware había infectado a 27,031 víctimas solo en el mes anterior, recibiendo aproximadamente $ 125,000 en comisiones.
El mes siguiente, GandCrab se jactó de que el programa en julio de 2018 generó casi 425,000 víctimas y extorsionó más de un millón de dólares en criptomonedas, muchas de las cuales fueron para afiliados que ayudaron a diseminar las infecciones.
La firma de seguridad rusa Kaspersky Lab estimó que para cuando el programa dejó de funcionar, GandCrab representaba hasta la mitad del mercado global de ransomware.
Oneiilk2
No está claro cuántos individuos estaban activos en el equipo de desarrollo de malware de GandCrab. Pero KrebsOnSecurity localizó varias pistas que apuntan a la identidad en la vida real de un hombre ruso que parece haber sido puesto a cargo de reclutar nuevos afiliados para el programa.
En noviembre de 2018, un afiliado de GandCrab publicó una captura de pantalla en el foro de Exploit[.]in de un mensaje privado entre él y un miembro del foro conocido como «oneiilk2» y «oneillk2» que mostró que este último estaba a cargo de reclutar nuevos miembros para el programa de ganancias ransomware.
Oneiilk2 también fue un exitoso afiliado de GandCrab por derecho propio. En mayo de 2018, se lo pudo ver en múltiples hilos de Exploit[.]in que pedían ayuda urgente para obtener acceso a negocios pirateados en Corea del Sur. Estas solicitudes se prolongan durante varias semanas ese mes, con Oneiilk2 que dice que está dispuesto a pagar el mejor precio por los recursos solicitados. Al mismo tiempo, Oneiilk2 se puede ver en Exploit y pide ayuda para descubrir cómo crear un cebo de malware convincente utilizando el alfabeto coreano.
Más adelante en el mes, Oneiilk2 dice que ya no necesita ayuda con esa solicitud. Apenas unas semanas después, las empresas de seguridad comenzaron a advertir que los atacantes estaban organizando una campaña de spam para atacar a las empresas de Corea del Sur con la versión 4.3 de GandCrab.
Hottabych
Cuando Oneiilk2 se registró en Exploit[.]in en enero de 2015, usó la dirección de correo electrónico hottabych_k2@mail.ru. Esa dirección de correo electrónico y su apodo se utilizaron desde 2009 para registrar múltiples identidades en más de media docena de foros de delitos informáticos.
En 2010, la dirección hottabych_k2 se usó para registrar el nombre de dominio dedserver [.] Ru, un sitio que comercializaba servidores web dedicados a personas involucradas en varios proyectos de ciberdelito. Ese registro de registro de dominio incluyó el número de teléfono ruso + 7-951-7805896, que según la función de recuperación de contraseña de mail.ru es, de hecho, el número de teléfono utilizado para registrar la cuenta de correo electrónico hottabych_k2.
Al menos cuatro publicaciones realizadas en 2010 en el servicio de revisión de hosting makeserver.ru anuncian Dedserver e incluyen imágenes con marca de agua con el apodo «oneillk2».
Dedserver también promovió en gran medida un servicio de red privada virtual (VPN) llamado vpn-service [.] Para ayudar a los usuarios a ofuscar sus verdaderas ubicaciones en línea. No está claro cuán estrechamente conectados estaban estos negocios, aunque una copia en caché de la página de inicio de Dedserver en Archive.org desde 2010 sugiere que los propietarios del sitio lo consideraron como propio.
Vpn-service [.] Us fue registrado en la dirección de correo electrónico sec-service@mail.ru por una persona que usó el apodo (y, a veces, la contraseña) – «Metall2» – en múltiples foros de ciberdelincuencia.
Casi al mismo tiempo que el programa de afiliados de GandCrab estaba en marcha, Oneiilk2 se había convertido en uno de los miembros más confiables de Exploit y en varios otros foros. Esto fue evidente al medir el total de «puntos de reputación» que se le asignaron, que son comentarios positivos o negativos otorgados por otros miembros con los que el miembro ha realizado transacciones anteriormente.
A finales de 2018, Oneiilk2 fue uno de los 20 miembros con mejor calificación entre los miles de ciudadanos en el foro de Exploit, gracias en gran parte a su asociación con la empresa GandCrab.
La búsqueda en la dirección de correo electrónico de registro de Oneiilk2 hottabych_k2@mail.ru a través de sitios que rastrean bases de datos pirateadas o filtradas arrojó algunos resultados curiosos. Esos registros muestran que este individuo reutilizó la misma contraseña en varias cuentas: 16061991.
Por ejemplo, la dirección de correo electrónico y la contraseña aparecen en las bases de datos de contraseñas pirateadas para una cuenta «oneillk2» en zismo [.] Biz, un foro en ruso dedicado a las noticias sobre varios programas de afiliados para ganar dinero en línea.
En un post realizado en Zismo en 2017, Oneiilk2 afirma que vive en un pequeño pueblo con una población de alrededor de 400,000, y que se dedica a la fabricación de muebles.
¿Mr. Prokopenko?
La investigación adicional reveló que la dirección hottabych_k2@mail.ru también se había utilizado para registrar al menos dos cuentas en el sitio de redes sociales Vkontakte, el equivalente en ruso de Facebook.
Una de esas cuentas fue registrada por un «Igor Kashkov» de Magnitogorsk, Rusia, una ciudad industrial rica en metales en el sur de Rusia de alrededor de 410,000 residentes que alberga las mayores obras de hierro y acero del país.
La cuenta de Kashkov usó la contraseña «hottabychk2», el número de teléfono 890808981338, y en un momento dado proporcionó la dirección de correo electrónico alternativa «prokopenko_k2@bk.ru». Sin embargo, esto parece haber sido simplemente una cuenta abandonada, o al menos solo hay un par de actualizaciones dispersas al perfil.
La cuenta Vkontakte más interesante vinculada a la dirección hottabych_k2@mail.ru pertenece a un perfil con el nombre «Igor Prokopenko», quien dice que también vive en Magnitogorsk. El perfil de Igor Prokopenko dice que ha estudiado y está interesado en varios tipos de metalurgia.
También hay una cuenta de voz sobre IP de Skype vinculada a un «Igor» de Magnitogorsk cuyo cumpleaños figura en la lista el 16 de junio de 1991. Además, existe una cuenta de Youtube bastante activa que se remonta a 2015 – youtube.com/user/Oneillk2 – Eso pertenece a un Igor Prokopenko de Magnitogorsk.
Esa cuenta de Youtube incluye en su mayoría videos cortos del Sr. Prokopenko que pesca pescado en un río local y diagnostica problemas con su Lada Kalina, una línea de automóviles de fabricación rusa que es bastante común en toda Rusia. Una cuenta creada en enero de 2018 con el apodo de Oneillk2 en un foro para entusiastas de Lada dice que su dueño tiene 28 años y vive en Magnitogorsk.
Las fuentes con la capacidad de verificar los registros de ciudadanía rusa identificaron a Igor Vladimirovich Prokopenko de Magnitogorsk que nació el 16 de junio de 1991. Recuerde que «16061991» fue la contraseña utilizada por innumerables cuentas en línea vinculadas a hottabych_k2@mail.ru y Oneiilk2 / Identidades de Oneillk2.
Para completar todas las investigaciones anteriores, la página de restablecimiento de contraseña de Vkontakte muestra que el perfil de Igor Prokopenko está vinculado al número de teléfono móvil + 7-951-7805896, que es el mismo que se usa para configurar la cuenta de correo electrónico hottabych_k2 @ mail. ru hace casi 10 años.
El Sr. Prokopenko no respondió a múltiples solicitudes de comentarios.
Es completamente posible que quien sea responsable de operar el programa de afiliados de GandCrab haya desarrollado una campaña de desinformación elaborada, de un año de duración, para llevar a futuros investigadores potenciales a una parte inocente.
Al mismo tiempo, no es raro que muchos malhechores rusos hagan poco para ocultar sus verdaderas identidades, al menos al principio de sus carreras, tal vez en parte porque perciben que hay pocas probabilidades de que alguien se moleste en conectar los puntos más adelante, o porque tal vez no temen el arresto y / o la persecución mientras residen en Rusia. Cualquier persona que tenga dudas sobre esta dinámica haría bien en consultar la serie Breadcrumbs en este blog, que utilizó métodos similares a los descritos anteriormente para desenmascarar a docenas de otros proveedores importantes de malware.
Cabe señalar que el programa de afiliación de GandCrab tomó medidas para evitar la instalación de su ransomware en computadoras que residen en Rusia o en cualquiera de los países que anteriormente formaban parte de la Unión Soviética, conocida como la Comunidad de Estados Independientes e incluso Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Turkmenistán, Ucrania y Uzbekistán. Esta es una precaución típica que toman los ciberdelincuentes que ejecutan operaciones de malware en uno de esos países, ya que tratan de evitar crear problemas en sus propios patios que puedan atraer la atención de las autoridades locales.
KrebsOnSecurity agradece a domaintools.com, así como a las firmas de inteligencia cibernética Intel471, Hold Security y 4IQ por su ayuda en la investigación de esta publicación.
Esta es una transcripción de un post originalmente publicado en: http://bit.ly/2Xy83e6
leer más