Un grupo de piratería usó el código fuente del ransomware filtrado de Conti para crear su propio ransomware para usarlo en ataques cibernéticos contra organizaciones rusas.
Si bien es común escuchar ataques de ransomware dirigidos a empresas y encriptar datos, rara vez escuchamos que las organizaciones rusas sean atacadas de manera similar.
Esta falta de ataques se debe a la creencia general de los piratas informáticos rusos de que si no atacan los intereses rusos, las fuerzas del orden del país harían la vista gorda ante los ataques a otros países.
Sin embargo, las cosas ahora han cambiado, con un grupo de piratería conocido como NB65 que ahora se dirige a organizaciones rusas con ataques de ransomware.
El ransomware apunta a Rusia
Durante el último mes, un grupo de piratas informáticos conocido como NB65 ha estado violando entidades rusas, robando sus datos y filtrándolos en línea, advirtiendo que los ataques se deben a la invasión de Ucrania por parte de Rusia.
Las entidades rusas que afirman haber sido atacadas por el grupo de piratería incluyen al operador de gestión de documentos Tensor , la agencia espacial rusa Roscosmos y VGTRK, la emisora estatal de radio y televisión rusa.
El ataque a VGTRK fue particularmente significativo ya que condujo al presunto robo de 786,2 GB de datos, incluidos 900 000 correos electrónicos y 4000 archivos, que se publicaron en el sitio web DDoS Secrets.
Más recientemente, los piratas informáticos NB65 recurrieron a una nueva táctica: atacar organizaciones rusas con ataques de ransomware desde finales de marzo.
Lo que hace que esto sea más interesante es que el grupo de piratas informáticos creó su ransomware utilizando el código fuente filtrado para la operación Conti Ransomware, que son actores de amenazas rusos que prohíben a sus miembros atacar entidades en Rusia.
El código fuente de Conti se filtró después de que se pusieran del lado de Rusia en el ataque a Ucrania , y un investigador de seguridad filtró 170.000 mensajes de chat internos y el código fuente de su operación.
BleepingComputer se enteró por primera vez de los ataques de NB65 por el analista de amenazas Tom Malka , pero no pudimos encontrar una muestra de ransomware y el grupo de piratería no estaba dispuesto a compartirla.
Sin embargo, esto cambió ayer cuando se cargó en VirusTotal una muestra del ejecutable del ransomware Conti modificado de NB65 , lo que nos permitió ver cómo funciona.
Casi todos los proveedores de antivirus detectan esta muestra en VirusTotal como Conti, e Intezer Analyze también determinó que utiliza el 66 % del mismo código que las muestras habituales de ransomware Conti.
BleepingComputer probó el ransomware de NB65 y, al cifrar archivos, agregará la extensión .NB65 a los nombres de los archivos cifrados.
El ransomware también creará notas de rescate llamadas R3ADM3.txt en todo el dispositivo encriptado, y los actores de la amenaza culparán del ataque cibernético al presidente Vladimir Putin por invadir Ucrania.
“Estamos observando muy de cerca. Su presidente no debería haber cometido crímenes de guerra. Si está buscando a alguien a quien culpar por su situación actual, no busque más allá de Vladimir Putin”, dice la nota del ransomware NB65 que se muestra a continuación.
Un representante del grupo de piratería NB65 le dijo a BleepingComputer que basaron su encriptador en la primera filtración del código fuente de Conti, pero lo modificaron para cada víctima para que los desencriptadores existentes no funcionaran.
“Se modificó de tal manera que todas las versiones del descifrador de Conti no funcionarán. Cada implementación genera una clave aleatoria basada en un par de variables que cambiamos para cada objetivo”, dijo NB65 a BleepingComputer.
“Realmente no hay forma de descifrar sin ponerse en contacto con nosotros”.
En este momento, NB65 no ha recibido ninguna comunicación de sus víctimas y nos dijo que no esperaban ninguna.
En cuanto a las razones de NB65 para atacar a las organizaciones rusas, dejaremos que hablen por sí mismas.
“Después de Bucha, elegimos apuntar a ciertas empresas, que pueden ser de propiedad civil, pero aún tendrían un impacto en la capacidad de Rusia para operar normalmente. El apoyo popular ruso a los crímenes de guerra de Putin es abrumador. Desde el principio lo dejamos claro. Nosotros “Estamos apoyando a Ucrania. Cumpliremos nuestra palabra. Cuando Rusia cese todas las hostilidades en Ucrania y termine esta guerra ridícula, NB65 dejará de atacar los activos y las empresas rusas en Internet”.
Hasta entonces, que se jodan.
No atacaremos ningún objetivo fuera de Rusia. Grupos como Conti y Sandworm, junto con otras APT rusas, han estado atacando Occidente durante años con ransomware, golpes en la cadena de suministro (Solarwinds o contratistas de defensa)… Pensamos que era hora de que se ocuparan de eso ellos mismos”
NB65 declaró además el lunes que nunca se dirigirán a organizaciones fuera de Rusia, y que los pagos de rescate se donarán a Ucrania.
Actualización 4/11/22: Se agregó una actualización sobre cómo se usarían los rescates
Fuente: Traducido de: bleepingcomputer.com