El fisco recientemente filtrado de registros de chat internos entre los miembros de la operación de ransomware desventurado Puntada ha revelado posibles conexiones entre la pandilla de delitos electrónicos y las autoridades rusas.
La filtración, que contiene más de 200,000 mensajes desde septiembre de 2023 hasta septiembre de 2024, fue publicada por un sucesor de Telegram @exploitwhispers el mes pasado.
Según un examen de los mensajes de la compañía de ciberseguridad Trellix, el supuesto líder de Black Puntada, Oleg Nefedov (incluso conocido como GG o AA), puede tener recibido ayuda de funcionarios rusos a posteriori de su arresto en Ereván, Armenia, en junio de 2024, permitiéndole escapar tres días a posteriori.
En los mensajes, GG afirmó que contactó a los funcionarios de detención rango para ocurrir por un “corredor verde” y solucionar la linaje.
“Este conocimiento de las filtraciones de chat dificulta que la pandilla Black Puntada abandone por completo la forma en que operan y comienzan un nuevo RAAS desde cero sin relato a sus actividades anteriores”, dijeron los investigadores de Trellix Jambul Tologonov y John Fokker.
Entre otros hallazgos notables incluyen –
- El rama probablemente tiene dos oficinas en Moscú
- El rama utiliza OpenAI Chatgpt para componer saber formales fraudulentas en inglés, parafraseando texto, reescribir malware basado en C#en Python, código de depuración y compilar datos de víctimas
- Algunos miembros del rama se superponen con otras operaciones de ransomware como Rhysida y Cactus
- El desarrollador de Pikabot es un ciudadano ucraniano que realiza el Mecor de seudónimo en lista (incluso conocido como N3auxaxl) y que le tomó a Black Puntada al año desarrollar el cargador de malware a posteriori de la interrupción de Qakbot
- El rama alquiló Darkgate de Rastafareye y usó Lumma Stealer para robar credenciales y soltar malware adicional
- El rama desarrolló un entorno de comando y control posterior a la explotación (C2) llamado Breaker para establecer la persistencia, eludir la detección y nutrir el golpe a través de los sistemas de red
- GG trabajó con Mecor en nuevo ransomware que se deriva del código fuente de Conti, lo que lleva a la interpretación de un prototipo escrito en C, lo que indica un posible esfuerzo de cambio de marca
El incremento se produce cuando Eclecticiq reveló el trabajo de Black Puntada en un entorno de forzamiento bruto denominado que está diseñado para realizar un escaneo automatizado en Internet y un relleno de credenciales contra dispositivos de red Edge, incluidas las soluciones de firewalls y VPN ampliamente utilizados en redes corporativas.
Hay evidencia que sugiere que la tripulación del delito cibernético ha estado utilizando la plataforma basada en PHP desde 2023 para realizar ataques a gran escalera de credenciales y fuerza bruta en dispositivos objetivo, lo que permite a los actores de amenaza obtener visibilidad en las redes de víctimas.
“El entorno de brutos permite a los afiliados de Black Puntada automatizar y avanzar estos ataques, expandiendo su rama de víctimas y acelerando la monetización para impulsar las operaciones de ransomware”, dijo la investigadora de seguridad Arda Büyükkaya.
“Las comunicaciones internas revelan que Black Puntada ha invertido en gran medida en el entorno de bruido, lo que permite escaneos rápidos de Internet para electrodomésticos de red de borde y relleno de credenciales a gran escalera para dirigirse a contraseñas débiles”.
