La hipocresía del doble lenguaje entre las bandas de ransomware

Sergio de los Santos    14 julio, 2022
Foto: Tyler Daviaux / Unsplash

La hipocresía, doble lenguaje e incluso suponemos que sarcasmo del que hacen gala en sus webs las bandas de ransomware no tiene límites. A modo de anécdota, vamos a mostrar algunas de las afirmaciones o términos de uso con los que las bandas de ransomware parecen incluso justificar sus servicios, como si no se tratase de una extorsión ilegal en toda regla.

Suponemos que la intención de los atacantes es similar a las mafias clásicas. Lejos de reconocer de puertas hacia afuera su actividad ilícita, la intención es revestir el ataque de alguna lógica (aunque perversa) en la que la víctima pasa a ser “cliente” de la banda de ransomware o incluso culpable de la propia extorsión por no preocuparse de sus datos o infraestructura.

Comentamos algunos ejemplos tras darnos un paseo por sus webs.

Babuk, con una doble moral

Atacan todo lo que pueden, y son muy activos y populares. Le tienen especial inquina a Elon Musk. Si llegaran a entrar en sus sistemas, lo publicarían sin negociar, según ellos. Pero tienen una línea roja: hospitales, ONGs, escuelas y pequeñas compañías con beneficios menores a 4 millones. Interesante distinción que no se da en muchas otras bandas.

Figura: Organizaciones a salvo de Babuk
Figura: Organizaciones a salvo de Babuk

Babuk dedica mucha literatura a “justificarse”.

Figura: La filosofía de Babuk
Figura: La filosofía de Babuk

Se autodenominan cyberpunks que van por ahí “comprobando la ciberseguridad”. Por supuesto, se autoproclaman, literalmente “software especializado no malicioso que muestra los problemas de ciberseguridad de una compañía”. Añaden que su “auditoría” no es lo peor que podría pasar, y que sería mucho peor si atacasen la infraestructura fanáticos terroristas que no solo quisieran dinero, como ellos.

Lorenz, nada personal

No hablan de su moral, atacan lo que pueden. En su blog mantienen un slot con las empresas atacadas que han pagado (y por tanto retirado sus datos), y otros tantos con los datos publicados por no haber pagado.

Figura: slots para futuras víctimas o que han pagado
Figura: slots para futuras víctimas o que han pagado

Pero recuerdan en su web que por supuesto, no es nada personal. Solo negocios.

LV, la culpa la tienes tú

Si LV ataca la compañía, cifra y roba los datos y termina mostrándolos en su web, la culpa es de la víctima. Por no haber cumplido con sus obligaciones y negarse a corregir sus fallos. Han preferido vender los datos de la propia compañía y de sus clientes. Así de cínico es el mensaje de esta banda que culpa a la víctima como si hubieran hecho algo erróneo.

Aquí cabe recordar que las bandas de ransomware no siempre aprovechan fallos de seguridad: utilizan todo tipo de técnicas como la extorsión a los propios trabajadores para conseguir los datos necesarios para el robo.

Figura: LV dice que la víctima es descuidada

LockBit, de los más profesionales

Son tan profesionales que hace poco anunciaron un Bug Bounty propio en el que podrían dar hasta un millón de dólares por encontrar fallos en su infraestructura. Son de lo más activos, muy buenos en su márquetin como campaña de afiliación para realizar el ransomware, con software de cifrado y exfiltración muy avanzado, rápido y muy serios en sus negocios. Eso es lo que dicen. En su página de preguntas frecuentes, podemos encontrar afirmaciones como estas.

Figura: Qué se puede atacar y qué no
Figura: Qué se puede atacar y qué no

Ni ellos ni sus afiliados pueden cifrar sistemas críticos como plantas nucleares, oleoductos, etc. Sí pueden robar información, pero no cifrarla. Si tienen dudas, pueden contactar con el “helpdesk” de la organización. Tampoco está permitido atacar a países post-soviéticos, aunque esto es habitual desde hace mucho en el malware.

Ellos sí permiten ONGs sin problemas, e instituciones educacionales siempre que no sean públicas. Recomiendan no atacar hospitales si pueden causar muertes. Y además animan a atacar a toda fuerza del orden que se pueda, porque según ellos, no aprecian la importante labor que realizan al concienciar sobre la ciberseguridad.

Si la víctima no paga, prometen almacenar los datos robados de las compañías disponibles en su blog todo el tiempo que sea posible, para que aprendan. Y para que no puedan echar abajo esta web mantienen un sistema muy robusto antiDDoS con decenas de espejos además del mencionado bug bounty para encontrar potenciales fallos en su sistema de cifrado que pudieran permitir acceder a los datos sin pagar.

Bl@cktor, la ransomware gang que dice no serlo

No es que sean una ransomware gang, es que les encanta ir mirando por ahí empresas vulnerables, entrar en sus sistemas, y pedir dinero por un rescate. Pero no causan daño alguno… a menos que no pagues, claro.

Figura: Bl@ckt0r, que ni cifra ni borra
Figura: Bl@ckt0r, que ni cifra ni borra

Y no mienten. Realmente no cifran nada, sino que filtran los datos directamente y los venden. Así no rompen la continuidad de negocio. Según ellos, una ganga por sus servicios al haber alertado sobre potenciales fallos de seguridad.

Parecen contar, además, con muchos recursos para que todo el mundo se entere de que los datos han sido robados. Por ejemplo, contactos en medios de comunicación. Eso sí, a los hospitales, no se les toca.

Foto principal: Tyler Daviaux / Unsplash.

* * *

Deja una respuesta

Tu dirección de correo electrónico no será publicada.