[14/08/2024] El 12 de agosto, el FBI de Cleveland anunció la interrupción de "Radar/Dispossessor", el grupo criminal de ransomware liderado por el apodo en línea "Brain", y el desmantelamiento de tres servidores estadounidenses, tres servidores del Reino Unido, 18 servidores alemanes, ocho dominios criminales con sede en EE. UU. y un dominio criminal con sede en Alemania.
Según lo señalado en el comunicado de prensa, desde su creación en agosto del 2023, Radar/Dispossessor se ha convertido rápidamente en un grupo de ransomware de impacto internacional, que se dirige y ataca a pequeñas y medianas empresas y organizaciones de los sectores de producción, desarrollo, educación, sanidad, servicios financieros y transporte. Originalmente enfocada en entidades de Estados Unidos, la investigación descubrió 43 empresas como víctimas de los ataques, de países como Argentina, Australia, Bélgica, Brasil, Honduras, India, Canadá, Croacia, Perú, Polonia, Reino Unido, Emiratos Árabes Unidos y Alemania. Durante su investigación, el FBI identificó una multitud de sitios web asociados con Brain y su equipo.
El ransomware es un tipo de software malicioso, o malware, que encripta los datos de una computadora dejándola inutilizable. Un ciberdelincuente malintencionado mantiene los datos como rehenes hasta que se pague el rescate. Si no se paga el rescate, los datos de la víctima no están disponibles. Los ciberdelincuentes también pueden presionar a las víctimas para que paguen el rescate amenazando con destruir los datos de la víctima o con hacerlos públicos.
La organización señaló que Radar/Dispossessor identificó sistemas informáticos vulnerables, contraseñas débiles y falta de autenticación de dos factores para aislar y atacar a las empresas víctimas. "Una vez que los delincuentes obtuvieron acceso a los sistemas, obtuvieron derechos de administrador y obtuvieron acceso fácilmente a los archivos. A continuación, el ransomware real se utilizó para el cifrado. Como resultado, las empresas ya no podían acceder a sus propios datos. Una vez que la empresa era atacada, si no se ponían en contacto con el actor criminal, el grupo se ponía en contacto de forma proactiva con otros miembros de la empresa víctima, ya sea por correo electrónico o por teléfono. Los correos electrónicos también incluían enlaces a plataformas de vídeo en las que se habían presentado los archivos robados anteriormente. Esto siempre con el objetivo de aumentar la presión del chantaje y aumentar la disposición a pagar”.
Finalmente, añaden, los atacantes anunciaron el compromiso en una página de filtración separada y se estableció una cuenta regresiva hasta la publicación de los datos de la víctima si no se pagaba un rescate.
Dado que el ransomware puede tener muchas variantes, como este caso, aún no se ha determinado el número total de empresas y organizaciones afectadas.
La investigación y la eliminación conjunta se llevaron a cabo en conjunto con la Agencia Nacional contra el Crimen del Reino Unido, la Oficina del Fiscal Público de Bamberg, la Oficina de Policía Criminal del Estado de Baviera (BLKA) y la Oficina del Fiscal de los Estados Unidos para el Distrito Norte de Ohio.
Franca Cavassa, CTOPerú