«No es un ataque que ha venido del Estado español, viene de fuera de
España». Así han explicado los responsables del Hospital Clínic de Barcelona
lo ocurrido con el ransomware que
paralizó parte de la actividad del hospital
el pasado domingo. Por ahora, se desconoce cuándo podrán volver a la
normalidad, aunque ya se ha apuntado a quién está detrás de este ciberataque,
un grupo conocido como RansomHouse, que lleva actuando desde finales de
2021.
En la operación de cibercrimen denominada RansomHouse, los actores de amenazas publican evidencia de archivos robados y
filtran datos de organizaciones que se niegan a pagar un rescate. Esta
nueva operación afirma no usar ningún ransomware y, en cambio, se enfoca
en violar las redes a través de supuestas vulnerabilidades para robar los
datos de un objetivo.
Sin embargo, no se hacen responsables de sus actos. En cambio, culpan a las
empresas por no asegurar adecuadamente su red y por las recompensas
«ridículamente pequeñas» que se ofrecen por la divulgación de
vulnerabilidades.
«Creemos que los culpables no son los que encontraron la vulnerabilidad o
ejecutaron el hackeo, sino los que no cuidaron debidamente la seguridad. Los
culpables son los que no pusieron candado a la puerta dejándola abierta de
par en par invitando a todos a entrar», escriben los actores de amenazas de RansomHouse en su página «acerca de
nosotros».
«La gente es intrínsecamente curiosa y está ansiosa por conocer el objeto
de su interés. Por lo general, las corporaciones responden al mensaje de que
sus «puertas están abiertas de par en par» en un contexto negativo, amenazas
directas o silencio. En casos raros, uno puede encontrar gratitud y pagos
ridículamente pequeños. que no cubren ni el 5% de los esfuerzos de un
entusiasta».
Orientación de sus datos
Se cree que RansomHouse se lanzó en diciembre de 2021 con su primera víctima,
supuestamente la
Autoridad de Juegos y Licores de Saskatchewan (SLGA),
que ahora figura en el sitio de extorsión.
Desde el lanzamiento del sitio este mes, los actores de amenazas han agregado
otras tres víctimas, siendo la más reciente un proveedor de servicios de
soporte de una aerolínea alemana, atacado la semana pasada.
Curiosamente, RansomHouse enumera las URL de las publicaciones en los medios
para las víctimas que aún son extorsionadas activamente, destacando la
publicidad de sus ataques y usándolos como un método de extorsión adicional.
Si las víctimas no pagan un rescate a los delincuentes informáticos, sus
datos se venden a otros actores de amenazas. Si nadie está interesado en
comprarlo, el conjunto de datos robado se publica en el sitio de Tor.
La extraña historia de origen del grupo
RansomHouse tiene una historia de origen algo extraña, con la organización
mencionada por primera vez dentro de las
notas de rescate de White Rabbit, pero los actores sostuvieron que solo colaboraron con la pandilla de
ransomware y que nunca utilizaron ransomware ellos mismos.
En un informe publicado hoy por Cyberint, los analistas encontraron
publicaciones de Telegram que
promocionaban RansomHouse en el canal de Telegram de la pandilla Lapsus$. Esto indica que los actores de amenazas están igualmente interesados en
vender datos a otros actores de amenazas, así como a la víctima.
Como tal, aunque los orígenes de RansomHouse se desconocen en este momento, el
grupo no ha surgido como una entidad completamente independiente, sino más
bien dentro de otros grupos de amenazas.
Cyberint afirma haber examinado exhaustivamente las comunicaciones de los
miembros principales de RansomHouse con otros actores de amenazas en los
canales de Telegram e informó haber visto una conducta profesional.
«Hablan cortésmente tanto en su blog como en varios canales de Telegram y
no se dejan llevar por discusiones irrelevantes. Además, dicen ser muy
liberales y pro-libertades. No quieren mezclar negocios y política y
anunciaron que nunca trabajarían con hacktivistas radicales o grupos de
espionaje»,
explica el informe de Cyberint.
Esto hace que los analistas de Cyberint crean que RansomHouse es un proyecto
lanzado equipos de
Red Team descontentos que están hartos de los pagos de recompensas bajos
y la mala planificación de la seguridad cibernética en general.
Cifrado
Cyberint afirma que RansomHouse solo roba los datos y maneja las negociaciones
o ventas a otros delincuentes. Además, la nueva operación dice que no realizan
el cifrado mediante una variedad de ransomware, por lo que la extorsión se
basa únicamente en la amenaza de exponer los archivos robados.
Esto explicaría por qué el grupo afirmó anteriormente que es una plataforma
para varias pandillas de ransomware, incluido White Rabbit, que en realidad se
involucra en el cifrado.
Sin embargo, curiosamente, la palabra «encriptado» está presente en el sitio
de RansomHouse Onion, lo que indica que las organizaciones víctimas han
cifrado sus datos, por lo que esa parte es discutible.
.png)
Por ahora, esta nueva operación es pequeña y cuenta solo con cuatro víctimas
que Bleeping Computer aún está en proceso de verificación.
Es dudoso que RansomHouse se convierta en un peligro a gran escala en el corto
plazo, pero el lanzamiento de cualquier portal de extorsión debería ser una
preocupación para todos los administradores de redes y seguridad.
Fuente:
BC
Los comentarios están cerrados.