Skip to main content

Actor de ransomware recibe un rescate récord de 75 millones | DKCERT

agosto 12, 2024


Una empresa Fortune 50 tiene un rescate récord de 75 millones de dólares por el grupo de ransomware Dark Angels.

Esto fue escrito por Bleeping Computer con referencia a un informe de Zscaler ThreatLabz.

El informe afirma que el propio ThreatLabz reveló el pago en cuestión, que es la cantidad más alta conocida públicamente pagada tras un incidente de ransomware. El pago récord es confirmado además por la firma de criptointeligencia Chainalysis, que tuiteó al respecto en X.

Esto supera por varios puntos el mayor pago de rescate conocido anterior. El récord anterior fue de 40 millones de dólares, que pagó el gigante de seguros CNA tras ser víctima de un ataque de ransomware por parte de Evil Corp.

No está claro qué empresa es, aparte de que está en la lista Fortune 50. Esto significa que se encuentra entre las 50 empresas más grandes de Estados Unidos. El ataque tuvo lugar a principios de 2024, lo que, según Bleeping Computer, apunta al gigante farmacéutico Cencora, que ocupa el puesto número 10 en la lista y fue afectado por un ciberataque en febrero de 2024. Dado que ningún grupo de ransomware se ha atribuido la responsabilidad del ataque, según Para el siempre tenaz periodista de Bleeping Computer, Lawrence Abrams, esto indica que se ha pagado un rescate. Por supuesto, Abrams ha preguntado a Cencora sobre el asunto, pero no ha recibido respuesta.

Persiguiendo al pez gordo

Dark Angels es un grupo de ransomware que se lanzó en mayo de 2022 y luego comenzó a apuntar a empresas de todo el mundo.

Del informe de Zscaler ThreatLabz, parece que los Dark Angels utilizan la estrategia Big Game Hunting. Esta estrategia implica que sólo se ataca a las grandes empresas, donde existe la probabilidad de un gran pago, en lugar de ataques contra muchas empresas más pequeñas, donde las ganancias, en igualdad de condiciones, son menores. La estrategia contrasta con las actividades de la mayoría de los otros grupos de ransomware, que apuntan a víctimas aleatorias y donde la mayor parte del ataque se subcontrata. Sin embargo, la caza mayor supuestamente se ha convertido en una tendencia dominante, escribe Bleeping Computer. La estrategia ha sido utilizada por varias bandas de ransomware en los últimos años.

Como la mayoría de las bandas de ransomware impulsadas por humanos, los operadores de Dark Angels violan las redes corporativas y se mueven lateralmente hasta que finalmente obtienen acceso administrativo. Durante este tiempo, también roban datos de los servidores comprometidos, que luego se utilizan como ventaja adicional al solicitar un rescate. Una vez que obtienen acceso al controlador de dominio de Windows, los actores de amenazas implementan el ransomware para cifrar todos los dispositivos de la red.

Dark Angels utilizó inicialmente cifrados de Windows y VMware ESXi basados ​​en el código fuente filtrado del ransomware Babuk. Pero con el tiempo cambiaron a un cifrado de Linux, el mismo que utiliza Ragnar Locker desde 2021. El cifrado de Linux era, entre otras cosas, utilizado en un ataque de Dark Angels a Johnson Controls para cifrar los servidores VMware ESXi de la empresa. En este ataque, Dark Angels afirmó haber robado 27 TB de datos corporativos y exigió un rescate de 51 millones de dólares.

¿Grupo político o no?

Dark Angels también opera un sitio de fuga de datos llamado «Dunghill Leaks» que se utiliza para chantajear a sus víctimas y amenaza con filtrar datos si no se paga el rescate.

Dark Angels escribe en su página de filtración que el grupo trabaja con «investigación en seguridad de la información». Según él mismo, el grupo no está interesado en la política y no trabaja con gobiernos o autoridades.

Campo de golf:

https://www.bleepingcomputer.com/news/security/dark-angels-ransomware-re…



Source link

Translate »