¿Cómo descubrimos el punto de acceso a la ciberdelincuencia ucraniana?

Nuestros investigadores querían echar un vistazo más de cerca el ransomware GandCrab. Entonces se encontraron con toda una red ciberdelincuencia, operando desde Ucrania.

Los investigadores de G DATA encontraron toda una red de delitos informáticos en Ucrania
Los investigadores de G DATA encontraron toda una red de delitos informáticos en Ucrania

Mientras que el análisis de una nueva versión de la GandCrab ransomware, los investigadores de seguridad G Data descubrieron toda una red de actividades delictivas que son operados desde un rango de direcciones IP continua de Ucrania. Las direcciones IP, registradas presumiblemente con direcciones falsas, muestran indicaciones de criptojacking ilegal, sitios de phishing y portales de citas.


Ransomware se vende o se alquila a los criminales en foros subterráneos. Esta es probablemente también el caso de v5 GandCrab. Sin embargo, la persona detrás de la dirección IP obviamente no quiere depender de una sola actividad criminal para generar ingresos.

Análisis de la bandeja ciberdelincuencia Hawker

El programa de instalación para el malware se comunica continuamente con la dirección IP 92.63.197.48. Varios datos se recuperan desde el rango de direcciones IP y las instrucciones se envían al software malicioso. Sin embargo, un análisis de los vecinos en direcciones IP muestra que, además de la ransomware, numerosos otros servicios se realizan aquí, todos los cuales están registradas bajo el nombre de “Petimetre Horban Vitalii Anatoliyovich”. Entre ellos se encuentran numerosos dominios de citas inactivos, pero también ofertas fraudulentas como Frim0ney.info.


También se ha configurado un clon del intercambio de Bitcoin wex.nz bajo el dominio wex.ac. El sitio tiene como objetivo capturar credenciales de inicio de sesión y otros documentos mediante phishing. En el foro Bitcointalk, un usuario informa de que se le pidió que introducir numerosos datos personales en un formulario web en el sitio, incluyendo copias de su documento de identidad. La razón dada para la nueva entrada de datos personales fue una reubicación supuestamente necesario de la plataforma para un nuevo dominio. Sin embargo, los proveedores de buena reputación nunca pedir a los usuarios que volver a introducir los datos personales de esta manera.


Además, se puede recuperar un archivo JSON de la dirección IP, lo que indica que el propietario también realiza criptojacking en numerosas computadoras, es decir, minería ilegal y encubierta de criptomonedas como Bitcoin, Ethereum o Monero. Cryptojacking fue identificado por los de G DATA SecurityLabs en la primera mitad de 2018 como una de las más grandes y crecientes amenazas a los usuarios. No está claro si el instalador de GandCrab descarga malware de criptominería en algunos casos. Alternativamente, los mineros también pueden ejecutarse en el fondo de otros sitios web. El archivo que esté muestra hasta 4000 los sistemas infectados.

Estafa Ethereum

Otro de los servicios fraudulentos se encuentra en el rango de IP. La exageración sobre las criptomonedas desde 2017 ha llevado a los delincuentes a intentar estafar criptomonedas. Los usuarios se sugirió que se deben transferir unidades de monedas como Moneo, Bitcoin o Etereum a una cartera y obtener una cantidad mucho mayor de monedas cripto atrás como una recompensa. una estafa de este tipo puede encontrarse en la dirección IP 92.63.197.127. Los usuarios deben recibir una recompensa de 5-200 ETH para las transferencias entre 0,5 y 20 éteres (ETH).


Otras subpáginas en el rango de IP tienen más probabilidades de probar suerte en el clásico negocio de estafa. Por ejemplo, se generan numerosos vínculos de retroceso en los foros para mejorar la clasificación de Google de varias ofertas. Según nuestra investigación, utilizando la herramienta de análisis de tráfico Similarwerb, otros dominios en este entorno reciben una gran proporción de sus accesos principalmente a través de enlaces en correos electrónicos. Por tanto, es seguro asumir que sirven como páginas de destino para los mensajes de spam.               


El caso demuestra que los cibercriminales están cada vez más no sólo se especializa en una sola malware o enfoque, pero están construyendo una cartera de diferentes ataques y métodos fraudulentos. Con las tecnologías proactivas de próxima generación de G DATA , los usuarios también pueden protegerse contra tales amenazas.


Lea el análisis completo del cargador de GandCrab y el punto de acceso de cibercrimen ucraniano [PDF] aquí .

Comentarios

comments

Powered by Facebook Comments