Cibercrimen: ¿Ojo por ojo, diente por diente?






Imagen: Zdzisław Beksiński

por Víctor Ruiz, fundador de SILIKN e instructor certificado en ciberseguridad — CSCT™.

No hay datos exactos, pero alguien está lanzando ataques que interrumpen los sitios de filtración de datos, de las principales operaciones de ransomware, con ataques de denegación de servicio distribuido.

Nadie se ha atribuido aún el mérito de las continuas interrupciones y ralentizaciones. Uno de los grupos de ransomware como servicio más conocido, LockBit, es el que se ha visto más afectado.

Pero LockBit no es la única operación que ha sufrido daños. En las últimas semanas, el sitio de filtraciones de BlackCat, parece haber sido interrumpido, al igual que BianLian, Everest, Hive, Lorenz, LV, Quantum, Ragnar Locker, Snatch, Yanluowang y Vice Society.

Ser interrumpido por ataques denegación de servicio distribuido es malo para las ganancias de los delincuentes, obviamente, pero también para sus marcas. ¿Qué significa si la infraestructura de estos delincuentes puede verse abrumada por el tráfico basura de Internet, contratado como servicio a terceros?

No está claro si estas interrupciones podrían ser obra de las fuerzas del orden o de las agencias de inteligencia. Una hipótesis es que también pueda tratarse de grupos cibercriminales rivales.

Desafortunadamente para cualquiera que esté harto del ransomware, este esfuerzo concertado para interrumpir los sitios de filtración de datos no parece estar cerrando las operaciones de los atacantes, pues sus paneles de administración, sus sistemas para recibir criptomonedas y los repositorios desde donde los afiliados pueden contratar y descargar el ransomware, están intactos.

Y este parece ser el caso con todos los grupos a los que se han dirigido los ataques de denegación de servicio distribuido: la actividad solo afecta los sitios de filtración de datos y no la capacidad de realizar operaciones de ransomware.

Y además, los grupos cibercriminales afectados parecen estar tratando de adelantarse al problema, por ejemplo, los delincuentes de Quantum han estado adoptando un enfoque de redirigir el tráfico de regreso al sistema que hizo la solicitud, pero de una manera que aún deja su sitio sin poder atender el tráfico.

No obstante, grupos como LockBit, están empleando técnicas más sofisticadas como levantar sitios espejo, así como generar URLs únicas para que cada víctima pueda realizar negociaciones.

Un punto adicional es que, hasta ahora, los sitios de fugas basados en Tor de varios grupos cibercriminales permanecieron inaccesibles, incluido el administrado por LockBit. Pero aunque podrían tratar de convertir esto en una oportunidad, claramente, para algunos grupos de ransomware, esto ha sido un dolor de cabeza.

Para más información, visita: https://www.silikn.com/