El grupo de ransomware 'Snatch' expone las direcciones IP de los visitantes

-


El sitio de avergonzamiento de víctimas operado por el grupo de ransomware Snatch está filtrando información sobre su verdadera ubicación en línea y operaciones internas, así como las direcciones de Internet de sus visitantes, según ha descubierto KrebsOnSecurity. Los datos filtrados sugieren que Snatch es uno de varios grupos de ransomware que utilizan anuncios pagados en Google.com para engañar a las personas y hacer que instalen malware disfrazado de software gratuito popular, como Microsoft Teams, Adobe Reader, Mozilla Thunderbird y Discord.

Descubierto por primera vez en 2018, el grupo de ransomware Snatch ha publicado datos robados de cientos de organizaciones que se negaron a pagar un rescate. Snatch publica sus datos robados en un sitio web en Internet abierto, y ese contenido se refleja en el sitio de la red oscura del equipo de Snatch, que solo es accesible a través de la red de anonimato global Tor.


KrebsOnSecurity ha descubierto que el sitio de la red oscura de Snatch expone la página de "estado del servidor", que incluye información sobre las verdaderas direcciones de Internet de los usuarios que acceden al sitio web.

Actualizar esta página cada pocos segundos muestra que el sitio de la red oscura de Snatch genera una cantidad decente de tráfico, atrayendo a menudo a miles de visitantes cada día. Pero de lejos, los visitantes repetidos más frecuentes provienen de direcciones de Internet en Rusia que actualmente alojan los nombres de dominio de la web clara de Snatch o lo hicieron recientemente.



El sitio de la red oscura de Snatch muestra que la dirección de Internet más activa que accede al sitio de la red oscura de Snatch es 193.108.114[.]41, que es un servidor en Yekaterimburgo, Rusia, que aloja varios dominios de Snatch, incluyendo snatchteam[.]top, sntech2ch[.]top, dwhyj2[.]top y sn76930193ch[.]top. Es posible que esta dirección de Internet aparezca con frecuencia porque el sitio web de Snatch en la web clara presenta un botón de alternancia en la parte superior que permite a los visitantes cambiar al acceso al sitio a través de Tor.

Otra dirección de Internet que apareció con frecuencia en la página de estado del servidor de Snatch fue 194.168.175[.]226, actualmente asignada a Matrix Telekom en Rusia. Según DomainTools.com, esta dirección también aloja o ha alojado recientemente el grupo habitual de dominios de Snatch, así como varios dominios de phishing de marcas conocidas como Amazon y Cashapp.

La dirección de Internet de Moscú 80.66.64[.]15 accedió al sitio de la red oscura de Snatch durante todo el día, y esa dirección también albergó los dominios apropiados de Snatch en la web clara. Más interesantemente, esa dirección es el hogar de múltiples dominios recientes que parecen ser confusamente similares a las empresas de software conocidas, incluyendo libreoff1ce[.]com y www-discord[.]com.

Esto es interesante porque los dominios de phishing asociados con el grupo de ransomware Snatch estaban todos registrados a nombre de la misma persona rusa, Mihail Kolesnikov, un nombre que es algo sinónimo de los dominios de phishing recientes relacionados con anuncios maliciosos de Google.

Kolesnikov podría ser un homenaje a un general ruso famoso durante el reinado de Boris Yeltsin. De cualquier manera, es claramente un seudónimo, pero hay algunas otras similitudes entre estos dominios que pueden proporcionar información sobre cómo Snatch y otros grupos de ransomware están encontrando a sus víctimas.

DomainTools dice que hay más de 1,300 nombres de dominio actuales y anteriores registrados a nombre de Mihail Kolesnikov entre 2013 y julio de 2023. Aproximadamente la mitad de los dominios parecen ser sitios web antiguos que anuncian servicios de acompañantes femeninas en las principales ciudades de Estados Unidos (por ejemplo, el ahora inactivo pittsburghcitygirls[.]com).

La otra mitad de los sitios web de Kolesnikov son dominios de phishing mucho más recientes que en su mayoría terminan en ".top" y ".app" y parecen estar diseñados para imitar los dominios de las principales empresas de software, incluyendo www-citrix[.]top, www-microsofteams[.]top, www-fortinet[.]top, ibreoffice[.]top, www-docker[.]top, www-basecamp[.]top, ccleaner-cdn[.]top, adobeusa[.]top y www.real-vnc[.]top.

En agosto de 2023, los investigadores de Trustwave Spiderlabs dijeron que se encontraron dominios registrados a nombre de Mihail Kolesnikov que se utilizaban para difundir el troyano de robo de información Rilide.

Parece que varios grupos delictivos pueden estar utilizando estos dominios para pescar a personas y difundir todo tipo de malware que roba información. En febrero de 2023, Spamhaus advirtió sobre un gran aumento en anuncios maliciosos que secuestraban los resultados de búsqueda en Google.com y se utilizaban para distribuir al menos cinco familias diferentes de troyanos que roban información, incluyendo AuroraStealer, IcedID/Bokbot, Meta Stealer, RedLine Stealer y Vidar.

Por ejemplo, Spamhaus dijo que las víctimas de estos anuncios maliciosos buscarían Microsoft Teams en Google.com, y el motor de búsqueda a menudo devolvería un anuncio pagado que suplantaba a Microsoft o Microsoft Teams como el primer resultado, por encima de todos los demás resultados. El anuncio malicioso incluiría un logotipo de Microsoft y, a primera vista, parecería un lugar seguro y de confianza para descargar el cliente de Microsoft Teams.

Sin embargo, cualquiera que hiciera clic en el resultado sería redirigido a mlcrosofteams-us[.]top, otro dominio malicioso registrado a nombre del Sr. Kolesnikov. Y aunque los visitantes de este sitio web pueden creer que solo están descargando el cliente de Microsoft Teams, el archivo del instalador incluye una copia del malware IcedID, que es muy eficiente en el robo de contraseñas y tokens de autenticación del navegador web de la víctima.



El fundador del sitio web suizo contra el abuso en línea, abuse.ch, dijo a Spamhaus que es probable que algunos ciberdelincuentes hayan comenzado a vender "publicidad maliciosa como servicio" en la web oscura y que hay una gran demanda de este servicio.

En otras palabras, parece que alguien ha construido un negocio muy rentable generando y promoviendo nuevos dominios de phishing temáticos de software y vendiéndolos como servicio a otros ciberdelincuentes. O quizás simplemente están vendiendo cualquier dato robado (y cualquier acceso corporativo) a afiliados activos y hambrientos de grupos de ransomware.

La pista sobre la página de "estado del servidor" expuesta en el sitio de la red oscura de Snatch provino de @htmalgae, el mismo investigador de seguridad que alertó a KrebsOnSecurity a principios de este mes que el sitio de avergonzamiento de víctimas de la red oscura dirigido por el grupo de ransomware 8Base quedó involuntariamente en modo de desarrollo.

Este descuido reveló no solo la verdadera dirección de Internet del sitio 8Base oculto (en Rusia, naturalmente), sino también la identidad de un programador en Moldavia que aparentemente ayudó a desarrollar el código de 8Base.

@htmalgae dijo que la idea de que un sitio de avergonzamiento de víctimas de un grupo de ransomware filtre datos que no tenían la intención de exponer es irónicamente deliciosa.

"Se trata de un grupo criminal que avergüenza a otros por no proteger los datos de los usuarios", dijo @htmalgae. "Y aquí están filtrando sus datos de usuario".

Todo el malware mencionado en esta historia está diseñado para funcionar en dispositivos con Microsoft Windows. Sin embargo, Malwarebytes recientemente informó sobre la aparición de un troyano de robo de información basado en Mac llamado AtomicStealer que se anunciaba a través de anuncios maliciosos de Google y dominios que eran confusamente similares a marcas de software.

Por favor, ten cuidado extra cuando busques en línea títulos de software populares. Las copias crackeadas y pirateadas de títulos de software importantes son una fuente frecuente de infecciones de robo de información, al igual que estos anuncios fraudulentos que se hacen pasar por resultados de búsqueda. Asegúrate de verificar dos veces que estás realmente en el dominio en el que crees que estás antes de descargar e instalar cualquier cosa.

Mantente atento para la Parte II de esta publicación, que incluye un vistazo más cercano al grupo de ransomware Snatch y su fundador.

Lecturas adicionales:





Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más