Wizard Spider

Wizard Spider, también conocido como Trickbot o Wizard Spider Cyber Cartel, es un grupo de ciberdelincuentes con base en Erbil y en los alrededores de Kurdistán y San Petersburgo en Rusia.[1][2][3][4] Algunos miembros pueden estar recidiendo en Ucrania.[4] Se estima que son alrededor de 80, algunos de ellos pueden no saber que estar adscritos a una organización criminal.[3][5]

El grupo ha sido rastreado por la Europol, Interpol, FBI y también de la Agencia Nacional del Crimen en el Reino Unido.[3]

Se sospecha que criminales clave están relacionados en ataques en línea utilizando el software Dyre. [3]

Historia

En 2018, los grupos comenzaron a usar los ransomware Trickbot, Ryuk y Conti como sus herramientas principales. [3]

También han desarrollado el software de espionaje Sidoh que solo recopila información y no la pide rescate. [4] [6]

Modus operandi

PRODAFT redactó un informe técnico sobre ellos que describía sus ataques y organización.[7]

Los ataques generalmente comienzan enviando grandes cantidades de spam a los objetivos para engañar a las víctimas para que descarguen malware.[7] Usan malware Qbot y SystemBC, además de escribir los suyos propios.[7] Un equipo separado identifica objetivos valiosos y usa Cobalt Strike para atacarlos.[7] Si obtienen el control del sistema, implementan ransomware.[7]

Han transferido simultáneamente Bitcoin de los ataques del ransomware Ryuk y Conti a sus propias billeteras, lo que implica que están llevando a cabo varios ataques con diferentes programas maliciosos. [4]

Son muy conscientes de su propia seguridad y no publican abiertamente en la darknet.[3] Solo trabajarán o venden acceso a delincuentes en los que confían.[3] Se sabe que menosprecian a sus víctimas a través de un sitio de fuga.[3] El sitio de fuga también se utiliza para publicar datos que han robado. [4] Las agencias de inteligencia dicen que el grupo no ataca objetivos en Rusia, ni las figuras clave viajan fuera del país por temor a ser arrestadas.[3][4] Su software está programado para desinstalarse solo si detecta que el sistema usa el idioma ruso o si el sistema tiene una dirección IP en la antigua Unión Soviética.[4]

Se sospecha que Rusia tolera a Wizard Spider e incluso los ayuda.[4]

Supuestos ataques

El Wizard Spider es sospechoso de llevar ataques al ataque cibernético Health Service Executive en la República de Irlanda.[8][3] Es el mayor ataque conocido contra un sistema informático de un servicio de salud.[4]

Complinces

Están relacionados y vinculados a UNC1878, TEMP.MixMaster, CordueneWarez y Grim Spider.[5] Según un informe de Jon DiMaggio titulado Ransom Mafia: Analysis of the world's first ransomware cartel, el grupo forma parte de una colección de delincuentes conocida como Ransom Cartel o Maze Cartel'.[4] Son los grupos más grandes activos en el cártel.[4][6]

Todos usan ransomware para extorsionar dinero.[4][6] (SunCrypt se retiró .[6]) Los autores del informe PRODAFT descubrieron que Wizard Spider a veces hacía copias de seguridad de los datos en un servidor y que el servidor contenía datos de sistemas que también habían sido atacados por REvil, aunque los autores no pudieron concluir cuál de los dos grupos había tomado los datos. .[9]

Referencias

«Kurdistan» |url= incorrecta con autorreferencia (ayuda), Wikipedia (en inglés), 4 de junio de 2022, consultado el 17 de junio de 2022.
«Iraq» |url= incorrecta con autorreferencia (ayuda), Wikipedia (en inglés), 17 de junio de 2022, consultado el 17 de junio de 2022.
Reynolds, Paul (18 de mayo de 2021). «'Wizard Spider': Who are they and how do they operate?». RTÉ News. Consultado el 18 de mayo de 2021.
Lally, Conor (18 de mayo de 2021). «Wizard Spider profile: Suspected gang behind HSE attack is part of world’s first cyber-cartel». Consultado el 19 de mayo de 2021.
«Mapping To Wizard Spider». MITRE Shield. Mitre Corporation. Archivado desde el original el 28 Jan 2021. Consultado el 18 de mayo de 2021.
DiMaggio, Jon. «Ransom Mafia - Analysis of the World's First Ransomware Cartel». Analyst1. Analyst1. Consultado el 19 de mayo de 2021.
Burt, Jeff (18 de mayo de 2022). «Meet Wizard Spider, the multimillion-dollar gang behind Conti, Ryuk malware». Consultado el 20 de mayo de 2022.
«Cyber experts hunt hidden hacking in all Government departments as Russian hackers target Health». Irish Independent. Consultado el 25 de junio de 2022.

Este artículo ha sido escrito por Wikipedia. El texto está disponible bajo la licencia Creative Commons - Atribución - CompartirIgual. Pueden aplicarse cláusulas adicionales a los archivos multimedia.

[1] «Kurdistan» |url= incorrecta con autorreferencia (ayuda), Wikipedia (en inglés), 4 de junio de 2022, consultado el 17 de junio de 2022.

[2] «Iraq» |url= incorrecta con autorreferencia (ayuda), Wikipedia (en inglés), 17 de junio de 2022, consultado el 17 de junio de 2022.

[rte-ransomware-crime-group-3] Reynolds, Paul (18 de mayo de 2021). «'Wizard Spider': Who are they and how do they operate?». RTÉ News. Consultado el 18 de mayo de 2021.

[it-wizard-spider-profile-4] Lally, Conor (18 de mayo de 2021). «Wizard Spider profile: Suspected gang behind HSE attack is part of world’s first cyber-cartel». Consultado el 19 de mayo de 2021.

[mitre-mapping-to-wizard-spider-5] «Mapping To Wizard Spider». MITRE Shield. Mitre Corporation. Archivado desde el original el 28 Jan 2021. Consultado el 18 de mayo de 2021.

[analyst1-ransom-mafia-analysis-of-the-worlds-first-ransomware-cartel-6] DiMaggio, Jon. «Ransom Mafia - Analysis of the World's First Ransomware Cartel». Analyst1. Analyst1. Consultado el 19 de mayo de 2021.

[tr-meet-wizard-spider-7] Burt, Jeff (18 de mayo de 2022). «Meet Wizard Spider, the multimillion-dollar gang behind Conti, Ryuk malware». Consultado el 20 de mayo de 2022.

[cyberhacking-8] «Cyber experts hunt hidden hacking in all Government departments as Russian hackers target Health». Irish Independent. Consultado el 25 de junio de 2022.