L’Oficina Federal d’Investigacions (FBI) dels Estats Units va anunciar dilluns la interrupció de la infraestructura en línia associada a un grup de programari de segrest emergent anomenat Radar/Dispossessor.

L’esforç va suposar el desmantellament de tres servidors nord-americans, tres servidors del Regne Unit, 18 servidors alemanys, vuit dominis delictius amb seu als Estats Units i un domini delictiu amb seu a Alemanya. Es diu que el grup Dispossessor és dirigit per individus que s’anomenen amb el sobrenom en línia “Brain”.

L’FBI va dir en un comunicat «Des dels seus inicis l’agost de 2023, Radar/Dispossessor s’ha convertit ràpidament en un grup de programari de segrest d’impacte internacional, orientat i atacant d’empreses i organitzacions petites i mitjanes dels sectors de producció, desenvolupament, educació, salut, serveis financers i transport».

Han estat identificades fins a 43 empreses com a víctimes d’atacs del Dispossessor, incloses les ubicades a l’Argentina, Austràlia, Bèlgica, el Brasil, el Canadà, Croàcia, Alemanya, Hondures, l’Índia, Perú, Polònia, els EAU, el Regne Unit i els Estats Units.

Dispossessor, que destaca per les seves similituds amb LockBit, va aparèixer com un grup de programari de segrest com a servei (RaaS) que seguia el mateix model d’extorsió dual iniciat per altres bandes de delictes electrònics. Aquests atacs funcionen mitjançant l’exfiltració de les dades de les víctimes per demanar-ne un rescat, a més de xifrar els seus sistemes. Els usuaris que es neguen a fer el pagament es veuen amenaçats amb l’exposició de les dades.

S’ha observat que les cadenes d’atac muntades pels actors de l’amenaça aprofiten sistemes amb defectes de seguretat o contrasenyes febles com a punt d’entrada per atacar objectius i obtenir un accés elevat per bloquejar les seves dades darrere de les barreres de xifratge.

L’FBI també va explicar que «Una vegada que l’empresa era atacada, si no es posaven en contacte amb l’actor delinqüent, el grup es posava en contacte de manera proactiva amb altres persones de l’empresa víctima, sigui per correu electrònic o per trucada telefònica.»

«Els correus electrònics també incloïen enllaços a plataformes de vídeo a les quals s’havien presentat els fitxers robats anteriorment. Sempre amb l’objectiu d’augmentar la pressió del xantatge i augmentar la disposició a pagar.»

Segons DataBreaches.Net, Radar i Dispossessor són dos grups que comparteixen les mateixes eines, mètodes, accessos privats entre ells i es reparteixen els beneficis. També hi ha membres del grup de Dispossessors que es creu que eren antics afiliats de LockBit, i  que es van separar d’aquest grup per iniciar les seves pròpies operacions.

Informes previs de l’empresa de ciberseguretat SentinelOne han revelat que el grup Dispossessor ha anunciat que té dades ja filtrades per a la seva descàrrega i venda, i ha afegit que «sembla que estan tornant a publicar dades associades anteriorment a altres operacions amb exemples que van des de Cl0p, Hunters International i 8Base.»

La freqüència d’aquests desmantellaments és un altre indici que les forces de seguretat de tot el món estan intensificant els esforços per combatre l’amenaça persistent del programari de segrest, malgrat que els actors de l’amenaça troben maneres d’innovar i prosperar en un entorn que està canviant constantment.

Això inclou un augment dels atacs comesos a través de contractistes i proveïdors de serveis, que ens mostra com transformen els actors de l’amenaça les relacions de confiança per cometre els atacs per al seu benefici, atès que «aquest enfocament facilita els atacs a gran escala amb menys esforç, sovint no es detecten fins que es descobreixen filtracions de dades o dades xifrades.»

Les dades recollides per la Unitat 42 de Palo Alto Networks dels llocs de fuites mostren que els sectors més afectats pel programari de segrest durant el primer semestre del 2024 han estat la producció (16,4 %), la sanitat (9,6 %) i la construcció (9,4 %).

Alguns dels països més atacats durant aquest període van ser els Estats Units, el Canadà, el Regne Unit, Alemanya, Itàlia, França, Espanya, el Brasil, Austràlia i Bèlgica.

«Les vulnerabilitats revelades recentment van impulsar principalment l’activitat de programari de segrest atès que els atacants es van moure per aprofitar ràpidament aquestes oportunitats», va dir l’empresa. «Els actors de l’amenaça apunten regularment a les vulnerabilitats per accedir a les xarxes de les víctimes, elevar els privilegis i moure’s lateralment per entorns infringits.»

Una tendència notable és l’aparició de grups de programari de segrest nous (o renovats), que van representar 21 del total de 68 grups únics que van publicar intents d’extorsió, i l’augment de l’orientació a organitzacions més petites, segons Rapid7.

«Això podria ser per moltes raons, entre les quals, i no la menys important, és que aquestes organitzacions més petites tenen moltes de les mateixes dades que busquen els actors d’amenaces, però sovint tenen precaucions de seguretat menys madures»,  va afirmar Rapid7.

Un altre aspecte important és la professionalització dels models de negoci RaaS. Els grups de programari de segrest no només són més sofisticats, sinó que també augmenten cada cop més les seves operacions amb imatges que imiten empreses corporatives legítimes.

«Tenen els seus propis mercats, venen els seus propis productes i, en alguns casos, tenen assistència les 24 hores del dia», va assenyalar Rapid7. «També sembla que estan creant un ecosistema de col·laboració i consolidació en els tipus de programari de segrest que despleguen».

(La història es va actualitzar després de la publicació per aclarir que Radar i Dispossessor són dos grups de programari de segrest relacionats.)