RansomHouse establece un mercado de extorsión

Otra operación de cibercrimen de extorsión de datos apareció en la red oscura llamada ‘RansomHouse’, donde los actores de amenazas publican evidencia de archivos robados y filtran datos de organizaciones que se niegan a pagar un rescate. La nueva operación afirma no usar ningún ransomware y, en cambio, se enfoca en violar las redes a través de supuestas vulnerabilidades para robar los datos de un objetivo.

 

Sin embargo, no se hacen responsables de sus acciones. En cambio, culpan a las empresas por no asegurar adecuadamente su red y por las recompensas de recompensas por errores “ridículamente pequeñas” que se ofrecen por la divulgación de vulnerabilidades. “Creemos que los culpables no son los que encontraron la vulnerabilidad o ejecutaron el hackeo, sino los que no cuidaron debidamente la seguridad. Los culpables son los que no pusieron candado a la puerta dejándola abierta de par en par invitando a todos in”, escriben los actores de amenazas de RansomHouse en su página “acerca de nosotros”.

 

“La gente es intrínsecamente curiosa y está ansiosa por conocer el objeto de su interés. Por lo general, las corporaciones responden al mensaje de que sus “puertas están abiertas de par en par” en un contexto negativo, amenazas directas o silencio. En casos raros, uno puede encontrar gratitud y pagos ridículamente pequeños. que no cubren ni el 5% de los esfuerzos de un entusiasta”.

 

Orientación de sus datos

Se cree que RansomHouse se lanzó en diciembre de 2021 con su primera víctima, supuestamente la  Autoridad de Juegos y Licores de Saskatchewan (SLGA), que ahora figura en el sitio de extorsión.

 

Desde el lanzamiento del sitio este mes, los actores de amenazas han agregado otras tres víctimas, siendo la más reciente un proveedor de servicios de soporte de una aerolínea alemana, atacado la semana pasada.

 

Curiosamente, RansomHouse enumera las URL de las publicaciones en los medios para las víctimas que aún son extorsionadas activamente, destacando la publicidad de sus ataques y usándolos como un método de extorsión adicional.

 

Si las víctimas no pagan un rescate a los piratas informáticos, sus datos se venden a otros actores de amenazas. Si nadie está interesado en comprarlo, el conjunto de datos robado se publica en el sitio de Tor.

 

Una extraña historia de origen

RansomHouse tiene una historia de origen algo extraña, con la organización mencionada por primera vez dentro de las notas de rescate de White Rabbit , pero los actores sostuvieron que solo colaboraron con la pandilla de ransomware y no utilizan ransomware ellos mismos.

 

En un informe publicado hoy por Cyberint, los analistas encontraron publicaciones de Telegram que promocionaban RansomHouse en el canal de Telegram de la pandilla Lapsus$ . Esto indica que los actores de amenazas están igualmente interesados en vender datos a otros actores de amenazas, así como a la víctima.

 

Como tal, aunque los orígenes de RansomHouse se desconocen en este momento, el grupo no ha surgido como una entidad completamente independiente, sino más bien dentro de otros grupos de amenazas.

 

Cyberint afirma haber examinado exhaustivamente las comunicaciones de los miembros principales de RansomHouse con otros actores de amenazas en los canales de Telegram e informó haber visto una conducta profesional.

 

“Hablan cortésmente tanto en su blog como en varios canales de Telegram y no se dejan llevar por discusiones irrelevantes. Además, dicen ser muy liberales y pro-libertades. No quieren mezclar negocios y política y anunciaron que nunca trabajarían con hacktivistas radicales o grupos de espionaje”, explica el informe  de Cyberint.

 

Esto hace que los analistas de Cyberint crean que RansomHouse es un proyecto lanzado por evaluadores de penetración del equipo rojo descontentos que están hartos de los pagos de recompensas bajos y la mala planificación de la seguridad cibernética en general.

 

Brett Callow , analista de amenazas de la firma de ciberseguridad Emsisoft, le dijo a Bleeping Computer lo siguiente con respecto a RansomHouse:

 

Supuestamente, la plataforma RansomHouse es utilizada por ‘miembros del club’ que llevan a cabo ataques con sus propias herramientas y, según ellos, esas herramientas incluyen ransomware como White Rabbit. Sin embargo, sospecho que sus afirmaciones no son ciertas y que las mismas personas que llevan a cabo los ataques también están detrás de RansomHouse.

 

En cuanto al origen, un representante de RansomHouse que había llamado a la prensa para dar a conocer los ataques hablaba inglés con lo que parecía un acento de Europa del Este.

 

Sin embargo, otros ciberdelincuentes han expresado su preocupación de que el nuevo proyecto de extorsión de datos sea sospechoso y no confiable.

 

Cyberint afirma que RansomHouse solo roba los datos y maneja las negociaciones o ventas a otros delincuentes. Además, la nueva operación dice que no realizan el cifrado mediante una variedad de ransomware, por lo que la extorsión se basa únicamente en la amenaza de exponer los archivos robados.

 

Esto explicaría por qué el grupo afirmó anteriormente que es una plataforma para varias pandillas de ransomware, incluido White Rabbit, que en realidad se involucra en el cifrado.

 

Sin embargo, curiosamente, la palabra “encriptado” está presente en el sitio de RansomHouse Onion, lo que indica que las organizaciones víctimas han encriptado sus datos, por lo que esa parte es discutible.

 

Por ahora, esta nueva operación es pequeña y cuenta solo con cuatro víctimas que Bleeping Computer aún está en proceso de verificación.

 

Es dudoso que RansomHouse se convierta en un peligro a gran escala en el corto plazo, pero el lanzamiento de cualquier portal de extorsión debería ser una preocupación para todos los administradores de redes y seguridad.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

PHP Code Snippets Powered By : XYZScripts.com