Este miércoles, el grupo de investigadores PRODAFT, publicó los resultados de una investigación sobre Wizard Spider, quienes están asociados con los grupos de hackers Grim Spider y Lunar Spider. A continuación les mencionaremos todo lo que descubrieron sobre estos hackers.
¿Qué fue lo que descubrió el grupo de investigadores sobre Wizard Spider?
Estos son algunos de los hallazgos que hizo la firma de seguridad cibernética sobre Wizard Spider:
- El grupo Wizard Spider es de origen ruso. Y posee una infraestructura compuesta por un “conjunto complejo de subequipos y grupos. Tienen una gran cantidad de dispositivos comprometidos bajo su mando y emplea a un profesional altamente distribuido. Así como un flujo de trabajo para mantener la seguridad y un alto ritmo operativo”.
- Este grupo de piratas informáticos suele volver a invertir parte de sus ganancias en desarrollo con inversiones en software e incluso para pagar nuevas contrataciones. El informe sugiere que el grupo controla “cientos de millones de dólares en activos”. De acuerdo con los investigadores: “La extraordinaria rentabilidad del grupo permite a sus líderes invertir en iniciativas ilícitas de investigación y desarrollo. Wizard Spider es totalmente capaz de contratar talento especializado, construir una nueva infraestructura digital y comprar acceso a exploits avanzados”.
- PRODAFT comenta que Wizard Spider está enfocado en comprometer las redes empresariales y “tiene una presencia significativa en casi todos los países desarrollados del mundo, y también en muchas economías emergentes”.
- Las víctimas del grupo van desde contratistas de defensa, firmas empresariales, proveedores de la cadena de suministro, hospitales y proveedores de servicios públicos críticos.
¿Cómo suelen iniciar los ataques de este grupo de piratas informáticos?
Los ataques de Wizard Spider suelen iniciar a través de spam y phishing, específicamente por QBot y el proxy SystemBC. El grupo tiende a infiltrarse en las empresas a través de hilos de correo electrónico comprometidos entre empleados gracias a los esquemas de Compromiso de correo electrónico comercial (BEC).
Y una vez que hay una grieta en la puerta, el grupo implementa Cobalt Strike e intenta obtener los privilegios de administrador del dominio. Luego implementan la variedad de ransomware Conti, se cifran las máquinas, los servidores de hipervisor y se realiza una demanda de ransomware. En cuanto a las víctimas, estas se gestionan a través de un panel de control de casilleros.
Wizard Spider usa herramientas complejas
Wizard Spider suele usar redes privadas virtuales (VPN) y servidores proxy para ocultar sus pistas. El grupo también ha invertido en herramientas inusuales, tales como los sistemas VoIP y los empleados encargados de llamar en frío a las personas y asustarlas para que paguen después de un incidente de seguridad.
Dicha táctica era empleada en el pasado por algunos grupos de ransomware, incluidos Sekhmet, Maze y Ryuk. Coveware cree que los ciberdelincuentes pueden subcontratar este tipo de trabajo de ‘centro de llamadas’, pues las plantillas y los scripts utilizados suelen ser “básicamente los mismos”.
Otra herramienta importante de este grupo es la estación de craqueo Wizard Spider. Dicho kit almacena hashes descifrados y ejecuta crackers para probar y proteger las credenciales de dominio. Tal estación también actualiza al equipo sobre el estado de craqueo.
También se descubrieron varios servidores de intrusión que contenían un caché de tácticas, técnicas, exploits, información de billetera de criptomonedas y archivos .Hasta ZIP cifrados que contenían notas creadas y compartidas por los equipos de ataque.
Para el grupo de investigadores, estos piratas son muy capaces: “El equipo de Wizard Spider ha demostrado ser capaz de monetizar múltiples aspectos de sus operaciones. Es responsable de una enorme cantidad de spam en cientos de millones de dispositivos, así como de violaciones de datos concentradas y ataques de ransomware en objetivos de alto valor”. Esperamos que pueda descubrirse mucho más sobre estos grupos en un futuro.