Investigadores descubren vínculos entre SunCrypt y QNAPCrypt ransomware

SunCrypt, una cepa de ransomware que infectó a varios objetivos el año pasado, puede ser una versión actualizada del ransomware QNAPCrypt, que apuntaba a los sistemas de almacenamiento de archivos basados ​​en Linux, según una nueva investigación.

«Mientras que los dos ransomware [families] son operados por diferentes actores de amenazas en la web oscura, existen fuertes conexiones técnicas en la reutilización de código y las técnicas, que vinculan a los dos ransomware con el mismo autor «, dijo el investigador de Intezer Lab, Joakim Kennedy, en un análisis de malware publicado hoy que revela las tácticas de los atacantes. en la web oscura.

Identificado por primera vez en julio de 2019, QNAPCrypt (o eCh0raix) es una familia de ransomware que se encontró que apuntaba a dispositivos de almacenamiento conectado a la red (NAS) de las empresas taiwanesas QNAP Systems y Synology. Los dispositivos se vieron comprometidos mediante la fuerza bruta de credenciales débiles y la explotación de vulnerabilidades conocidas con el objetivo de cifrar los archivos que se encuentran en el sistema.

Desde entonces, el ransomware ha sido rastreado hasta un grupo ruso de ciberdelincuencia conocido como «FullOfDeep», con Intezer cerrando hasta 15 campañas de ransomware usando la variante QNAPCrypt con ataques de denegación de servicio dirigidos a una lista de billeteras de bitcoin estáticas que se crearon para el expreso. intención de aceptar pagos de rescate de las víctimas y prevenir futuras infecciones.

SunCrypt, por otro lado, surgió como una herramienta de ransomware basada en Windows escrita originalmente en Go en octubre de 2019, antes de que se transfiriera a una versión C / C ++ a mediados de 2020. Además de robar los datos de las víctimas antes de cifrar los archivos y amenazar con divulgarlos públicamente, el grupo ha aprovechado los ataques distribuidos de denegación de servicio (DDoS) como una táctica de extorsión secundaria para presionar a las víctimas para que paguen el rescate exigido.

Más recientemente, el ransomware se implementó para atacar a una empresa de diagnóstico médico con sede en Nueva Gales del Sur llamada PRP Diagnostic Imaging el 29 de diciembre, lo que implicó el robo de «un pequeño volumen de registros de pacientes» de dos de sus servidores de archivos administrativos.

Aunque las dos familias de ransomware han dirigido sus ataques contra diferentes sistemas operativos, se ha especulado previamente sobre las conexiones de SunCrypt con otros grupos de ransomware.

De hecho, la compañía de análisis de blockchain Chainalysis citó a principios del mes pasado un «informe de circulación privada» de la firma de inteligencia de amenazas Intel 471 que afirmaba que los representantes de SunCrypt describían su cepa como una «versión reescrita y renombrada de una cepa de ransomware ‘bien conocida'».

Ahora, según el análisis de Intezer de los binarios de SunCrypt Go, el ransomware no solo comparte funciones de encriptación similares con QNAPCrypt, sino también en los tipos de archivos encriptados y los métodos utilizados para generar la contraseña de encriptación, además de realizar verificaciones de configuración regional del sistema para determinar si el la máquina en cuestión está ubicada en un país no permitido.

También cabe destacar el hecho de que tanto QNAPCrypt como SunCrypt utilizan el modelo de ransomware como servicio (RaaS) para anunciar sus herramientas en foros clandestinos, en los que los afiliados llevan a cabo los ataques de ransomware ellos mismos y pagan un porcentaje del pago de cada víctima. de vuelta a los creadores y administradores de la cepa.

Teniendo en cuenta las superposiciones y las diferencias de comportamiento entre los dos grupos, Intezer sospecha que «el ransomware eCh0raix fue transferido y actualizado por los operadores SunCrypt».

«Si bien la evidencia basada en la técnica proporciona un vínculo sólido entre QNAPCrypt y la versión anterior de SunCrypt, está claro que ambos ransomware son operados por diferentes personas», concluyeron los investigadores.

«Según los datos disponibles, no es posible conectar la actividad entre los dos actores en el foro. Esto sugiere que cuando aparecen nuevos servicios de malware derivados de servicios más antiguos, es posible que no siempre sean operados por las mismas personas».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática