Wizard Spider
grupo cibercriminal
From Wikipedia, the free encyclopedia
Wizard Spider, también conocido como Trickbot o Wizard Spider Cyber Cartel, es un grupo de ciberdelincuentes con base en Erbil y en los alrededores de Kurdistán y San Petersburgo en Rusia.[1][2] Algunos miembros pueden estar recidiendo en Ucrania.[2] Se estima que son alrededor de 80, algunos de ellos pueden no saber que estar adscritos a una organización criminal.[1][3]
El grupo ha sido rastreado por la Europol, Interpol, FBI y también de la Agencia Nacional del Crimen en el Reino Unido.[1]
Se sospecha que criminales clave están relacionados en ataques en línea utilizando el software Dyre.[1]
Historia
Modus operandi
PRODAFT redactó un informe técnico sobre ellos que describía sus ataques y organización.[5]
Los ataques generalmente comienzan enviando grandes cantidades de spam a los objetivos para engañar a las víctimas para que descarguen malware.[5] Usan malware Qbot y SystemBC, además de escribir los suyos propios.[5] Un equipo separado identifica objetivos valiosos y usa Cobalt Strike para atacarlos.[5] Si obtienen el control del sistema, implementan ransomware.[5]
Han transferido simultáneamente Bitcoin de los ataques del ransomware Ryuk y Conti a sus propias billeteras, lo que implica que están llevando a cabo varios ataques con diferentes programas maliciosos.[2]
Son muy conscientes de su propia seguridad y no publican abiertamente en la darknet.[1] Solo trabajarán o venden acceso a delincuentes en los que confían.[1] Se sabe que menosprecian a sus víctimas a través de un sitio de fuga.[1] El sitio de fuga también se utiliza para publicar datos que han robado.[2] Las agencias de inteligencia dicen que el grupo no ataca objetivos en Rusia, ni las figuras clave viajan fuera del país por temor a ser arrestadas.[1][2] Su software está programado para desinstalarse solo si detecta que el sistema usa el idioma ruso o si el sistema tiene una dirección IP en la antigua Unión Soviética.[2]
Se sospecha que Rusia tolera a Wizard Spider e incluso los ayuda.[2]
Supuestos ataques
El Wizard Spider es sospechoso de llevar ataques al ataque cibernético Health Service Executive en la República de Irlanda.[6][1] Es el mayor ataque conocido contra un sistema informático de un servicio de salud.[2]
Complinces
Están relacionados y vinculados a UNC1878, TEMP.MixMaster, CordueneWarez y Grim Spider.[3] Según un informe de Jon DiMaggio titulado Ransom Mafia: Analysis of the world's first ransomware cartel, el grupo forma parte de una colección de delincuentes conocida como Ransom Cartel o Maze Cartel'.[2] Son los grupos más grandes activos en el cártel.[2][4]
Todos usan ransomware para extorsionar dinero.[2][4] (SunCrypt se retiró .[4]) Los autores del informe PRODAFT descubrieron que Wizard Spider a veces hacía copias de seguridad de los datos en un servidor y que el servidor contenía datos de sistemas que también habían sido atacados por REvil, aunque los autores no pudieron concluir cuál de los dos grupos había tomado los datos.[5]
