Hace una semana, la Agencia Nacional Contra el Crimen del Reino Unido (NCA) anunciaba haber desmantelado LockBit, la banda de ransomware más peligrosa del mundo, tras la puesta en marcha de una operación policial internacional.
Quizá sea exagerado hablar de 'desmantelamiento', dado que se han vuelto a realizar ciberataques en nombre del grupo después de eso, pero sí es cierto que las fuerzas del orden lograron infiltrarse en los sistemas de la banda rusa, y 34 de sus servidores ya no están operativos.
Pero, con cada grupo que cae, parece surgir otro, a menudo más sofisticado y audaz. Y ahora, un nuevo grupo de ransomware ha surgido con la pretensión de llenar el espacio que LockBit parece haber dejado vacío (al menos, mientras logran recuperarse).
El nombre de los recién llegados es 'Mogilevich', y salieron a la luz hace menos de una semana con el anuncio de dos grandes robos de datos privados: los 22 GB de Infiniti USA (parte de la división de vehículos de lujo de Nissan), y los de la firma global de contenido generado por usuarios Bazaarvoice.
Mogilevich, un grupo que lleva el nombre del conocido mafioso ucraniano-ruso Semion Yudkovich Mogilevich (quien fuera "el mafioso más peligroso del mundo" según el FBI), parece estar usando estos ataques como un escaparate con el que presentarse ante posibles nuevos clientes. De hecho, el grupo ha dejado en claro que su único objetivo es el monetario.
Su plataforma en la Dark Web sirve como escaparate para sus actividades, donde ofrecen sus servicios a potenciales afiliados y advierten a las empresas sobre las consecuencias de no asegurar sus sistemas. Ahora, Mogilevich ha anunciado haber atacado dos nuevos objetivos de alto perfil: el Departamento de Asuntos Exteriores de la República de Irlanda y la compañía de videojuegos Epic Games.
Lo de Epic Games
"Hemos llevado a cabo silenciosamente un ataque a los servidores de Epic Games", explican desde Mogilevich. De hecho, el grupo afirma contar ya con 189 gigabytes de datos, incluidos "emails, contraseñas, nombre completo, información de pago, código fuente y muchos otros datos".
Dicha información, en teoría, estará a 'buen recaudo' hasta el 4 de marzo para que la empresa de desarrollo de software (responsable de títulos como 'Unreal Tournament' o 'Fortnite') decida si 'rescata' o no los ficheros robados... antes de que pasen a estar disponibles al mejor postor.
No obstante, Epic Games sigue sin confirmar, ni tan siquiera, que este ciberataque se haya producido. Según explican, los Mogilevich ni siquiera han querido responder a un primer mensaje enviado por Epic Games. Así reza el comunicado de la empresa:
"Estamos investigando al respecto, pero actualmente no existe ninguna evidencia de que estas afirmaciones sean legítimas. Mogilievich no se ha puesto en contacto con Epic ni ha proporcionado ninguna prueba de la veracidad de estas acusaciones. Cuando vimos estas acusaciones en una captura de pantalla de una página web de la dark web en un tuit de un tercero, comenzamos a investigar en cuestión de minutos y nos pusimos en contacto con Mogilevich para obtener pruebas. Mogilevich no ha respondido".
Curiosamente, la otra supuesta víctima reciente del grupo, el Ministerio de Exteriores irlandés, realiza unas afirmaciones parecidas:
"No hay evidencia de ninguna violación de la infraestructura de seguridad TIC de DFA. El Departamento continuará su investigación y, en caso de que se identifique alguna infracción, abordará cualquier problema que surja".
Si los ciberataques nunca tuvieron lugar, se plantea la pregunta de por qué Mogilevich ha realizado un anuncio como ese. CyberDaily.au señala una posible explicación:
"es muy posible que el grupo de ransomware ni siquiera sea lo que dice ser, sino varios estafadores oportunistas que esperan engañar a alguien para que compre datos falsos o que una empresa pobre pague un rescate cuando ni siquiera fueron pirateados".
Esto es, que estén tratando de timar a las presuntas víctimas. Pero, según The Record, los timados estarían siendo otros cibercriminales que buscan contratar los servicios de Mogilevich:
"A diferencia de los sitios de extorsión utilizados por grupos establecidos de ransomware como servicio, el sitio de Mogilevich está diseñado de forma amateur. El grupo también solicita un depósito de 1.000 dólares a posibles afiliados, algo que probablemente provocará enormes sospechas entre los estafadores profesionales".
Imagen | Marcos Merino mediante IA