La unión hace la fuerza también en el mundo de la ciberdelincuencia. Los grupos de ransomware TheGhostSec y Stormous han decidido ir de la mano para efectuar de manera conjunta ataques de ransomware de doble extorsión.
Así lo asegura el investigador de Cisco Talos, Chetan Raghuprasad, en un informe que ha compartido con el medio especializado en ciberseguridad The Hacker News.
Según los hallazgos de Cisco Talos la unión de los dos grupos no solo se ha dado para atacar una amplia gama de sectores, sino también para lanzar una versión actualizada de GhostLocker en noviembre de 2023, así como para iniciar un nuevo programa de ransomware as a service en 2024 llamado STMX_GhostLocker que "que ofrece varias opciones para sus afiliados".
"El nuevo programa se compone de tres categorías de servicios para los afiliados: pago, gratuito y otra para personas sin programa que sólo quieren vender o publicar datos en su blog (servicio PYV)", ha explicado Raghuprasad.
Los ataques organizados puestos en marcha por esta alianza han tenido como objetivo víctimas en países como Argentina, Brasil, Cuba, China, Egipto, Líbano, India, Indonesia, Israel, Marruecos, Polonia, Qatar, Sudáfrica, Tailandia, Turquía, Uzbekistán y Vietnam.
Entre las verticales más amenazadas están la tecnología, la manufactura, la administración pública, el transporte, la energía, el sector médico-legal, el inmobiliario y las telecomunicaciones.
STMX_GhostLocker, que viene con su propia página de filtraciones en la dark web, enumera no menos de seis víctimas de India, Uzbekistán, Indonesia, Polonia, Tailandia y Argentina.
Quiénes son
Aunque su nombre sea similar GhostSec no tiene nada que ver Ghost Security Group (quien también se hace llamar GhostSec). La primera forma parte de una coalición llamada The Five Families, de la que también forman parte ThreatSec, Stormous, Blackforums y SiegedSec.
Este 'consorcio' se constituyó en agosto del año pasado con el fin de "establecer una mejor unidad y conexiones para todos en el mundo subterráneo de Internet, para expandir y hacer crecer nuestro trabajo y operaciones".
A finales del año pasado se aventuraron en el ransomware como servicio (Raas) con el mencionado GhostLocker, ofreciéndolo a otros por 269,99 dólares al mes.
GhostLocker 2.0 (oGhostLocker V2) se ha anunciado como totalmente efectivo y que ofrece capacidades rápidas de cifrado/descifrado. También viene con una nota de rescate renovada que insta a las víctimas a ponerse en contacto con ellos dentro de siete días o corren el riesgo de que se filtren sus datos robados.
Talos asegura haber descubierto dos nuevas herramientas probablemente utilizadas por GhostSec para comprometer sitios legítimos. "Una de ellos es el 'conjunto de herramientas GhostSec Deep Scan' para escanear sitios web legítimos de forma recursiva, y otra es una herramienta de pirateo para realizar ataques de secuencias de comandos entre sitios (XSS) llamada 'GhostPresser'", añade Raghuprasad.