El equipo de investigación de CYFIRMA ha identificado a un grupo de actores de amenazas que opera bajo el nombre en clave ARES, cuya principal actividad corresponde a la venta de bases de datos de autoridades comerciales y gubernamentales.
A finales de 2021 la pandilla hizo su debut en Telegram y, desde entonces, han estado vinculados a la operación de ransomware RansomHouse, la plataforma de fuga de datos KelvinSecurity y el grupo de acceso a la red Adrastea.
Estos cibercriminales administran su propia web con las filtraciones y un foro de piratería. Los investigadores afirman que se comportan como una suerte de 'cartel'.
La plataforma ARES Leaks, que ejerce como su página de filtraciones, permite acceder a las fugas de datos de 65 países, incluyendo a España, pero también a EE.UU., Francia, Australia e Italia.
ARES Leaks habría aumentado su actividad tras el cierre del popular foro de piratería Breached. Como resultado de esta clausura, el grupo de cibermalos se puso manos a la obra para localizar a desarrolladores de malware y expertos en herramientas para que trabajaran en Siria a finales de 2022.
Un catálogo amplio
Según informe Cybersecurity News, el grupo acepta pagos en criptomonedas de aquellos 'clientes' que quieren acceder a los datos proporcionados o comprar alguno de los servicios que ofrecen, que incluyen ataques de denegación de servicio distribuido (DDoS), pruebas de penetración, explotación de vulnerabilidades y desarrollo de malware.
ARES operaría canales VIP y privadas, vendiendo filtraciones de datos más valiosas de compañías conocidas. Además, últimamente se han esforzado por conseguir acceso militar a las bases de datos.
Otra de las plataformas que han puesto en marcha a principios de 2023 es LeakBase, donde ofrecen bases de datos gratuitas, un mercado para vender fugas, pistas, exploits y servicios, y un sistema de pago en garantía para fomentar la confianza.
“El grupo está bien organizado y reconoce el valor de la colaboración entre ciberdelincuentes de ideas afines para sostener sus operaciones”, concluyen los investigadores de CYFIRMA .