Varias empresas rusas han sufrido un ataque de ransomware (se abre en una pestaña nueva) utilizando herramientas diseñadas originalmente por un actor de amenazas ruso. Los atacantes que se atribuyen la responsabilidad de los ataques dicen que lo hacen en represalia por la invasión de Ucrania.
Cuando Rusia atacó por primera vez a Ucrania hace casi dos meses, los operadores del ransomware Conti emitieron un comunicado en el que decían que cualquiera que se oponga a Rusia o a las empresas rusas se enfrentará a su ira.
Aunque rápidamente se hizo cargo de la declaración (después de una gran protesta de sus contratistas, socios y usuarios), un pirata informático ucraniano se enfrentó al grupo y filtró varias versiones del ransomware.
Víctimas de alto perfil
La filtración permitió que otros actores de amenazas crearan sus propias versiones del malware (se abre en una nueva pestaña). Y ahora, un grupo que se autodenomina NB65 está utilizando cepas Conti para atacar objetivos rusos.
Según un informe de BleepingComputer, en el último mes, el operador de gestión de documentos Tensor, la agencia espacial rusa Roscosmos y VGTRK, la emisora pública de televisión y radio rusa, se han visto comprometidos.
Después de violar VGTRK, el grupo robó y filtró 786,2 GB de datos, incluidos 900.000 correos electrónicos y 4.000 archivos, se dijo.
Aquellos bajo ataque reciben este mensaje:
“Estamos observando muy de cerca. Su presidente no debería haber cometido crímenes de guerra. Si está buscando a alguien a quien culpar por su situación actual, no busque más allá de Vladimir Putin”.
Hablando con Bleeping Computer, un representante de NB65 dijo que el encriptador se basó en el primer código fuente de Conti filtrado, pero fue modificado para cada víctima para inutilizar los desencriptadores conocidos.
«Se ha modificado para que no funcionen todas las versiones del descifrador de Conti. Cada implementación genera una clave aleatoria basada en algunas variables que modificamos para cada objetivo», dijo NB65 a BleepingComputer. «Realmente no hay forma de descifrar sin contactarnos».
NB65 dice que ninguna de sus víctimas ha estado en contacto.
A través de BleepingComputer (se abre en una nueva pestaña)
