El riquezas recientemente filtrado de registros de chat internos entre los miembros de la operación de ransomware bruno Hilván ha revelado posibles conexiones entre la pandilla de delitos electrónicos y las autoridades rusas.
La filtración, que contiene más de 200,000 mensajes desde septiembre de 2023 hasta septiembre de 2024, fue publicada por un heredero de Telegram @exploitwhispers el mes pasado.
Según un estudio de los mensajes de la compañía de ciberseguridad Trellix, el supuesto líder de Black Hilván, Oleg Nefedov (incluso conocido como GG o AA), puede deber recibido ayuda de funcionarios rusos a posteriori de su arresto en Ereván, Armenia, en junio de 2024, permitiéndole escapar tres días a posteriori.
En los mensajes, GG afirmó que contactó a los funcionarios de parada rango para tener lugar por un «corredor verde» y suministrar la procedencia.
«Este conocimiento de las filtraciones de chat dificulta que la pandilla Black Hilván abandone por completo la forma en que operan y comienzan un nuevo RAAS desde cero sin remisión a sus actividades anteriores», dijeron los investigadores de Trellix Jambul Tologonov y John Fokker.
Entre otros hallazgos notables incluyen –
- El agrupación probablemente tiene dos oficinas en Moscú
- El agrupación utiliza OpenAI Chatgpt para componer cultura formales fraudulentas en inglés, parafraseando texto, reescribir malware basado en C#en Python, código de depuración y compilar datos de víctimas
- Algunos miembros del agrupación se superponen con otras operaciones de ransomware como Rhysida y Cactus
- El desarrollador de Pikabot es un ciudadano ucraniano que realiza el Mecor de seudónimo en ristra (incluso conocido como N3auxaxl) y que le tomó a Black Hilván al año desarrollar el cargador de malware a posteriori de la interrupción de Qakbot
- El agrupación alquiló Darkgate de Rastafareye y usó Lumma Stealer para robar credenciales y soltar malware adicional
- El agrupación desarrolló un situación de comando y control posterior a la explotación (C2) llamado Breaker para establecer la persistencia, sortear la detección y proseguir el ataque a través de los sistemas de red
- GG trabajó con Mecor en nuevo ransomware que se deriva del código fuente de Conti, lo que lleva a la interpretación de un prototipo escrito en C, lo que indica un posible esfuerzo de cambio de marca
El explicación se produce cuando Eclecticiq reveló el trabajo de Black Hilván en un situación de forzamiento bruto denominado que está diseñado para realizar un escaneo automatizado en Internet y un relleno de credenciales contra dispositivos de red Edge, incluidas las soluciones de firewalls y VPN ampliamente utilizados en redes corporativas.
Hay evidencia que sugiere que la tripulación del delito cibernético ha estado utilizando la plataforma basada en PHP desde 2023 para realizar ataques a gran escalera de credenciales y fuerza bruta en dispositivos objetivo, lo que permite a los actores de amenaza obtener visibilidad en las redes de víctimas.
«El situación de brutos permite a los afiliados de Black Hilván automatizar y prosperar estos ataques, expandiendo su agrupación de víctimas y acelerando la monetización para impulsar las operaciones de ransomware», dijo la investigadora de seguridad Arda Büyükkaya.
«Las comunicaciones internas revelan que Black Hilván ha invertido en gran medida en el situación de bruido, lo que permite escaneos rápidos de Internet para electrodomésticos de red de borde y relleno de credenciales a gran escalera para dirigirse a contraseñas débiles».
