Al analizar una nueva versión del GandCrab Ransomware, los investigadores de seguridad de G DATA descubrieron toda una red de actividades delictivas que se operan desde un rango de IP continuo fuera de Ucrania.

Las direcciones IP, registradas presumiblemente bajo direcciones falsas, muestran indicaciones de piratería ilegal, sitios de phishing y portales de citas. El ransomware se vende o alquila a delincuentes en foros clandestinos.

Este es probablemente el caso con GandCrab v5. Sin embargo, la persona detrás de la dirección IP, obviamente, no quiere depender de una sola actividad criminal para generar ingresos. Análisis de la bandeja del vendedor ambulante de delitos informáticos.

El programa de instalación del malware se comunica continuamente con la dirección IP 92.63.197.48. Se recuperan diversos datos del rango de IP y se envían instrucciones al malware. Sin embargo, un análisis de las direcciones IP vecinas muestra que, además del ransomware, se alojan aquí muchos otros servicios, todos los cuales están registrados con el nombre “Fop Horban Vitalii Anatoliyovich”. Entre ellos hay numerosos dominios de citas inactivos, pero también ofertas fraudulentas como Frim0ney.info. También se ha configurado un clon del intercambio Bitcoin wex.nz bajo el dominio wex.ac.

El sitio tiene como objetivo capturar las credenciales de inicio de sesión y otros documentos a través de phishing. En el foro de Bitcointalk, un usuario informa que se le pidió que ingresara numerosos datos personales en un formulario web en el sitio, incluidas las copias de su documento de identidad.

El motivo dado para la nueva entrada de datos personales fue una reubicación supuestamente necesaria de la plataforma a un nuevo dominio. Sin embargo, los proveedores acreditados nunca pedirían a los usuarios que vuelvan a ingresar datos personales de esta manera. Además, se puede recuperar un archivo JSON de la dirección IP, lo que indica que el propietario también realiza cryptojacking en numerosas computadoras, es decir, la extracción ilegal y encubierta de monedas criptográficas como Bitcoin, Ethereum o Monero. Cryptojacking fue identificado por G DATA SecurityLabs en la primera mitad de 2018 como una de las mayores y crecientes amenazas para los usuarios. No está claro si el propio instalador de GandCrab descarga malware criptográfico en algunos casos.

Alternativamente, los mineros también pueden ejecutar en el fondo de otros sitios web. El archivo muestra actualmente hasta 4000 sistemas infectados. Estafa etéreo Otro servicio fraudulento se encuentra en el rango de IP. La exageración acerca de las monedas criptográficas desde 2017 ha llevado a los delincuentes a probar estafas de monedas criptográficas. Se sugiere a los usuarios que transfieran unidades de monedas como Monero, Bitcoin o Ethereum a una billetera y obtengan una cantidad mucho mayor de monedas criptográficas como recompensa. Tal estafa se puede encontrar bajo la dirección IP 92.63.197.127. Los usuarios deben recibir una recompensa de 5-200 ETH por transferencias entre 0,5 y 20 éteres (ETH).

FUENTE www.gdatasoftware.com