Según un informe de Zscaler ThreatLabz, una empresa Fortune 50 pagó un rescate récord de 75 millones de dólares a la banda de ransomware Dark Angels.
“A principios de 2024, ThreatLabz descubrió una víctima que pagó 75 millones de dólares a los Ángeles Oscuros, más que cualquier cantidad conocida públicamente, un exploit que seguramente atraerá el interés de otros atacantes que buscan replicar tal éxito adoptando sus tácticas clave (que describimos a continuación)”, se lee en el comunicado de prensa. Informe de ransomware Zscaler 2024.
Este pago récord fue confirmado por la firma de criptointeligencia Chainalysis, que lo publicó en Twitter en X.
El mayor pago de rescate conocido fue anteriormente de 40 millones de dólares, lo que El gigante asegurador CNA Pagado después de sufrir un ataque de ransomware de Evil Corp
Aunque Zscaler no especificó qué empresa pagó el rescate de 75 millones de dólares, sí mencionó que la empresa estaba en el Fortuna 50 y el ataque tuvo lugar a principios de 2024.
Entre las empresas de Fortune 50 que sufrieron un ciberataque en febrero de 2024 se encuentra el gigante farmacéutico Cencora, que ocupa el décimo lugar de la lista. Ningún grupo de ransomware se ha atribuido nunca la responsabilidad del ataque, lo que podría indicar que se pagó un rescate.
BleepingComputer se puso en contacto con Cencora para preguntar si habían pagado el rescate a los Ángeles Oscuros, pero aún no ha recibido una respuesta.
¿Quiénes son los ángeles oscuros?
Dark Angels es una operación de ransomware lanzada en mayo de 2022 cuando comenzó a apuntar a empresas de todo el mundo.
Como la mayoría de las bandas de ransomware dirigidas por humanos, los operadores de Dark Angels irrumpen en las redes corporativas y se mueven lateralmente hasta obtener acceso administrativo. Durante este tiempo, también roban datos de los servidores comprometidos, que luego utilizan como presión adicional para exigir un rescate.
Al acceder al controlador de dominio de Windows, los actores de amenazas implementan el ransomware para cifrar todos los dispositivos de la red.
Cuando los actores de amenazas lanzaron su operación, utilizaron cifradores de Windows y VMware ESXi basados en el código fuente filtrado del ransomware Babuk.
Sin embargo, con el tiempo, cambiaron a un cifrador de Linux que era el mismo utilizado por Ragnar Locker desde 2021. Ragnar Locker fue interrumpido por las fuerzas del orden en 2023.
Este cifrador de Linux se utilizó en un ataque de Dark Angels a Johnson Controls para cifrar los servidores VMware ESXi de la empresa.
En este ataque, los Ángeles Oscuros afirmaron haber robado 27 TB de datos corporativos y exigieron un rescate de 51 millones de dólares.
Fuente: BleepingComputer
Los actores de amenazas también operan un sitio de fuga de datos llamado “Dunghill Leaks” que se utiliza para extorsionar a sus víctimas, amenazando con revelar datos si no se paga un rescate.
Fuente: BleepingComputer
Zscaler ThreatLabz afirma que Dark Angels utiliza la estrategia de “caza mayor”, que implica apuntar sólo a unas pocas empresas de alto valor con la esperanza de obtener pagos masivos en lugar de a varias empresas a la vez para pagos de rescate numerosos pero más pequeños.
“El grupo Dark Angels utiliza un enfoque muy específico, normalmente atacando sólo a una gran empresa a la vez”, explican los investigadores de Zscaler ThreatLabz.
“Esto contrasta marcadamente con la mayoría de los grupos de ransomware, que atacan a las víctimas de manera indiscriminada y subcontratan la mayoría de los ataques a redes afiliadas de corredores de acceso inicial y equipos de pruebas de penetración. »
De acuerdo a Análisis de cadenaLa táctica de caza mayor se ha convertido en una tendencia dominante utilizada por muchas bandas de ransomware en los últimos años.
