Groove Gang emerge como un nuevo operador de ransomware

Un nuevo análisis mostró las consecuencias tras los ataques de Colonial Pipeline y Kaseya, junto a esto un grupo de investigadores descubrieron la aparición de una nueva banda de ransomware denominada Groove, que anteriormente era una filial de Babuk ransomware. En uno de sus primeros actos, Groove filtró públicamente un conjunto de casi 500.000 credenciales […]

Un nuevo análisis mostró las consecuencias tras los ataques de Colonial Pipeline y Kaseya, junto a esto un grupo de investigadores descubrieron la aparición de una nueva banda de ransomware denominada Groove, que anteriormente era una filial de Babuk ransomware.

En uno de sus primeros actos, Groove filtró públicamente un conjunto de casi 500.000 credenciales de VPN en un nuevo foro llamado RAMP.

Las credenciales robadas se asociaron con unos 87.000 dispositivos Fortinet FortiGate SSL-VPN que eran vulnerables a una vulnerabilidad de fuga de archivos rastreada como CVE-2018-13379.

Los investigadores describieron este acto como una forma de empoderar a otros actores de amenazas y aspirantes a ciberdelincuentes para que entren en escena.

RAMP, que supuestamente significa Ransom Anon Mark [et] Place, fue creado en julio por un actor de amenazas TetyaSluha, quien luego cambió su nombre a Orange. MRT, 999 y KAJIT, entre otros grupos de actores de amenazas, también participan en el mantenimiento y desarrollo del foro.

Según los investigadores de ATR, “este actor afirmó que el foro atendería específicamente a otros actores de amenazas relacionados con el ransomware después de que fueran expulsados ​​de los principales foros de delitos cibernéticos por ser demasiado tóxicos”.

Después de las consecuencias, Groove cambió el nombre del servidor wyyad de Babuk a fines de agosto. Si bien los datos en el servidor aún albergan a las antiguas víctimas de Babuk, el equipo de ATR encontró datos de un proveedor de servicios de TI tailandés en particular que fue atacado por la banda de ransomware BlackMatter.
Esto indica que Groove pudo haber trabajado como afiliado de la pandilla BlackMatter.

Algunos afiliados están utilizando el modelo RaaS en expansión como una oportunidad para convertirse en ciberdelincuentes competentes. Groove es uno de esos actores de amenazas emergentes que parece desafiar la jerarquía RaaS convencional. Con experiencias previas en espionaje industrial y algunos ex desarrolladores de Babuk en su camarilla, la pandilla ha dejado en claro que está dispuesta a colaborar con otras partes siempre que haya ganancias financieras.