Grupo de ciberdelincuentes REvil comienza a subastar datos robados

La pandilla de cibercriminales REvil, conocida también como Sodinokibi, agregó una función de subasta a su sitio web clandestino, permitiendo realizar ofertas anónimas a la información capturada de forma ilegal, a través de sus campañas de ransomware. La opción de subasta apareció a principios de junio, según un análisis de Cyberint.

Las ofertas se activaron el 8 de junio, dando a las partes interesadas la opción de presentar una oferta (a partir de USD$50,000) o comprar los datos directamente, con un precio de «bombardeo» más alto (USD$100,000).

Según Cyberint, dentro los datos que salieron a la venta en una de las subastas se incluye información de un distribuidor de alimentos de EE. UU, además de cuentas y documentos con un precio inicial de USD$100,000 y un precio de bombardeo del doble; datos de un bufete de abogados estadounidense- 50 GB de datos, información confidencial y personal sobre clientes-con un precio inicial de USD$30,000 y un precio de bombardeo de USD$50,000); y una firma de abogados de propiedad intelectual de los EE. UU. (1.2TB de datos que abarcaba documentación interna, correspondencia, acuerdos de patentes e información confidencial del cliente con un
precio inicial de USD$1 millón y un precio de bombardeo de USD$10 millones).

Cabe destacar que «los datos robados de la firma de abogados de propiedad intelectual, según los informes, incluyen información relacionada con nuevas tecnologías y patentes no archivadas que, dada la lista de clientes de alto perfil, probablemente explican los altos precios iniciales y de
bombardeo». La firma señaló en un informe detallado este lunes, que los datos posiblemente serían de interés para los competidores o incluso para un estado-nación que busca obtener ventajas económicas.

Sin embargo, «a cualquier posible comprador le resulte difícil desarrollar cualquier tecnología o producto robado sin despertar sospechas sobre su origen», agregaron los investigadores.

El negocio de la subasta

El proceso de subasta es una evolución para el grupo REvil, que es conocido por realizar ataques de ransomware dirigidos sumando además ciber-extorsión al delito. La pandilla por lo general bloquea archivos, pero también extrae información, y luego amenaza con liberar datos si no se
realiza un pago por el rescate de estos.

El proceso de subasta es completamente anónimo: un posible postor solo necesita completar un desafío CAPTCHA, y luego se le otorga un conjunto de credenciales por una única vez en conjunto con una dirección única de billetera de criptomonedas Monero (XMR).

Luego se le pide al postor que use esa billetera para pagar un depósito para comenzar la subasta, lo que equivale al 10 por ciento de la oferta inicial. La billetera también se utiliza para realizar pagos finales en caso de que la persona gane la oferta.