Un grupo de ransomware llamado Dark Angels fue noticia la semana pasada cuando se reveló que el grupo criminal recibió recientemente un pago récord de $75 millones por un rescate de datos de una empresa Fortune 50. Los expertos en seguridad dicen que los Dark Angels existen desde 2021, pero el grupo no recibe mucha prensa porque trabaja solo y mantiene un perfil bajo, eligiendo un objetivo a la vez y favoreciendo el robo masivo de datos en lugar de interrumpir las operaciones de la víctima. Imagen: Shutterstock. La empresa de seguridad Zscaler ThreatLabz clasificó este mes a Dark Angels como la principal amenaza de ransomware para 2024, y señaló que a principios de 2024 una víctima le pagó al grupo de ransomware $75 millones, más que cualquier pago de rescate registrado anteriormente. ThreatLabz descubrió que Dark Angels ha llevado a cabo algunos de los ataques de ransomware más grandes hasta la fecha y, sin embargo, se sabe poco sobre el grupo. Brett Stone-Gross, director senior de inteligencia de amenazas en ThreatLabz, dijo que Dark Angels opera utilizando un manual completamente diferente al de la mayoría de los otros grupos de ransomware. Para empezar, dijo, Dark Angels no emplea el modelo típico de afiliación de ransomware, que se basa en piratas informáticos a sueldo para instalar software malicioso que bloquea los sistemas infectados. «Realmente no quieren estar en los titulares ni causar interrupciones comerciales», dijo Stone-Gross. «Quieren ganar dinero y atraer la menor atención posible». La mayoría de los grupos de ransomware mantienen sitios llamativos de filtración de víctimas que amenazan con publicar los datos robados del objetivo a menos que se pague una demanda de rescate. Pero los Dark Angels ni siquiera tuvieron un sitio para avergonzar a las víctimas hasta abril de 2023. Y el sitio de filtraciones no tiene una marca particularmente buena; se llama Dunghill Leak. El sitio de avergonzar a las víctimas de Dark Angels, Dunghill Leak. «Nada en ellos es llamativo», dijo Stone-Gross. «Durante mucho tiempo, ni siquiera quisieron causar un gran titular, pero probablemente se sintieron obligados a crear ese sitio de filtraciones porque querían demostrar que iban en serio y que iban a publicar datos de las víctimas y hacerlos accesibles». Se cree que Dark Angels es un sindicato de ciberdelincuencia con sede en Rusia cuya característica distintiva es robar cantidades realmente asombrosas de datos de grandes empresas de múltiples sectores, incluidos la salud, las finanzas, el gobierno y la educación. En el caso de las grandes empresas, el grupo ha exfiltrado entre 10 y 100 terabytes de datos, cuya transferencia puede tardar días o semanas, según descubrió ThreatLabz. Como la mayoría de las bandas de rescate, Dark Angels publicará datos robados a víctimas que no pagan. Algunas de las víctimas más notables enumeradas en Dunghill Leak incluyen la empresa mundial de distribución de alimentos Sysco, que reveló un ataque de ransomware en mayo de 2023; y el gigante de las reservas de viajes Sabre, que fue atacado por Dark Angels en septiembre de 2023. Stone-Gross dijo que Dark Angels a menudo se muestra reacio a implementar malware ransomware porque dichos ataques funcionan bloqueando la infraestructura de TI del objetivo, lo que generalmente hace que el negocio de la víctima se paralice durante días, semanas o incluso meses. Y ese tipo de infracciones tienden a aparecer en los titulares rápidamente. “Eligen selectivamente si quieren implementar ransomware o no”, dijo. “Si consideran que pueden cifrar algunos archivos que no causarán grandes interrupciones, pero les darán una tonelada de datos, eso es lo que harán. Pero realmente, lo que los separa del resto es el volumen de datos que están robando. Es un orden de magnitud mucho mayor con Dark Angels. Las empresas que pierden grandes cantidades de datos pagarán estos altos rescates”. Entonces, ¿quién pagó el rescate récord de $ 75 millones? Bleeping Computer postuló el 30 de julio que la víctima fue el gigante farmacéutico Cencora (anteriormente AmeriSourceBergen Corporation), que informó un incidente de seguridad de datos a la Comisión de Bolsa y Valores de Estados Unidos (SEC) el 21 de febrero de 2024. La SEC requiere que las empresas que cotizan en bolsa revelen un evento de ciberseguridad potencialmente material dentro de los cuatro días posteriores al incidente. Cencora ocupa actualmente el puesto número 10 en la lista Fortune 500, generando más de $ 262 mil millones en ingresos el año pasado. Cencora no respondió a las preguntas sobre si había realizado un pago de rescate en relación con el incidente de ciberseguridad de febrero y remitió a KrebsOnSecurity a los gastos enumerados en «Otros» en la sección de reestructuración de su último informe financiero trimestral (PDF). Ese informe muestra que la empresa incurrió en costos de más de $30 millones asociados con la violación. La declaración trimestral de Cencora decía que el incidente afectó a una plataforma de tecnología de la información heredada independiente en un país y la capacidad de la unidad de negocios extranjera para operar en ese país durante aproximadamente dos semanas. El informe del primer trimestre de 2024 de Cencora documenta un costo de $30 millones asociado con un evento de exfiltración de datos a mediados de febrero de 2024. En su informe más reciente sobre el estado del ransomware (PDF), la empresa de seguridad Sophos descubrió que el pago promedio por ransomware se había quintuplicado en el último año, de $400,000 en 2023 a $2 millones. Sophos dice que en más de cuatro quintas partes (82%) de los casos, la financiación del rescate provino de múltiples fuentes. En general, el 40 % de la financiación total de los rescates provino de las propias organizaciones y el 23 % de las aseguradoras. Lectura adicional: Informe sobre el ransomware ThreatLabz (PDF).