Groove tiene una estructura que se diferencia del resto de los grupos delictivos ya que, a pesar de manejar el modelo de ransomware como servicio (RaaS), los criminales han dado a conocer que trabajarán con cualquiera, siempre y cuando haya ganancias. Y esto, más el hecho de que el grupo surgió de forma sigilosa en julio de 2021 con un sitio web en el idioma ruso, da lugar a que presuntamente se trata de un grupo conformado por ex-integrantes de bandas desaparecidas como Avaddon o DarkSide o de bandas como Babuk.
De acuerdo con investigaciones iniciales, Groove estaría formado en parte por algunos cibercriminales que se separaron de Babuk, banda en donde ha habido discrepancias entre sus integrantes– de hecho, hace algunos días, al parecer uno de los desarrolladores del ransomware Babuk habría publicado el código fuente completo en un foro de hacking ruso. Los archivos filtrados contienen todo lo que un grupo malicioso necesitaría para crear un malware ejecutable completamente funcional, por lo que es posible que en el transcurso de los siguientes meses aparezcan nuevos grupos que hayan desarrollado su malware con base en esta filtración.
Groove utiliza el modelo de RaaS, donde los afiliados usan su malware a cambio de compartir las ganancias, estableciendo el valor de cada asociado en su capacidad para ganar dinero.
También existen algunas pruebas de que Groove ha colaborado con la banda de ransomware BlackMatter– grupo delictivo considerado como una versión actualizada de los cibercriminales de DarkSide, una banda rusa responsable del ataque al oleoducto Colonial Pipeline, en mayo de 2021. Un punto fundamental es que hace algunos días semana, Groove ha estado vinculado con la filtración –en RAMP– de alrededor de 500 mil contraseñas de redes privadas virtuales de la empresa de ciberseguridad Fortinet.
De igual forma, el representante de Groove es probablemente un cibercriminal que opera bajo el alias de “SongBird” y que es conocido por ser un ex operador de Babuk y creador del foro digital clandestino centrado en ransomware, conocido como RAMP, un mercado negro accesible a través de la red TOR que está completamente dedicado a brindar coordinación, comunicación y apoyo organizacional para los grupos cibercriminales de ransomware y extorsión.
En el sitio puede leerse que el registro al foro RAMP solo es posible después de verificar las cuentas en foros como xss, exploit y los criterios para ingresar son:
- registro para xss o exploit durante al menos 2 meses
- al menos 10 publicaciones en el foro
- reputación positiva
Los datos filtrados de Fortinet son sumamente sensibles, pues incluyen correos, contraseñas e IPs. Pero ya que el filtrador no ha buscado aparentemente ningún beneficio económico, se estima que esta filtración se ha llevado a cabo para promocionar RAMP.
El surgimiento de Groove se produce no solo cuando se están presentando divisiones en el modelo de RaaS, sino también después de que desaparecieron varios grupos de ransomware de alto perfil.
En este sentido, la unidad de investigación de SILIKN considera importante estar alertas ante posibles ataques de Groove en los siguientes 6 a 8 meses dirigidos contra objetivos en México y algunos otros países de América Latina. La recurrencia de ataques de ransomware es otra faceta que revela las profundas fallas en la infraestructura de ciberseguridad de países en América Latina.
Los sistemas mal configurados y los servidores de acceso remoto de uso generalizado debido al trabajo a distancia, alentado por la presencia de la pandemia de COVID-19, son dos de los vectores de ataque de entrada para grupos cibercriminales como Groove. Una vez que los delincuentes logran vulnerar los sistemas de las empresas pueden lanzar variantes de malware, cifrar archivos y proceder con la extorsión financiera.
Por: Víctor Ruiz, fundador de SILIKN.