Investigadores en ciberseguridad han revelado detalles sobre el funcionamiento interno de la operación de ransomware liderada por Mikhail Pavlovich Matvéev, un ciudadano ruso que fue acusado por el gobierno de los Estados Unidos a principios de este año por su supuesto papel en el lanzamiento de miles de ataques en todo el mundo.
Matvéev, quien reside en San Petersburgo y es conocido por los alias Wazawaka, m1x, Boriselcin, Uhodiransomwar, Orange y waza, presuntamente jugó un papel crucial en el desarrollo y el despliegue de variantes de ransomware como LockBit, Babuk y Hive desde al menos junio de 2020.
» Wazawaka y los miembros de su equipo exhiben prominentemente una insaciable codicia por los pagos de rescate, demostrando una gran indiferencia hacia los valores éticos en sus operaciones cibernéticas», dijo la empresa suiza de ciberseguridad PRODAFT en un análisis detallado compartido con este medio.
«Empleando tácticas que involucran la intimidación a través de amenazas de filtración de archivos confidenciales, involucrando en prácticas deshonestas y persistir en la retención de archivos aun después de que la víctima cumpla con el pago del rescate, ejemplifican el vacío ético prevalente en las prácticas de los grupos de ransomware tradicionales.»
Los hallazgos de PRODAFT son el resultado de datos recopilados entre abril y diciembre de 2023 mediante la interceptación de miles de registros de comunicación entre diferentes actores de amenazas afiliados con diferentes variantes de ransomware.
Se dice que Matvéev lidera un equipo de seis probadores de penetración – 777, bobr.kurwa, krbtgt, shokoladniy_zayac, WhyNot y dushnila – para ejecutar los ataques. El grupo tiene una jerarquía plana, lo que fomenta una mejor colaboración entre los miembros.
«Cada individuo contribuye con recursos y experiencia según sea necesario, demostrando un nivel notable de flexibilidad en la adaptación a nuevos escenarios y situaciones», dijo PRODAFT.
Matvéev, además de trabajar como afiliado de Conti, LockBit, Hive, Trigona y NoEscape, también tuvo un papel de nivel gerencial con el grupo de ransomware Babuk hasta principios de 2022, mientras compartía lo que se describe como una «relación compleja» con otro actor llamado Dudka, quien es probablemente el desarrollador detrás de Babuk y Monti.
Los ataques realizados por Matvéev y su equipo involucran el uso de Zoominfo y servicios como Censys, Shodan y FOFA para recopilar información sobre las víctimas, confiando en fallas de seguridad conocidas y corredores de acceso inicial para obtener un punto de apoyo, además de utilizar una combinación de herramientas personalizadas y de fuera de la estantería para la fuerza bruta de cuentas VPN, escalar privilegios y optimizar sus campañas.
«Después de obtener el acceso inicial, Wazawaka y su equipo utilizan principalmente comandos de PowerShell para ejecutar su herramienta preferida de monitoreo y gestión remota (RMM)», dijo la compañía. «Distintivamente, MeshCentral destaca como la herramienta única del equipo, utilizada con frecuencia como su software de código abierto preferido para varias operaciones».
El análisis de PRODAFT también reveló conexiones entre Matvéev y Evgeniy Mikhailovich Bogachev, un ciudadano ruso relacionado con el desarrollo del botnet GameOver Zeus, que fue desmantelado en 2014, y Evil Corp.
Cabe señalar que las operaciones de ransomware de Babuk redenominaron a PayloadBIN en 2021, este último vinculado a Evil Corp en un aparente esfuerzo por evitar las sanciones impuestas en su contra por los EE. UU. En diciembre de 2019.
«Esta asociación técnica, junto con la conocida relación entre Wazawaka y el notorio ciberdelincuente Bogachev, sugiere conexiones más profundas entre Wazawaka, Bogachev y las operaciones de Evil Corp», dijo PRODAFT.
