El equipo de GandCrab dice que ganó suficiente dinero y planea retirarse en un mes.

gandcrab-header.jpg1280×450 98.8 KB

Después de casi un año y medio, los operadores detrás de GandCrab Ransomware están cerrando sus operaciones y se les dicen a sus afiliados que dejen de distribuir el ransomware.

Al llenar los vacíos dejados por el cierre de operaciones de gran escala de ransomware como TeslaCrypt, CryptoWall y Cerber, GandCrab explotó en el mundo de ransomware el 28 de enero de 2018, cuando comenzaron a comercializar sus servicios en sitios criminales subterráneos.

Desde entonces, se habían convertido en uno de los actores dominantes, si no el más dominante, en las operaciones de ransomware, y sus operaciones empezaron a desacelerarse en los últimos meses.

Según los investigadores de seguridad Damian y David que han estado siguiendo las hazañas de GandCrab en el foro subterráneo de hacking y malware Exploit.in, los operadores de GandCrab han publicado que están cerrando sus operaciones.

En las imágenes podemos ver a los operadores afirmando que han generado más de $ 2 mil millones en pagos de rescate, con un promedio de pagos semanales de $ 2.5 millones de dólares. Continúan diciendo que personalmente han ganado $ 150 millones de dolares, que han cobrado e invertido en entidades comerciales legales.

gandcrab-message.jpg979×485 64.5 KB

GandCrab Ransomware

Con este anuncio, GandCrab ha dicho que ha dejado de promocionar el ransomware, pidió a los afiliados que dejen de distribuir el ransomware en un plazo de 20 días y pidió que su tema se eliminara a fin de mes.

También les han dicho a las víctimas que paguen el descifrado necesario ahora, ya que sus claves se eliminarán a fin de mes. Esto podría ser una última toma de dinero y esperamos que los desarrolladores de GandCrab sigan otras grandes operaciones de ransomware y liberen las teclas cuando se apaguen. BleepingComputer se acercó a los desarrolladores y les pidió que lo hicieran.

Históricamente, hemos visto cómo las operaciones de ransomware a gran escala llenan el vacío que queda cuando se apaga otro ransomware. No sería sorprendente ver surgir otra operación en un futuro cercano, especialmente cuando lo señala GandCrab:

“Hemos comprobado que al hacer actos malvados, la retribución no llega”.

Altos reclamos de ganancias

Mientras que los operadores detrás de GandCrab probablemente ganaron muchos millones de dólares, es muy probable que las reclamaciones de $ 2 mil millones en pagos de rescate sean falsas.

Estas elevadas afirmaciones no son sorprendentes, ya que los desarrolladores de GrandCrab siempre han sido bromistas y han involucrado a los investigadores de seguridad en formas en que la mayoría de los desarrolladores de malware no lo hacen.

Usando burlas, chistes y referencias a organizaciones e investigadores en su código, era obvio que los desarrolladores de GandCrab nos estaban monitoreando tanto como nosotros los estábamos monitoreando y nos dio una gran sorpresa.

Por ejemplo, en su primera versión del ransomware, GandCrab decidió usar nombres de dominio para sus servidores de Comando y Control que se basan en organizaciones y sitios conocidos por la investigación del ransomware. Por ejemplo, puede hacer sonar el ordenador, nomoreransom, eset y emsisoft que se enumeran a continuación en sus servidores C2 iniciales.

bleepingcomputer.bit
nomoreransom.bit
esetnod32.bit
emsisoft.bit
gandcrab.bit

Con frecuencia, también lanzaron saludos a los investigadores que analizaron su ransomware.

Sin embargo, no fue todo diversión y juegos, ya que los operadores de GandCrab también tuvieron una racha vengativa. Después de que AhnLab lanzó una aplicación de vacuna para GandCrab, los desarrolladores de ransomware lanzaron un día cero para el antivirus AhnLab v3 Lite.

ahnlab.jpg926×345 43.7 KB

Sus payasadas y sus éxitos no pasaron desapercibidos por otros miembros de Exploit.in que se despidieron de ellos o se entristecieron al verlos partir.

Si bien las travesuras de GandCrab han sido divertidas a veces, en última instancia, infligieron mucho dolor y sufrimiento a muchas personas que perdieron sus datos, su trabajo y posiblemente incluso a las empresas. Su cierre de operaciones es algo bueno.

Ciertamente durante el año pasado y en lo que va de este, la familia de ransomware GandCrab ha sido una de las amenazas de ransomware más activas.

Era una de las pocas cepas de ransomware que se distribuían en masa a través de correo no deseado (MalSpam) y kits de explotación (Exploit Kits), pero también como parte de ataques dirigidos contra organizaciones (APTs) de alto perfil (una táctica conocida como big-game hunting) al mismo tiempo.

Se distribuye en un modelo de afiliación de RaaS (ransomware-as-a-a-service), lo que permite a múltiples actores de amenazas distribuir el malware a través de una variedad de vectores.

Y si bien sus números $$$ pudieran estar algo inflados… solo el 1% de este, que seguro si hicieron por la cantidad de infectados que conseguían a diario, ya es muchísimo dinero para un retiro.

Igual se espera que antes de estos últimos 30 días, antes de dar de baja todos sus servicios, que liberen la clave maestra para poder descifrar los archivos de los afectados… de lo cual obviamente no hay certezas de que suceda.

Salu2

Bueno esto ciertamente es raro y un poco cool, quiero decir, ganas millones haciendo cosas malas y las inviertes ahora en cosas legales y enderezas tu camino …wow y yo pensaba que ya lo había visto todo

Pero nadie investiga la procedencia del dinero “invertido en entidades comerciales legales”???

Saludos.

Si, aunque de todas maneras, por mas que endereces tu camino, siempre pueden ser atrapados a futuro y tendrán que pagar por su delincuencia en el pasado… si es que alguna vez los agarran.

Se llama “lavado de dinero” y es tan viejo y común como los bancos mismos.

Salu2

Para ir cerrando con el tema… al parecer el grupo detrás de GandCrab se retira realmente y ya han dado de baja su portal RAS para los afiliados y hace unos días emitido un ultimo comunicado en los foros under en donde se movían habitualmente, pidiendo que se borre todo su historial de estos.

Por lo que damos por cerrado este tema y lo linkearemos con todo lo referido con GandCrab en el tema de:

• GandCrab la evolución en curso del ransomware más activo