D0nut Leaks, grupo de ransonware en América Latina

Luego de su descubrimiento en agosto de 2022 en Europa, el grupo de extorsión y ransomware llamado D0nut Leaks está vinculado a varios ataques recientes en América Latina. Analizando las víctimas, el grupo delictivo detrás de D0nut puede estar relacionado con otros grupos más activos tales como Hive y Ragnar Locker, 

Los datos de esas víctimas han aparecido en el sitio de fuga de datos del grupo previamente desconocido y ahora autodenominado D0nut Leaks. BleepingComputer vió por primera vez a D0nut gracia a un empleado de una de las víctimas, quien dijo que los actores de amenaza violaron la red corporativa para robar datos.

Una vez que los actores de amenazas terminaron de robar los datos, enviaron por correo electrónico las URL de sus sitios de extorsión TOR a los socios comerciales y empleados de la víctima. Es decir que se trata de un ransomware de doble extorsión: primero se extorsiona a la víctima para brindar las claves de descifrado y luego se la extorsiona para no publicar los datos robados.

Estos sitios TOR consisten en un blog de la vergüenza (ya inactivos) y un sitio de almacenamiento de datos que permite a los visitantes navegar y descargar todos los datos filtrados y robados. El blog originalmente contenía solo cinco entradas, y todas menos una contenían descripciones genéricas de la empresa y un enlace a sus datos robados.

El servidor de almacenamiento de datos robados ejecuta la aplicación File Browser, que permite a los visitantes navegar a través de todos los datos robados almacenados en el servidor, desglosados por la víctima.

En conversaciones con algunos delincuentes, los actores de amenazas dijeron que trabajan para múltiples operaciones de Ransomware-as-a-Service para proporcionar a los afiliados acceso a las redes internas. En algunos casos, estos atacantes roban los datos y los guardan para ellos si sienten que los datos tienen valor. En este video se puede ver funcionamiento del malware.

En América Latina, el grupo y/o sus asociados han infiltrado algunas organizaciones públicas y privadas y han publicado su nota de rescate para intentar ponerse en contacto y cobrar el rescate.

Actualmente se desconoce cual es el vector inicial de infección, aunque se supone que puede tratarse de escritorio remoto o compartido por RDP o por ingeniería social y phishing.

Con el análisis de los archivos detectados en marzo de 2023, no hay información suficiente para confirmar que el grupo se encuentra activo infectando nuevas víctimas y, al analizar las muestras se puede confirmar que algunos investigadores afirman que el canal de ingreso puede ser dispositivos USB infectados.

Fuente: BC

Suscríbete a nuestro Boletín