La banda de programari de segrest MedusaLocker va anunciar al seu lloc de filtració de dades Tor que busca pentesters nous.

MedusaLocker és una soca de programari de segrest que es va observar per primera vegada a finals de 2019, xifra fitxers en sistemes infectats i demana un rescat, normalment en criptomoneda, per al seu desxifratge.

El grup opera com a Ransomware-as-a-Service (RaaS), cosa que significa que els afiliats poden llogar el programari de segrest a canvi d’un percentatge dels beneficis.

La banda de programari de segrest MedusaLocker va anunciar al seu lloc de filtració de dades Tor que busca pentesters (especialistes a provar penetracions o provadors de penetració) nous.

Per què una banda de programari de segrest contractaria un especialista en proves de penetració?

Pot semblar estrany al principi, perquè és la mena d’anunci de feina que esperaries trobar a LinkedIn, no en un fòrum del web fosc, però en el submon cibercriminal, no és estrany que es reclutin provadors de penetració qualificats. De fet, és una evolució natural de l’economia del programari de segrest. De la mateixa manera que les empreses legítimes contracten professionals de la seguretat per provar i reforçar les seves defenses, els operadors de programari de segrest els contracten per investigar, mapar i explotar les debilitats de les xarxes objectiu. La diferència està en la intenció: l’un té com a objectiu protegir i l’altre treure’n profit a través de l’extorsió.

Les operacions modernes de programari de segrest funcionen com a empreses estructurades. Tenen jerarquies de gestió, equips tècnics, atenció al client per a les víctimes, negociadors i, cada cop més, buscadors de talent. Perquè els afiliats maximitzin els beneficis, necessiten persones qualificades per identificar objectius valuosos i garantir que l’accés sigui profund i persistent.

Aquí és on entren els especialistes en proves de penetració. En el món legítim, els provadors de penetració simulen atacs per revelar vulnerabilitats, sovint mitjançant les mateixes eines i tècniques que els pirates informàtics reals, escàners de vulnerabilitats, campanyes de pesca, eines per trencar contrasenyes i explotacions de moviment lateral. En el món criminal, aquestes habilitats es reutilitzen per mapar sistemes d’alt valor, desactivar còpies de seguretat, exfiltrar dades delicades i preparar el terreny per al desplegament de programari de segrest de màxim impacte.

La contractació d’un provador de penetració ofereix diversos avantatges als actors d’amenaça:

• Eficiència – Un verificador expert pot identificar ràpidament els punts d’entrada explotables, i reduir el temps entre el compromís inicial i el desplegament del rescat.
• Sigil – Els provadors experimentats entenen la seguretat operativa (OpSec) i poden eludir la detecció mentre mapen la xarxa.
• Maximització de beneficis – Com més profund sigui l’accés, més influència per a les demandes de rescat. Els provadors de penetració ajuden a localitzar dades delicades i sistemes crítics per xifrar-los primer.
• Risc d’externalització – En contractar talent especialitzat, els membres principals de la banda de programari de segrest limiten la seva pròpia exposició.

Als fòrums clandestins, els anuncis d'”equips vermells” o “especialistes en penetració de xarxes” apareixen amb una regularitat sorprenent. Sovint requereixen competència en l’explotació d’Active Directory, escalada de privilegis i familiaritat amb eines empresarials com ara VMware o Citrix, tot això és crucial en entorns corporatius. El pagament normalment es basa en comissions, és a dir, els provadors de penetració  guanyen un percentatge de cada rescat reeixit, de vegades s’arriben a fer pagaments de sis xifres per a una única feina.

Quan les bandes de programari de segrest busquen provadors de penetració, no es tracta d’entrar en un sistema per diversió, és una decisió empresarial calculada. En reclutar professionals qualificats, poden operar amb la precisió, l’eficiència i la rendibilitat d’una empresa legítima de proves de penetració… amb l’únic propòsit de mantenir les víctimes com a ostatges a canvi de milions.

El grup MedusaLocker està buscant un provador de penetració per orientar-se a sistemes basats en ESXi, Windows i també ARM. L’anunci publicat pel grup també requereix un accés directe a les xarxes corporatives per accelerar l’execució de l’atac.