La banda de extorsión de datos Karakurt ha creado un nuevo sitio web para subastar terabytes de información robada. El grupo está utilizando Twitter para anunciar el sitio, y ha publicado 20 víctimas desde que entró en funcionamiento. Se trata del segundo sitio de este tipo que el grupo ha creado este año.
El sitio de subastas está alojado en un servidor web reglamentario, en lugar de la web oscura, ya que la publicidad es una parte clave de su modelo de negocio basado en la extorsión, con datos de fácil acceso para sus clientes. Sin embargo, esta táctica también es potencialmente imprudente, y los expertos dicen que refleja el nivel de impunidad con el que operan las bandas criminales vinculadas a Rusia desde que comenzó la guerra en Ucrania.
Karakurt creó el nuevo sitio este mes, y está utilizando una cuenta de Twitter asociada para anunciar los datos robados que planea subastar. En el momento de escribir estas líneas, ambos sitios seguían operativos, aunque el Twitter de la banda ha sido marcado por su comportamiento anormal. Entre las víctimas que figuran en la lista se encuentra el comerciante de papel y pasta de papel Sappi, aunque la empresa no ha confirmado si realmente se ha producido un ataque a sus sistemas.
El grupo creó por primera vez un sitio web para la venta de datos en enero, pero las fuerzas del orden lo cerraron en mayo. En ese momento, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), el FBI y la NSA publicaron un aviso conjunto, en el que se afirma: «El sitio web contenía varios terabytes de datos que supuestamente pertenecían a víctimas de toda América del Norte y Europa, junto con varios «comunicados de prensa» en los que se nombraba a las víctimas que no habían pagado o cooperado y las instrucciones para participar en las «subastas» de datos de las víctimas». El nuevo sitio parece haber sido creado a imagen y semejanza de su predecesor.
El grupo es una de las muchas bandas de ciberdelincuentes que prefieren limitarse a extorsionar a sus víctimas en lugar de cifrar sus sistemas, afirma Lin Freedman, director de privacidad y ciberseguridad del bufete de abogados Robinson and Cole en un informe sobre bandas de extorsión.
Aunque puede ser arriesgado, tener un sitio web en la llamada «web clara», en lugar de la web oscura, es crucial para atraer clientes, dice Allan Liska, jefe del equipo de respuesta a incidentes de seguridad informática (CSIRT) de la empresa de seguridad Recorded Future. «No todo el mundo tiene un navegador Tor, así que Karakurt tiene que tener sus datos tan accesibles como sea posible si va a ser capaz de hacer algo de dinero», dice. «En otras palabras, si su objetivo es la extorsión. No puedes dificultar el acceso a los datos».
Es extraño que Twitter permita este tipo de actividad, continúa Liska. «Me pregunto por qué Twitter permite que exista esta cuenta. Técnicamente, publicar información robada sobre datos robados viola los términos de servicio de Twitter. Esta cuenta debería ser cerrada», afirma.
De hecho, las condiciones de servicio de Twitter sí prohíben la publicidad, la compra y la venta ilegales en su plataforma, en sus Términos de Servicio. «No puedes usar nuestro servicio para ningún propósito ilegal o para promover actividades ilegales», dice. «Esto incluye la venta, compra o facilitación de transacciones de bienes o servicios ilegales, así como ciertos tipos de bienes o servicios regulados».