Los métodos del grupo son sospechosamente similares a otras amenazas conocidas.
Las agencias gubernamentales de Indonesia fueron víctimas de un ciberataque a gran escala por parte del grupo Brain Cipher. El 20 de junio de 2024, los hackers asestaron un golpe fuerte a la infraestructura crítica del país, deteniendo aproximadamente 210 servicios gubernamentales, nacionales y locales. Los servicios de aduanas e inmigración fueron particularmente afectados, lo que causó retrasos significativos para los viajeros en los aeropuertos.
Inicialmente, los atacantes exigieron un rescate de 8 millones de dólares estadounidenses. Sin embargo, más tarde, de manera inesperada, publicaron el descifrador de manera gratuita. Este caso llamó la atención de los expertos de la compañía Group-IB , quienes decidieron llevar a cabo una investigación exhaustiva sobre las actividades del grupo.
Los hackers dejaron notas características en los sistemas infectados con las demandas de rescate. En ellas, se incluían instrucciones sobre cómo contactar al grupo para descifrar los datos. La información de contacto variaba desde direcciones de correo electrónico hasta enlaces a servicios ocultos en la red Tor.
Los investigadores determinaron que Brain Cipher ha estado activo al menos desde abril de 2024. El análisis de las diferentes versiones de las notas de rescate permitió vincular a este grupo con otras agrupaciones de hackers, como EstateRansomware y SenSayQ.
Uno de los descubrimientos clave fue la conexión entre las notas de Brain Cipher y las muestras del malware Lockbit. Los expertos también encontraron similitudes en el estilo y contenido de los mensajes con los utilizados por el grupo SenSayQ. Además, la infraestructura en línea de ambos grupos, incluidos los sitios en la red Tor, utilizaba tecnologías y scripts similares.
Curiosamente, las direcciones de correo electrónico de contacto de los grupos SenSayQ, EstateRansomware y otro grupo no identificado coincidían. Los primeros rastros de las actividades de EstateRansomware fueron descubiertos en abril de 2024. Basado en estos datos, los investigadores sugirieron que Brain Cipher y EstateRansomware podrían estar operados por las mismas personas.
Brain Cipher no se limitó a atacar a Indonesia. También se encontraron víctimas de sus ataques en Filipinas, Portugal, Israel, Sudáfrica y Tailandia. El grupo tiene su propio sitio de fugas de datos (DLS), en el cual, al momento de redactar este artículo, se habían publicado los datos de siete empresas.
La mayoría de las notas de rescate dejadas por Brain Cipher estaban relacionadas con muestras de malware identificadas como Lockbit. Además, el grupo publicó un descifrador para Linux destinado a una víctima indonesia, que resultó ser una variante del ransomware Babuk.
El análisis mostró que en julio de 2024 se realizaron ataques con notas similares bajo el nombre del grupo RebornRansomware. Se encontraron víctimas de este grupo en Francia, China, Kuwait e Indonesia.
Otra característica interesante es el funcionamiento del sitio de fugas de datos de Brain Cipher. En él se publicaba información sobre las empresas vulneradas, y para cada filtración se establecía un contador regresivo. Esta táctica ejercía presión adicional sobre las víctimas, obligándolas a tomar decisiones más rápidamente respecto al pago.
Los analistas de Group-IB elaboraron una cronología de eventos que muestra los cambios en las notas de rescate de los presuntos grupos de ransomware relacionados. Algunas víctimas de Brain Cipher fueron identificadas incluso en agosto de 2024, y algunas víctimas de SenSayQ fueron añadidas a su sitio de fugas más tarde en junio de 2024.
Las similitudes en las notas, la correlación de direcciones de correo electrónico y la secuencia cronológica de los cambios de nombre sugieren que las mismas personas podrían estar detrás de EstateRansomware, SenSayQ, Brain Cipher y RebornRansomware. Sin embargo, los investigadores se abstienen de especular sobre las razones del cambio constante de marca del grupo en una época de intensa persecución a los grandes programas de ransomware.
Group-IB señala que su equipo continuará monitoreando las actividades de Brain Cipher, independientemente del nuevo nombre que el grupo pueda adoptar en el futuro. Los expertos subrayan la importancia de un monitoreo y análisis constantes de las actividades de estos grupos para desarrollar métodos efectivos de protección contra sus ataques.
Finalmente, Group-IB ofreció una serie de recomendaciones para protegerse contra este tipo de ataques. Entre ellas: monitoreo y auditoría regular de cuentas, implementación de políticas de gestión de actualizaciones, segmentación de sistemas críticos, implementación de control de aplicaciones en hosts y soluciones de detección y respuesta en endpoints (EDR). También recomiendan suscribirse al servicio de búsqueda de amenazas gestionado (MTH).