Charla impartida en RootedCON 2022 Los ciberataques han mostrado un incremento en cantidad y evolución. Un claro ejemplo ha sido el incremento de ataques y el cambio en el modus operandi de grupos de ransomware. Estos ataques cada vez vinculan más la publicación de datos a modo de extorsión en las redes conocidas como darknets. El análisis de esta nueva forma de operar y de sitios vinculados a grupos de ciberdelincuentes en Tor es crucial, de cara a detectar ataques recientes, empresas afectadas y dar seguimiento de estos grupos de cara a posibles atribuciones. En esta charla se expondrá un análisis de estos grupos presentes en darknets y su seguimiento de forma automatizada. También se abordará el desarrollo y creación de una herramienta de análisis y threat intelligence, utilizando estos datos.

1. construyendo un ecosistema CTI sobre la Darknet
De PARCHE a Vysion:

2. whoami
/in/junquera /in/carlos-cilleruelo

3. Information Security Research Lab UAH

4. Darknets
● Legitimate uses
○ Privacy and anonymity
○ Political activism
○ Journalism
● Illegal uses
○ Drug and arms trafficking
○ Child pornography
○ Various forms of cybercrime

5. Servicios ocultos
Inside the Tor network:
● Hidden Services anonymous
● .onion domains
● Discovery limited to contacts

6. PARCHE
Project for the Analysis and Retrieval of Content from Hidden Environments

7. PARCHE 0.1

8. PARCHE 0.2

9. PARCHE 0.3
https://www.nltk.org/
r”@r(oman|amirez)”
https://gitlab.com/junquera/stalker
r”[a-z0-9]{56}”
r”telegram.me/[a-z0-9]{4,32}”
r”[a-z0-9]{56}.onion”

10. PARCHE 0.3

11. PARCHE 0.4

12. PARCHE 0.5

13. PARCHE 0.9

14. PARCHE 1.0

15. PARCHE 1.1

16. PARCHE 1.1
t0

17. PARCHE 1.1
t1

18. PARCHE 1.1
t2

19. PARCHE 1.1
tn

20. Vysion

21. Vysion 0.1

22. Vysion 0.2

23. Vysion 1.0

24. Vysion 1.0
● API following Dark Web and Virtual Assets Taxonomies
● Taxonomy is the practice and science of categorization or
classification

25. Vysion 1.0
● Collected data can be processed to generate intelligence
● NLP and automatic classification of hidden services
● Topic detection
● Offer intelligence and analysis based on collected data
● Example: Ransomware groups activity on the darknet

26. Ransomware

27. PARCHE v. REM

28. Leak sites @ Tor

29. Methodology
1. Searching IOCs
2. Retrieving samples
3. Sample analysis
4. Site analysis
Ransomware Hunting over Tor

30. 1. Searching IOCs

31. 2. Retrieving samples

32. 3.1. Static analysis

33. 3.2. Dynamic analysis

35. 160
.onion domains

36. .onion domains
● Leak sites
● C2
● ???

37. Feeding PARCHE

38. Ransomware under Vysion

40. 31
Ransomware groups monitored by Vysion (2021)

41. Ransomware analysis results
US Companies
Top 10 Groups

42. Ransomware analysis results
Number of attacks

44. Most affected countries

45. Russian-Speaking Countries

46. China

47. Top 10 affected sectors in 2021

48. Conti vs LockBit 2.0
Conti LockBit

49. Conti vs LockBit 2.0
Conti LockBit

50. Vysion 2.0

51. Vysion 2.0

52. Roadmap
DEC
NOV
OCT
SEP
AUG
JUL
JUN
MAY
APR
MAR
FEB
JAN
RootedCon Launch
Add clearnet forums,
e.g., russianmarket.to
cracked.to
Release of Maltego
and spiderfoot
connectors
Public access and
release of MISP,
Cortex and OpenCTI
modules
Added new sources
of information, e.g.,
Telegram channels
Beta access:
API and WebApp

53. Stay tuned
vysion.ai