NoEscape

NoEscape apareció en el horizonte de amenazas en mayo de 2023, operando bajo el modelo de Ransomware como Servicio (RaaS – Ransomware-as-a-Service). Este modelo es el más común entre los operadores de ransomware debido a la facilidad de ganancias y estabilidad que proporciona al grupo. Operando de esta manera, el grupo ofrece su plataforma y malware a los afiliados, que son los que se encargan de realizar los ataques. El porcentaje de reparto de beneficios se mueve aparentemente entre el 80/20 y el 90/10 a favor de los afiliados, dependiendo de la suma del rescate, es decir: cuanto mayor es, menos porcentaje reclama la organización matriz.

Aunque el grupo no ha expresado cercanía a ningún país en especial ni a favor de una determinada idea política, ninguna de sus víctimas pertenece a Rusia o la Comunidad de Estados Independientes (CEI) – esta está compuesta por algunos antiguos miembros de la Unión Soviética. Se han observado similitudes entre el extinto grupo Avaddon (2019-2021) y NoEscape.

En lo que respecta a sus ataques, NoEscape se mueve principalmente por oportunismo y no por un interés especial en un sector en concreto, algo muy común entre las OCG. En su caso, el sector que más ataques ha recibido es el de “servicios a negocios” – este concentra diversos subsectores como ingeniería, arquitectura e informática, servicios jurídicos, servicios de empleo y gestión de instalaciones. Esta amplitud de sectores es también común en todos las OCG que operan bajo un modelo de RaaS ya que el objetivo lo elige el afiliado que ha comprado el servicio.

Su malware, de igual manera que otros (como BlackBasta) emplea el algoritmo de cifrado ChaCha20, un algoritmo de cifrado de carácter simétrico que utiliza una clave de 256 bits tanto para cifrar como para descifrar. Una funcionalidad destacable del ransomware de NoEscape es que unifica una sola clave para descifrar, lo que hace que sea más fácil cifrar y descifrar los archivos.

A finales de 2023 algunos miembros de NoEscape se unieron a LockBit tras el anuncio de este indicando que buscaban afiliados. Este movimiento de afiliados se produjo en cierta medida tras las denuncias de algunos de ellos, indicando que el grupo había realizado un “exit scam” para quedarse con pagos que debían repartir con estos. De hecho, NoEscape tiene “quejas” en los principales foros de hacking y también está bloqueado/baneado en XSS.is y Exploit.in.