Banda de ciberdelincuente está amenazando empresas con falsos ataques de ransomware y filtraciones
Un grupo de ciberdelincuentes se está aprovechando de las filtraciones de datos y los incidentes de ransomware, amenazando a las empresas estadounidenses con publicar o vender datos supuestamente robados a menos que les paguen.
A veces, los ciberdelincuentes agregan la amenaza de un ataque de denegación de servicio distribuido (DDoS) si el destinatario no cumple con las instrucciones del mensaje.
Atacantes
Los atacantes detrás de esta actividad usan el nombre Midnight y comenzaron a atacar empresas en los Estados Unidos desde al menos el 16 de marzo.
También se han hecho pasar por algunas bandas de ransomware y extorsión de datos en correos electrónicos. En dichos correo afirmaron ser los autores de la intrusión, robando cientos de gigabytes de datos importantes.
En un correo electrónico al empleado de un holding en la industria de aditivos de petróleo, el atacante afirmó ser Silent Ransom Group (SRG), una escisión del grupo Conti. Conti es una banda centrada en robar datos y extorsionar a la víctima, también conocida como Luna Moth.
Sin embargo, en el mismo mensaje usó en la línea de asunto el nombre de otra banda, el grupo de ransomware Surtr. Este grupo fue visto por primera vez atacando redes de empresas en diciembre de 2021.
Expertos encontraron otro correo electrónico de Midnight Group. En dicho correo afirmaban que ellos fueron los autores de la infracción de datos y que robaron 600 GB de “datos esenciales” de los servidores.
Los mensajes se enviaron a la dirección de un planificador financiero sénior que había dejado la empresa objetivo más de medio año antes.
Amenaza de DDoS
Un informe de fines de marzo de la división de detección y respuesta administrada de la firma de consultoría de riesgo e investigación corporativa Kroll señala que algunos remitentes de correos electrónicos similares también amenazaron con ataques DDoS.
Los investigadores de Kroll dicen que, a partir del 23 de marzo, las organizaciones comenzaron a presentar una mayor cantidad de informes por correos electrónicos recibidos bajo el nombre de Silent Ransom Group.
Es “una nueva ola de falsos intentos de extorsión”, dicen los expertos de Kroll en el informe. Asimismo, agregan que los atacantes usan los nombres de ciberdelincuentes más conocidos en un intento de intimidar y dar legitimidad a la amenaza.
“Este método es sencillo y fácil de realizar por atacantes poco calificados. Al igual que las estafas de fraude electrónico 419, la estafa se basa en la ingeniería social para extorsionar a las víctimas al presionarlas para que paguen antes de una fecha límite. Esperamos que esta tendencia continúe indefinidamente debido a su rentabilidad y capacidad para seguir generando ingresos para los ciberdelincuentes”
– Kroll
Kroll ha visto este tipo de incidentes desde 2021, aunque dicha actividad comenzó a principios de noviembre de 2019, cuando las víctimas que no pagaban también experimentaron ataques DDoS.
Sin embargo, los ataques eran DDoS de bajo nivel y venían con la amenaza de otros más grandes a menos que se les pagara a los extorsionadores.
Tales incidentes se hacen eco de la actividad de un grupo de extorsión que en 2017 envió amenazas DDoS a miles de empresas bajo los nombres de grupos de hackers infames en ese momento. Por ejemplo, New World Hackers, Lizard Squad, LulzSec, Fancy Bear y Anonymous.
Contactando víctimas de ataques de ransomware
Otro informe de la empresa de respuesta a incidentes Arete confirma las observaciones de Kroll sobre los correos electrónicos fraudulentos de Midnight Group haciéndose pasar por Surtr y SRG. Asimismo, confirmaron que la mayor cantidad de mensajes fueron enviados en las semanas anteriores al 24 de marzo.
Sin embargo, en función de su visibilidad, los que respondieron al incidente observaron que Midnight se dirigía a organizaciones que anteriormente habían sido víctimas de un ataque de ransomware.
Según los analistas de Arete, entre los atacantes iniciales se encuentran QuantumLocker (actualmente rebautizado como DagonLocker), Black Basta y Luna Moth.
Arete dice que al menos 15 de sus clientes actuales y anteriores recibieron amenazas falsas de Midnight Group. Esto respaldaba sus reclamos de robo de datos con detalles vagos.
No está claro cómo se seleccionan las víctimas, pero una posibilidad es de fuentes disponibles públicamente, como el sitio de filtración de datos del atacante inicial, las redes sociales, los informes de noticias o las divulgaciones de la empresa.
Sin embargo, Arete señala que el atacante falso identificó a algunas víctimas de ransomware incluso cuando la información no estaba disponible públicamente. Esto posiblemente indica una colaboración con los intrusos iniciales.
Los atacantes de ransomware a menudo venden los datos que roban de las víctimas, incluso cuando les pagan. Si Midnight Group tiene acceso a los mercados y foros donde se intercambian o venden estos datos, podrían conocer a las víctimas de ransomware que aún no han revelado el ciberataque.
Amenazas “vacías” desde 2019
La estafa de extorsión de Midnight Group no es nueva. La táctica fue observada en 2019 por la empresa de respuesta a incidentes de ransomware Coveware, que la llama Phantom Incident Extortion (PIE).
Coveware explica que el atacante trata de dar credibilidad a la amenaza mediante el uso de datos que son exclusivos del objetivo del destinatario. Además, agrega la presión de un resultado costoso y exige un pago que es mucho menor que el daño de la exposición pública.
Estos tres componentes son los pilares de una “extorsión de incidente fantasma” (PIE) y una clara indicación de una amenaza vacía.
Coveware proporcionó inicialmente cuatro ejemplos de estafas PIE y actualizó el informe recientemente con un correo electrónico de muestra de Midnight Group.
Las tres empresas concuerdan que las amenazas de Midnight Group son parte de una campaña de fraude. El intento de Arete de interactuar con el actor no obtuvo respuesta ni evidencia de datos robados del atacante.
La recomendación es analizar cuidadosamente dichos correos electrónicos para reconocer los componentes de un mensaje de extorsión de incidente fantasma. Posteriormente, descartarlos como una amenaza vacía.