Una banda de ransomware ha intensificado sus ataques a firmas de abogados enviando a veces trabajadores de TI falsos en persona a las oficinas de las víctimas, donde los impostores roban datos directamente de las computadoras de las víctimas usando unidades USB o ayudan a otros miembros de la pandilla a conectarse a las computadoras de forma remota, según Google y el FBI.
El viernes, los equipos de ciberseguridad de Google, Mandiant y Google Threat Intelligence Group, publicaron un nuevo informe acusando a la banda cibercriminal conocida como Silent Ransom Group de intentar robar la información de las víctimas «mediante el acceso físico y en persona» en ataques de enero a mayo de este año dirigidos a «docenas» de víctimas.
«Mandiant ha investigado varios asuntos en los que los adversarios colocaron información privilegiada, sobornaron a empleados o ingresaron físicamente a edificios para facilitar ataques cibernéticos», dijo el director de tecnología de Mandiant, Charles Carmakal, a TechCrunch en un comunicado, y agregó que la compañía también ha visto esta táctica utilizada en otros casos a lo largo de los años.
El mes pasado, el FBI publicó una alerta advirtiendo que Silent Ransom Group había estado atacando firmas de abogados con ingeniería social y ataques de phishing haciéndose pasar por empleados de soporte de TI. Pero en algunos casos, el grupo envió personal de soporte de TI falso a las oficinas de las víctimas, donde se conectaron a las computadoras de los empleados y usaron unidades USB o herramientas de acceso remoto para robar datos como contratos, información personal como números de Seguro Social y registros financieros y fiscales.
Un portavoz del FBI dijo a TechCrunch: «Podemos confirmar que hemos visto múltiples casos de personas que se hacen pasar por soporte de TI y que obtuvieron o intentaron obtener acceso físico en persona a las oficinas y/o dispositivos de las empresas víctimas como parte del plan de Silent Ransom Group para exfiltrar datos».
En lo que ahora es una táctica de extorsión común (que no implica en realidad cifrar los datos de las víctimas como en los ataques tradicionales de ransomware), la pandilla tiene su propio sitio de filtración, donde amenaza a las víctimas con publicar sus datos robados y luego los publica si la víctima no paga.
Contáctenos
¿Tienes más información sobre estas campañas de hacking? ¿U otras violaciones de datos? Nos encantaría saber de usted. Desde un dispositivo y una red que no sean del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram y Keybase @lorenzofb, o por correo electrónico.
Esto sucede a menudo después de que los piratas informáticos envían correos electrónicos a las víctimas directamente para amenazarlas.
«En caso de desconocimiento o falta de acuerdo, notificaremos a sus empleados, socios y clientes, después de lo cual publicaremos sus datos», escribieron los piratas informáticos a una de las víctimas, según Google.
Según el informe de Google, los piratas informáticos también utilizan métodos más tradicionales, como correos electrónicos de phishing, llamadas telefónicas de seguimiento e ingeniería social. Los ciberdelincuentes se hacen pasar por el soporte informático de la empresa para engañar a las víctimas y conseguirles acceso a sus ordenadores.
«Las personas que llaman utilizan una variedad de instrucciones verbales para guiar el comportamiento del objetivo. Con el pretexto de abordar un problema de seguridad o ayudar con un proyecto de migración de datos corporativos, generan confianza y dirigen al objetivo para que se una a una sesión de pantalla compartida», escribieron los investigadores de Google. Luego, los piratas informáticos eluden los controles de seguridad convenciendo a las víctimas de que descarguen y abran aplicaciones para compartir pantalla, o utilizando funciones para compartir pantalla en aplicaciones como Zoom o Microsoft Teams.
Si bien los piratas informáticos la mayoría de las veces roban datos de forma remota a través de malware o ataques de phishing, estos casos muestran que algunos piratas informáticos ahora están dispuestos a llevar sus delitos un paso más allá, mezclando técnicas tradicionales de piratería con intrusiones físicas en lo que es una escalada novedosa y significativa.
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
