Suscríbase a nuestros boletines diarios y semanales para recibir las últimas actualizaciones y contenido exclusivo sobre la cobertura de inteligencia artificial líder en la industria. Más información
Publicar datos confidenciales sobre los miembros de la familia de los ejecutivos. Realizar llamadas de broma a las fuerzas del orden que resultan en violencia e incluso muerte. Delatar a organizaciones que no pagan. Examinar datos robados en busca de pruebas de irregularidades de la empresa o de los empleados. Presentarse como justicieros que tienen en mente el bien público.
Los actores de ransomware están intensificando sus tácticas a nuevas alturas, a menudo inquietantes, según Nueva investigación de Operaciones X de Sophos.
Christopher Budd, director de inteligencia sobre amenazas del Grupo de Trabajo Conjunto de Respuesta a Amenazas, incluso calificó algunas de sus acciones de “escalofriantes”.
“Una cosa está clara: los atacantes no solo buscan palancas técnicas que puedan utilizar, sino también palancas humanas que puedan utilizar”, dijo Budd a VentureBeat. “Las organizaciones tienen que pensar en cómo los atacantes intentan manipular estas palancas humanas”.
Amenazas, búsqueda de irregularidades, alerta a las autoridades
El ejemplo más “escalofriante” identificado por Budd involucró a un grupo de ransomware que doxeó a la hija de un director ejecutivo, publicando capturas de pantalla de sus documentos de identidad, así como un enlace a su perfil de Instagram.
“Eso huele a mafia de la vieja escuela, que persigue a las familias de la gente”, dijo Budd.
En última instancia, los actores de amenazas se sienten “cada vez más cómodos” filtrando otros datos extremadamente sensibles, como registros médicos (incluidos los de niños), datos de análisis de sangre e incluso imágenes de desnudos.
También es alarmante que estén utilizando llamadas telefónicas y swatting, es decir, haciendo llamadas falsas denunciando violencia o tiradores abiertos en una dirección determinada. Esto ha dado como resultado Al menos una muerte y lesión grave.
En otro cambio, los atacantes ya no solo bloquean datos o llevan a cabo ataques de denegación de servicio, sino que “roban los datos y ahora los analizan para ver qué pueden encontrar”, dijo Budd. Por ejemplo, muchos afirman que evalúan los datos robados en busca de evidencia de actividad ilegal, incumplimiento normativo y malas prácticas o discrepancias financieras.
Un grupo, los Hombres Lobo, afirmó en su sitio de filtraciones que someten los datos robados a “una evaluación legal penal, una evaluación comercial y una evaluación en términos de información privilegiada para los competidores”. Como medio para promover esos esfuerzos, Sophos X-Ops descubrió que al menos un actor de amenazas busca reclutas que puedan encontrar ejemplos de irregularidades para utilizar como palanca para la extorsión. Un anuncio en un foro criminal buscaba a alguien que buscara “infracciones”, “gastos inapropiados”, “discrepancias” y “cooperación con empresas en listas de sanciones”.
La banda también ofreció este consejo: “Lea sus correos electrónicos y busque palabras clave como ‘confidencial’”.
En un caso “particularmente inquietante”, un grupo que se identificó como Monti afirmó que un empleado de una organización comprometida estaba buscando material de abuso sexual infantil mientras estaba trabajando. Amenazaron: “Si no pagan, nos veremos obligados a entregar la información sobre el abuso a las autoridades y a divulgar el resto de la información al público”.
Curiosamente, los atacantes también le dan la vuelta a la tortilla a las organizaciones objetivo denunciándolas a la policía o a los organismos reguladores cuando no pagan. Este fue el caso en noviembre de 2023, cuando una banda publicó una captura de pantalla de una denuncia que presentó ante la Comisión de Bolsa y Valores (SEC) contra una empresa de préstamos digitales que cotiza en bolsa. Enlace meridianoSegún una nueva norma, todas las empresas que cotizan en bolsa deben presentar declaraciones a la SEC dentro de los cuatro días siguientes a tener conocimiento de un incidente de seguridad que podría tener un impacto “material”.
“Puede parecer un tanto irónico que los actores de amenazas estén utilizando la legislación como arma para lograr sus propios objetivos ilegales”, escriben los investigadores de X-Ops, “y no está claro hasta qué punto esta táctica ha tenido éxito”.
Se presentan como simpatizantes
Para hacerse pasar por personas de base o altruistas (y ejercer más presión), algunos cibercriminales también están animando a las víctimas cuya información personal identificable (PII) se ha filtrado a “participar en litigios”. También critican abiertamente a sus víctimas como “poco éticas”, “irresponsables”, “indiferentes” o “negligentes”, e incluso intentan “dar la vuelta a la situación” al referirse a sí mismos como “evaluadores honestos de penetración” o un “servicio de pruebas de penetración” que realiza estudios o auditorías de ciberseguridad.
Para ir un paso más allá, los atacantes nombrarán a personas y ejecutivos específicos que, según ellos, son “responsables de la fuga de datos”. Los investigadores de Sophos X-Ops señalan que esto puede servir como “pararrayos” para culpar a alguien, causar daño a la reputación y “amenazar e intimidar” a los líderes.
Los investigadores a menudo señalan que estas críticas continúan después de que las negociaciones han fracasado y las víctimas no entregan los fondos.
Por último, las bandas de ransomware no se esconden del mundo en sótanos oscuros o almacenes abandonados (como dice el cliché): cada vez más, buscan la atención de los medios, fomentando su alcance, promocionando coberturas recientes e incluso ofreciendo páginas de preguntas frecuentes y comunicados de prensa.
Anteriormente, “la idea de que los atacantes publicaran regularmente comunicados de prensa y declaraciones, y mucho menos que dieran entrevistas detalladas y discutieran con los periodistas, era absurda”, dijeron los investigadores de Sophos X-Ops. escribió en un informe A finales del año pasado.
Empresas: Estén muy alertas
Pero ¿por qué los actores amenazantes toman medidas tan drásticas?
“Sinceramente, sólo para ver si trabajan para que les paguen”, dijo Budd. “En definitiva, eso es lo que importa. Los cibercriminales son gente de negocios y quieren su dinero”.
Son “agresivamente innovadores” y están siguiendo estos caminos para aumentar la presión para obtener pagos significativos, señaló.
Para las empresas, esto significa estar siempre alerta, dijo Budd. “Básicamente, se aplican las pautas estándar sobre ransomware”, dijo. Esto significa mantener los sistemas actualizados y parcheados, ejecutar un software de seguridad sólido, garantizar que los sistemas tengan copias de seguridad y tener un plan de recuperación ante desastres/continuidad comercial en funcionamiento.
Señaló que “verán que algunos riesgos que ya les preocupaban y que gestionaban ahora tienen un componente de ciberseguridad relacionado con el ransomware”. Esto incluye el espionaje corporativo, que siempre ha existido como riesgo.
Budd también advirtió sobre el riesgo constante de mal comportamiento de los empleados, que, como en el caso del trabajador que buscaba material de abuso sexual infantil, ahora tiene un elemento de ciberseguridad.
En pocas palabras, enfatizó que las empresas “pueden y deben hacer todo lo que hemos estado diciendo que deberían hacer para protegerse contra el ransomware”.