Un equipo de ciberdelincuentes se hace pasar por conocidas bandas de ransomware para extorsionar a empresas estadounidenses.
Desde marzo, el grupo, conocido como Midnight, se ha hecho pasar por otras pandillas en correos electrónicos enviados a empresas estadounidenses, indicándoles que paguen o que se filtren sus datos.
Sin embargo, las amenazas están completamente vacías, ya que no se utilizan herramientas de malware para cifrar o robar datos. En el peor de los casos, el grupo instigará ataques DDoS para dar la impresión de que se está produciendo un ataque más grave, pero los terminales de las empresas permanecerán seguros en todo momento.
Orando sobre los miedos
El grupo espera aprovechar los éxitos recientes de varios grupos de ransomware, donde las grandes empresas han incurrido en graves filtraciones de datos en sus manos, con el objetivo de asustar a otras empresas para que tosan ciegamente por temor a convertirse en la última víctima.
En un caso, se ha visto al grupo haciéndose pasar por Silent Ransom Group, una pandilla de robo de datos que se ha dirigido a grandes organizaciones como fabricantes de armas, compañías de software e incluso un equipo de la NBA.
Sin embargo, en el mismo correo electrónico, también dijeron que eran el grupo Surtr, conocido por la herramienta Ransomware as a service (RaaS) del mismo nombre, cuyos desarrolladores pueden haber pertenecido alguna vez al grupo de ransomware REvil que fue eliminado por la policía. el año pasado, pero desde entonces ha regresado.
En otro correo electrónico a otra empresa, Midnight afirmó que habían robado 600 gigabytes (GB) de datos y nuevamente exigieron un rescate. Sin embargo, enviaron el correo electrónico a un socio mayoritario que había dejado la empresa hacía más de seis meses.
Los investigadores de los consultores de riesgo Kroll encontraron un marcado aumento en la cantidad de correos electrónicos que las empresas recibían supuestamente de SRG.
«Este método es barato y fácil de realizar por atacantes poco calificados… La estafa se basa en la ingeniería social para extorsionar a las víctimas al presionarlas para que paguen antes de una fecha límite», dijeron.
Agregaron que «esperamos que esta tendencia continúe indefinidamente debido a su rentabilidad y capacidad para continuar generando ingresos para los ciberdelincuentes».
Los investigadores de Kroll señalaron que estos correos electrónicos falsos han estado ocurriendo desde 2019, al igual que los ataques DDoS que se producen cuando las empresas se niegan a pagar un rescate.
La firma de respuesta a incidentes Arete agregó que Midnight parecía estar persiguiendo a las empresas que ya habían sufrido un ataque real de ransomware, y que sus correos electrónicos de rescate contenían alusiones a los ataques reales para reforzar su autenticidad.
En algunos casos, Arete descubrió que Midnight se dirigió a víctimas no reveladas de ataques reales, lo que podría indicar que el grupo está en connivencia con pandillas de ransomware genuinas. También es posible que hayan obtenido esta información de foros ilícitos donde las pandillas discuten y publican sobre sus ataques y víctimas.
El consejo para las empresas es analizar cuidadosamente la veracidad de los correos electrónicos de extorsión de incidentes fantasma (PIE) recibidos y descartarlos si parecen algo menos que los reales, ya que, en ese caso, lo más probable es que sean intentos de phishing.