Google y el FBI advierten sobre bandas de ransomware que envían empleados de TI falsos para piratear a las víctimas directamente

Según Google y el FBI, las bandas de ransomware a veces han intensificado los ataques a bufetes de abogados enviando empleados de TI falsos directamente a las oficinas de las víctimas, donde los impostores usan unidades USB para robar datos directamente de las computadoras de las víctimas o ayudar a otros miembros de la pandilla a conectarse a las computadoras de forma remota.

El viernes, el equipo de ciberseguridad de Google, Mandiant, y Google Threat Intelligence Group publicaron un nuevo informe acusando a una organización cibercriminal conocida como Silent Ransom Group de intentar robar información de «docenas» de víctimas «utilizando acceso físico en persona» en ataques entre enero y mayo de este año.

«Mandiant ha investigado una variedad de problemas en los que los adversarios engañan a personas privilegiadas, sobornan a los empleados y se infiltran físicamente en edificios para facilitar los ataques cibernéticos», dijo a TechCrunch el director de tecnología de Mandiant, Charles Karmakar, en un comunicado, y agregó que la compañía ha visto esta táctica utilizada en otros casos a lo largo de los años.

El mes pasado, el FBI emitió una alerta advirtiendo que grupos silenciosos de rescate estaban apuntando a firmas de abogados con ingeniería social y ataques de phishing haciéndose pasar por empleados de soporte de TI. Sin embargo, en algunos casos, el grupo envió personal de soporte de TI falso a las oficinas de las víctimas, donde se conectaron a las computadoras de los empleados y usaron unidades USB y herramientas de acceso remoto para robar datos como contratos, información personal como números de Seguro Social y registros financieros y fiscales.

Un portavoz del FBI dijo a TechCrunch: «Podemos confirmar múltiples casos en los que personas que se hacen pasar por soporte de TI han accedido físicamente directamente o han intentado acceder a las oficinas y dispositivos de las empresas víctimas como parte del plan de un grupo de rescate silencioso para exfiltrar datos».

Aunque las tácticas de extorsión comunes actuales en realidad no cifran los datos de la víctima como en los ataques tradicionales de ransomware, la pandilla tiene su propio sitio de filtración donde amenaza a las víctimas con publicar sus datos robados y lo hará si la víctima no paga.

Esto suele suceder después de que el hacker envía un correo electrónico directo a la víctima y la chantajea.

Google dijo que los piratas informáticos enviaron una carta a una de sus víctimas diciendo: «En ausencia de ignorancia o consentimiento, notificaremos a nuestros empleados, socios y clientes y luego divulgaremos los datos».

El informe de Google dice que los piratas informáticos también utilizaron métodos más tradicionales, incluidos correos electrónicos de phishing, llamadas telefónicas de seguimiento e ingeniería social. Los ciberdelincuentes se hacen pasar por soporte de TI corporativo para engañar a las víctimas y permitirles acceder a sus computadoras.

«La persona que llama utiliza una variedad de comandos verbales para inducir el comportamiento del objetivo, generando confianza y atrayendo al objetivo a participar en una sesión de pantalla compartida con el pretexto de abordar un problema de seguridad o ayudar a la empresa con un proyecto de migración de datos», escribieron los investigadores de Google. Luego, los piratas informáticos eluden los controles de seguridad convenciendo a las víctimas de que descarguen y abran una aplicación para compartir pantalla o utilizando funciones para compartir pantalla en aplicaciones como Zoom o Microsoft Teams.

Aunque los piratas informáticos suelen robar datos de forma remota mediante malware o ataques de phishing, estos casos muestran que algunos piratas informáticos están llevando sus delitos un paso más allá, combinando técnicas de piratería tradicionales con intrusión física para crear una escalada sin precedentes.