Alerta del FBI y Google sobre grupo de ransomware que envía falsos técnicos de IT

Un nuevo método de ataque ha sido identificado por el FBI y Google, donde un grupo de ransomware conocido como Silent Ransom Group envía falsos técnicos de IT a las oficinas de sus víctimas para robar información. Este método implica el uso de dispositivos USB y herramientas de acceso remoto para obtener datos sensibles.

El informe fue publicado el pasado viernes por las divisiones de ciberseguridad de Google, Mandiant y el Google Threat Intelligence Group, quienes señalaron que desde enero hasta mayo de este año, el grupo ha atacado a "decenas" de víctimas. Estos ataques no solo se limitan a técnicas de phishing, sino que también involucran el acceso físico a las oficinas de las víctimas.

"Mandiant ha investigado varios casos donde los adversarios han plantado informantes, sobornado a empleados o ingresado físicamente a edificios para facilitar ciberataques", comentó Charles Carmakal, CTO de Mandiant, a TechCrunch. Este tipo de táctica se ha utilizado en otros incidentes a lo largo de los años.

En una alerta emitida el mes pasado, el FBI advirtió que el grupo había estado apuntando a firmas legales mediante ataques de ingeniería social y phishing, haciéndose pasar por empleados de soporte técnico. Sin embargo, en algunos casos, los atacantes lograron enviar personal falso de IT a las oficinas, donde conectaron a las computadoras de los empleados y utilizaron dispositivos USB o herramientas de acceso remoto para robar información como contratos y datos personales, incluyendo números de seguro social y registros financieros.

Un portavoz del FBI confirmó que han observado múltiples instancias de individuos que se hacen pasar por técnicos de IT y que han intentado obtener acceso físico a las oficinas y dispositivos de las empresas víctimas como parte del esquema del Silent Ransom Group.

Esta táctica de extorsión es parte de un enfoque que no implica la encriptación de los datos de las víctimas, como en los ataques de ransomware tradicionales. El grupo cuenta con su propio sitio de filtraciones, donde amenaza a las víctimas con publicar los datos robados si no se realiza el pago correspondiente.

El informe de Google detalla que los atacantes también emplean métodos más tradicionales, como correos electrónicos de phishing, llamadas de seguimiento y técnicas de ingeniería social. Los cibercriminales se hacen pasar por el soporte técnico de la empresa para engañar a las víctimas y obtener acceso a sus computadoras.

"Los llamadores utilizan una variedad de instrucciones verbales para guiar el comportamiento del objetivo. Bajo la apariencia de abordar un problema de seguridad o ayudar con un proyecto de migración de datos corporativos, generan confianza y dirigen al objetivo a unirse a una sesión de compartición de pantalla", indicaron los investigadores de Google. Los atacantes luego eluden los controles de seguridad al convencer a las víctimas de descargar y abrir aplicaciones de compartición de pantalla, o utilizando funciones de compartición de pantalla en aplicaciones como Zoom o Microsoft Teams.

Mientras que la mayoría de los atacantes roban datos de manera remota a través de malware o ataques de phishing, estos casos muestran que algunos hackers están dispuestos a llevar sus crímenes un paso más allá, combinando técnicas tradicionales de hacking con intrusiones físicas en un notable y significativo escalamiento.