El correo electrónico definitivamente no será enterrado el papel. A finales de febrero, las organizaciones de salud estadounidenses comenzaron a recibir solicitudes de extorsión por correo, diciendo que algunos de sus datos habían sido robados durante un ataque de ransomware y les dieron diez días para responder. Las cartas, impresas en papel, contienen un código QR que detalla el procedimiento para pagar el rescate y se entregan en los sobres que se supone que provienen del grupo de ransomware de Bianlian. Las letras advierten que los datos se divulgarían a menos que se establezca un rescate entre $ 250-350,000 en bitcoins. Buenas noticias, sin embargo: estas presuntas violaciones en realidad nunca han sucedido. Dos proveedores de soluciones de seguridad que estudiaron las cartas, Arctic Wolf y Guidepoint Security, ahora piensan que toda la campaña para enviar cartas es una astucia de alguien que finge ser bianlian, uno de los grupos maliciosos más formidables en el sector de ransomware, e intenta aprovecharlo.

Dirigido a las organizaciones de salud, este extraño incidente recuerda que el ransomware es hoy el resultado de dos sectores de actividades: uno, más importante, lo que lidera los ataques graves que todos escuchan, y el otro, mucho más pequeño y menos publicitado, lo que trata de usurpar su identidad. Pero, ¿cómo pueden las empresas distinguir un ataque real y amenazante de otro simulado completamente simulado? A juzgar por los ejemplos publicados, no es fácil, al menos para no expertos. Debido a que las cartas usaban el caché de la oficina de correos de Boston y una dirección de regreso en el centro de la ciudad, los enlaces a los sitios de Tor filtran los sitios asociados con Bianlian y, en dos casos, un ejemplo de lo que se suponía que era una contraseña comprometida. "No somos un grupo de motivación política y no queremos nada más que dinero. Nuestra industria solo funciona si respetamos nuestra cuota de mercado", dijeron los atacantes En una carta analizada por GuidePoint Security. "Si sigue nuestras instrucciones y paga toda la cantidad solicitada a tiempo, todos sus datos comerciales se destruirán definitivamente y ninguno de ellos nunca se publicará.» »

Índice
  1. El sabor y el olor del phishing
  2. Extorsión fantasma
  3. Defensas para desarrollar

El sabor y el olor del phishing

El simple hecho de que los atacantes usan una carta para comunicarse es una indicación de que algo está mal. No hay rastro de esta táctica previamente desplegada por grupos de ransomware organizados como Bianlian, por una buena razón: el envío de solicitudes por publicación es incierto y muy lento. Las letras enviadas a varias compañías también fueron idénticas entre sí, señaló el Wolf Arctic, con la excepción de pequeñas variaciones que adaptaban el texto a cada destinatario. Es la misma táctica que la utilizada en ataques aleatorios por correo electrónico y esto huele a oportunismo. También se negaron a negociar y no proponían ningún canal para hacerlo. En el medio del ransomware, casi nunca se ve.

Dicho esto, enviar solicitudes por carta presenta una característica útil: no serán filtrados por sistemas spam, lo que les da más probabilidades de ser leídos por alguien. Es una forma de ingeniería social en la que, si solo una compañía cae en el letrero de más de mil letras, la ganancia vale la pena. Si las tarjetas de crédito robadas se utilizan para pagar las tarifas de franqueo, estas son probablemente baratas, o incluso gratuitas, las cartas enviadas por servicios de impresión por correo que las transmiten al servicio postal de los Estados Unidos.

Extorsión fantasma

El robo de identidad de Ransomware no es nuevo. En 2019, las compañías estadounidenses habrían recibido correos electrónicos que presentan el mismo modo operativo que las cartas recientes: "Pague ahora porque tenemos sus datos". En realidad, tales campañas son probablemente comunes, pero se consideran trucos obvios y rara vez son objeto de un informe. Sin embargo, en 2023, las tácticas evolucionaron hacia algo más sofisticado, con una campaña separada que respalda sus falsas amenazas al unir los restos de datos auténticos de la investigación sobre la web oscura. Esto plantea una posibilidad inquietante: la organización fue víctima de una intrusión, pero el grupo que lo amenaza no es el autor del ataque.

La pregunta subyacente es cómo las empresas deben defenderse concretamente contra una nueva táctica de fraude. "Es poco probable que los ataques de este tipo tengan éxito en la mayoría de los casos, pero es suficiente que un pequeño número de víctimas cae en el panel para que los autores del ataque ganen mucho dinero", explica Graham Cluley, un experto en ciberseguridad.

Defensas para desarrollar

La primera línea de defensa contra este tipo de ataque es simplemente desarrollar un proceso para lidiar con él. Los incidentes de este tipo deben informarse internamente para crear conciencia sobre las técnicas de los delincuentes. Al mismo tiempo, cualquier amenaza de rescate debe informarse al equipo de TI, así como a las compañías de seguridad que apoyan a la organización. Los atacantes generalmente incluyen evidencia de que los datos han sido exfiltrados en forma de datos auténticos. Sin embargo, las organizaciones deben tener cuidado de no quedarse atrapados: "Estos protocolos incluyen la verificación de la autenticidad de cualquier solicitud de rescate. Es importante determinar si estos datos podrían ser robados durante una violación previa de datos o si se recopilaban de una tercera fuente diferente", continúa el Sr. Cluley, también enfatiza la necesidad de que las empresas tengan un plan de intervención para evaluar la posibilidad de una violación de una violación con el colaboración con la policía y la justicia. "Su plan debe proporcionar el nombramiento de un miembro del personal responsable de coordinar las comunicaciones con cualquier posible Extorter y garantizar que todos los servicios en cuestión estén involucrados en decisiones importantes. Asegúrese de colaborar con la policía. Si ha recibido una carta de solicitud de rescate falso, existe una buena posibilidad de que otras compañías también lo hayan recibido", advierte el Sr. Cluley.

Las solicitudes de Rançon siempre están diseñadas para sorprender, acordó John Shier, RSSI en el editor de Sophos Security Solutions. El envío de una solicitud de rescate por carta es inusual, pero puede ser el objetivo buscado. "Los equipos deben crear conciencia sobre esta nueva estafa. Si una empresa recibe una carta, no debe entrar en pánico, pero aún debe investigar para averiguar si se basa la solicitud", dijo. "Por lo menos, las empresas deben examinar los registros de la red para detectar cualquier acceso no autorizado y transferencias de datos significativas que no correspondan a los patrones normales. Aunque parece que las letras son falsas, es necesario llevar a cabo verificaciones básicas para excluir una violación de datos", agregó.