Varias organizaciones que han caído víctimas de las implacables bandas de ransomware Royal y Akira han enfrentado un nuevo tipo de amenaza. Un individuo malintencionado se ha infiltrado en la escena haciéndose pasar por un investigador de seguridad, ofreciendo una solución que promete eliminar los datos robados de las víctimas y hackear al atacante original.
Ambas bandas de ransomware, Royal y Akira, han empleado la táctica de "doble extorsión". Esto implica que, después de robar información confidencial, cifran los sistemas de las víctimas y amenazan con filtrar esos datos a menos que se pague un rescate considerable.
Una empresa especializada en ciberseguridad, ha llevado a cabo investigaciones exhaustivas en varios casos donde un actor de amenazas se ha acercado a las víctimas de estos dos grupos de ransomware que ya habían pagado un rescate. El estafador se ha presentado como un hacker ético o un investigador de seguridad con un profundo conocimiento en el campo.
Te podrá interesar leer: Evita el Pago de Ransomware: Riesgos del Rescate
Este impostor ha ofrecido proporcionar pruebas de acceso a los datos robados que aún permanecen en los servidores del atacante y ha afirmado que podría eliminarlos a cambio de una tarifa que oscila en torno a cinco Bitcoins, equivalente a aproximadamente 190,000 dólares en ese momento.
El informe de la firma de ciberseguridad detalla dos incidentes ocurridos en octubre y noviembre de 2023, en los cuales el ciberdelincuente se ha puesto en contacto con organizaciones previamente afectadas por el ransomware Royal y Akira.
En el primer caso, el estafador se hizo pasar por el 'Ethical Side Group' (ESG) y atribuyó inicialmente de manera incorrecta el ataque a la banda 'TommyLeaks', para luego cambiar su narrativa y afirmar que tenía acceso al servidor de Royal. Cabe mencionar que esta víctima había mantenido negociaciones con el actor del ransomware un año antes, en 2022.
En el segundo incidente, el estafador utilizó el apodo 'xanonymoux' y ofreció eliminar archivos en los servidores de Akira o proporcionar acceso al servidor del actor. Sin embargo, semanas antes de esta oferta de pirateo, Akira había afirmado que no había exfiltrado ningún dato y que su ataque se limitó a cifrar los sistemas vulnerados.
Métodos empleados por el impostor
Según los informes, la comunicación inicial a través de una plataforma de mensajería instantánea consistió en diez frases comunes, y el mismo método se utilizó para proporcionar pruebas de acceso a los datos robados en ambos casos. Esto sugiere que un único individuo podría estar detrás de ambas instancias.
Los ataques de ransomware presentan un entramado de desafíos complejos para las víctimas, que trascienden la crisis inmediata de datos cifrados y sustracción, dejando un impacto a largo plazo. Estos intentos de estafa ponen de relieve otra dimensión del problema de múltiples capas y añaden riesgos adicionales que pueden agravar la carga financiera de las víctimas del ransomware.
Podría interesarte: Detección de Ataques de Ransomware con Wazuh
Riesgos de las Ofertas de "Contraataque"
- Más Malware: Al contactar a estos supuestos "hackers", las víctimas corren el riesgo de infectarse con más malware.
- Pérdida Financiera: Estos estafadores suelen pedir pagos por adelantado, lo que significa una pérdida financiera adicional para las víctimas.
- Información Comprometida: Al compartir información con estos estafadores, las víctimas pueden exponer datos sensibles.
¿Cómo Protegerse?
- Educación en Ciberseguridad: Estar informado sobre las prácticas comunes de ransomware y estafas relacionadas es el primer paso para la prevención.
- Backup Regular de Datos: Mantener copias de seguridad regulares de los datos importantes puede minimizar el daño en caso de un ataque de ransomware.
- Uso de Software de Seguridad Reputado: Instalar y actualizar regularmente soluciones de seguridad de confianza puede ayudar a prevenir ataques.
- Desconfiar de Soluciones Milagrosas: Ser escéptico ante ofertas que parecen demasiado buenas para ser verdad es vital.
Podría interesarte: Ciberseguridad: Una inversión inteligente para el futuro digital
Consejos para Empresas
Las empresas, en particular, deben adoptar medidas proactivas, como:
- Formación de Empleados: Educar al personal sobre las amenazas de seguridad cibernética.
- Políticas de Seguridad Estrictas: Implementar políticas que regulen el acceso a información sensible.
- Respuesta a Incidentes: Tener un plan de respuesta ante incidentes de ciberseguridad.
En conclusión, mientras el ransomware continúa siendo una amenaza considerable, las víctimas deben estar alerta ante estafas que prometen un "contraataque". La prevención, la educación y la prudencia son herramientas clave en la lucha contra estas amenazas cibernéticas.