Equipos de ciberseguridad de Google y el FBI identificaron una tendencia en la actividad del grupo criminal Silent Ransom Group, que envía impostores a las oficinas de las víctimas para sustraer datos.
Equipos de ciberseguridad de Google y el FBI han identificado una tendencia preocupante en la actividad de grupos de ransomware: el envío de falsos empleados de soporte técnico a las oficinas de las víctimas para robar información directamente de los ordenadores.
Según un informe publicado por los equipos de Mandiant y Google Threat Intelligence Group, el grupo criminal conocido como Silent Ransom Group ha intensificado sus ataques, combinando métodos tradicionales de phishing y suplantación con intrusiones físicas desde enero hasta mayo de este año, afectando a decenas de entidades.
El reporte de Google revela que el Silent Ransom Group ha recurrido a la presencia de impostores que se hacen pasar por personal de soporte informático. Estos individuos ingresan a las oficinas, conectan dispositivos USB a los ordenadores de los empleados o ayudan a otros miembros del grupo a establecer conexiones remotas para extraer información confidencial. Los datos robados incluyen contratos, números de la Seguridad Social y registros financieros y fiscales.
Un portavoz del FBI confirmó a TechCrunch que existen múltiples casos en los que personas han logrado, o intentado, obtener acceso físico a las oficinas y dispositivos de las compañías objetivo bajo la apariencia de personal técnico. Esta modalidad representa una escalada significativa respecto a los ataques tradicionales, donde los delincuentes rara vez acudían personalmente a los lugares afectados.
A diferencia de los ataques clásicos de ransomware, el Silent Ransom Group no siempre cifra la información de las víctimas. En cambio, utiliza un sitio web propio para amenazar con publicar los datos sustraídos si no reciben un pago. Los hackers primero contactan directamente a las víctimas a través de correo electrónico para exigir el rescate. “En caso de ignorancia o falta de acuerdo, notificaremos a sus empleados, socios y clientes, tras lo cual publicaremos sus datos”, escribieron a una de las empresas afectadas, según el informe de Google.
El informe detalla que el grupo utiliza además métodos más convencionales, como correos de phishing, llamadas telefónicas de seguimiento y técnicas de ingeniería social para acceder a los sistemas. Los ciberdelincuentes se hacen pasar por el equipo de soporte informático de la compañía, convenciendo a los empleados de participar en sesiones de compartición de pantalla o de instalar aplicaciones bajo el pretexto de resolver problemas de seguridad o participar en supuestos proyectos de migración de datos.
El jefe de tecnología de Mandiant, Charles Carmakal, explicó a TechCrunch que han investigado casos donde los atacantes han plantado infiltrados, sobornado empleados o ingresado físicamente a edificios para facilitar ataques cibernéticos.
El FBI y Google recomiendan a las empresas reforzar sus protocolos de verificación de personal y sensibilizar a sus empleados sobre estos nuevos métodos de ataque, que combinan la manipulación digital con la intrusión presencial para acceder a información crítica.