Investigadores de Avast han identificado una nueva estafa de extorsión de datos dirigida a empresas, que simula provenir de una ciberbanda de ransomware o extorsión de datos. Los atacantes envían correos electrónicos a empleados de diversas compañías, dirigiéndose a ellos por su nombre completo, y les informan que su empresa ha sufrido una brecha de seguridad y que han robado una gran cantidad de información, incluyendo registros de empleados, datos personales y médicos.
El mensaje presiona al destinatario para que informe a los directivos de su empresa sobre la situación y se comunique con el grupo por correo electrónico para «resolver» el problema. La estafa sugiere que se debe realizar un pago para evitar que los datos sean vendidos a delincuentes. Los remitentes añaden presión al afirmar que forman parte de un grupo de ransomware como «Silent Ransom» o «Lockffit», nombres que podrían confundirse con el conocido grupo de ransomware «Lockbit».
Luis Corrons, Avast Security Evangelist, aconseja a los CISO y departamentos de TI que informen a sus empleados sobre la existencia de este tipo de estafas y les soliciten que comuniquen mensajes de esta índole sin responder a ellos. Además, las empresas deben asegurarse de que su solución de ciberseguridad esté actualizada para bloquear este tipo de estafas. Luis Corrons también comparte consejos para los empleados en caso de que reciban un mensaje de este tipo:
- Que no cunda el pánico. Los atacantes siempre utilizarán el miedo y la sensación de urgencia para obligarnos a tomar decisiones precipitadas.
- Comunícaselo al departamento de tu empresa encargado de la seguridad informática.
- Si tu departamento informático no lo gestiona de forma centralizada, asegúrate de tener actualizada tu solución antimalware. Avast y otras soluciones de protección antivirus puede detectar estas estafas y ocuparse de ellas.
Los indicios apuntan a que esta estafa busca asustar a los responsables de la toma de decisiones en las empresas para que paguen dinero y eviten consecuencias adicionales. Aunque podría tratarse de un mensaje real de un grupo cibercriminal en particular, ciertos detalles sugieren que se trata simplemente de una estafa. Los atacantes se presentan como el «grupo Lockffit», un grupo desconocido que podría ser real o no. En el mensaje, hay algunos errores tipográficos, pero eso por sí solo no significa nada.
La táctica es similar a la que emplean algunos grupos de ransomware para forzar a las víctimas a pagar no solo para recuperar sus datos, sino también para evitar que su información confidencial sea vendida o hecha pública. Sin embargo, en un caso real de ransomware, los delincuentes cifran primero los datos de la víctima, lo que deja claro que han vulnerado la red de la empresa. En este caso, no ofrecen ninguna prueba más allá de tener la dirección de correo electrónico y el nombre del destinatario del mensaje.
Además, se han capturado otros mensajes dirigidos a diferentes organizaciones con el mismo contenido (¡incluyendo los mismos errores tipográficos!), pero cambiando el nombre y la dirección del destinatario, el correo electrónico al que deben escribir, la cantidad de datos robados, el número individual y, a veces, incluso el grupo cibercriminal. Todo apunta a ataques semi-automatizados en los que los delincuentes utilizan una base de datos de direcciones para enviar estos correos electrónicos a una lista de objetivos, con solo algunos cambios, empleando tácticas similares a las utilizadas en los ataques de sextorsión.
Si recibe un mensaje similar, siga estos pasos:
- No entre en pánico. Los atacantes siempre utilizarán el miedo y la sensación de urgencia para forzar la toma de decisiones precipitadas.
- Informe al departamento de seguridad informática de su empresa. No responda al mensaje.
- Si el asunto no lo gestiona de forma centralizada su departamento de TI, asegúrese de tener actualizada su solución antimalware. Avast puede detectar estas estafas y ocuparse de ellas por usted.
No hay más acciones por tomar, ya que no hay malware involucrado y su computadora no está en riesgo. Como medida proactiva, los CISO y los departamentos de TI deben asegurarse de informar a sus empleados sobre la existencia de este tipo de estafas y pedirles que reporten dichos mensajes cuando los reciban, y en ningún caso responder a ellos.
