Investigadores de Kaspersky descubrieron un nuevo enfoque adoptado por el grupo Fog Ransomware, quienes, además de hurtar información, están asociando las direcciones IP de sus objetivos con los datos robados, para luego difundirla en la Dark Web. Este desarrollo marca un cambio significativo en las tácticas de extorsión con ransomware, ya que no se limitan a amenazar con filtrar información, sino que también hacen público datos que hacen los ataques más fáciles de identificar y rastrear. Al divulgar las direcciones IP de forma abierta, crean una mayor presión psicológica sobre sus víctimas y elevan el riesgo de que las organizaciones afectadas enfrenten sanciones por parte de reguladores.
El Ransomware como Servicio (RaaS) representa un esquema comercial en el que los creadores de software malicioso alquilan su ransomware y los sistemas de gestión a otros criminales cibernéticos. Fog Ransomware es una organización de este tipo que apareció a inicios de 2024 y ha ganado notoriedad por sus ataques a áreas como la educación, el entretenimiento y el sector financiero. Este grupo opera aprovechando credenciales VPN que han sido vulneradas para ingresar a la información de sus objetivos, la cual es encriptada de inmediato, en ocasiones en menos de dos horas. Los ataques han impactado tanto a plataformas Windows como a Linux.
Previamente, Fog Ransomware utilizaba métodos de doble extorsión, encriptando información y amenazando con hacerla pública para forzar a las víctimas a abonar el pago del rescate. No obstante, su reciente táctica ha ido más allá, al convertirse en el primer grupo de RaaS en revelar abiertamente las direcciones IP y la información sustraída de sus víctimas en la Dark Web tras llevar a cabo el ataque.
Junto con incrementar la presión psicológica, la divulgación de direcciones IP puede facilitar más acciones delictivas en línea, ya que ofrece a actores maliciosos una posible vía de acceso a redes ya comprometidas. Esto podría resultar en agresiones posteriores como el relleno de credenciales o la implementación de botnets contra las entidades que ya han sido afectadas.
Según indica Fabio Assolini, Director del Equipo Global de Investigación y Análisis (GReAT) para América Latina en Kaspersky, “a medida que los operadores de ransomware enfrentan una disminución en los pagos debido a la mejora en las defensas de ciberseguridad y la presión regulatoria, buscan perfeccionar sus métodos de extorsión para mantener su influencia sobre las víctimas”.
“La exposición pública de direcciones IP junto con filtraciones de datos podría aumentar la probabilidad de que las organizaciones cumplan con las demandas de rescate en futuros incidentes. Esta táctica también podría ser una estrategia de marketing basada en el miedo, donde los atacantes muestran su brutalidad para intimidar a futuras víctimas y hacer que paguen rápidamente”, explica.
Para protegerse del ransomware, los expertos de Kaspersky recomiendan a las empresas tomar las siguientes medidas:
- Proporcionar a los trabajadores formación en los principios de la ciberseguridad para mejorar su comprensión de los peligros y enseñarles tácticas eficaces para su prevención.
- Llevar a cabo respaldos regulares de información y sistemas esenciales para reducir el efecto de ataques de ransomware o la pérdida de información ocasionada por infecciones de malware.
- Establecer medidas de seguridad que cuenten con funciones avanzadas para la detección y la prevención de amenazas, con el fin de reconocer y frenar de manera efectiva acciones dañinas, como Kaspersky Next EDR Foundations, que protege a su organización contra el ransomware y otras variantes de malware.
- Obtener acceso continuo a datos sobre Inteligencia de Amenazas es esencial para conseguir información clave que ayude a salvaguardarse de las ciberamenazas, reconocer y anticipar los peligros de manera preventiva, y optimizar la reacción ante incidentes. Kaspersky Threat Intelligence proporciona disponibilidad a toda esta información que ha sido recopilada por el equipo de investigadores y analistas de la compañía.
