Un enfoque inusual que podría ser su caída
Un nuevo grupo de ransomware, conocido como Volcano Demon, ha abandonado las tácticas tradicionales de filtración de datos en favor de llamadas telefónicas directas a sus víctimas para presionarlas a pagar el rescate. Este enfoque innovador podría proporcionar a las fuerzas del orden la información adicional que necesitan para rastrear y capturar a los delincuentes.
En las últimas dos semanas, Volcano Demon ha llevado a cabo con éxito dos ataques cibernéticos, utilizando tácticas novedosas para asegurar que sus víctimas paguen el rescate. Investigadores de la firma de seguridad Halcyon publicaron un informe el 1 de julio detallando las técnicas y procedimientos empleados por el grupo en sus primeras actividades.
Detalles del ataque
El análisis se centró en una muestra del cifrador utilizado por el grupo, conocido como LukaLocker, que se observó cifrando archivos de las víctimas con la extensión .nba. Los investigadores también encontraron una versión de LukaLocker para Linux en la red de la víctima. Utilizando credenciales administrativas obtenidas de la red, Volcano Demon pudo bloquear estaciones de trabajo y servidores Windows, exfiltrando datos antes del ataque a un servidor C2, presumiblemente con fines de doble extorsión.
Extorsión telefónica
Halcyon destacó que, en ambos ataques, el grupo prescindió del uso de un sitio dedicado a la filtración de datos, optando en su lugar por llamar a las víctimas para negociar el pago del rescate. Durante las llamadas, realizadas desde números de identificación desconocidos, los atacantes utilizan un tono amenazante.
Adam Pilton, consultor senior de ciberseguridad en CyberSmart, comentó que este enfoque complica considerablemente las negociaciones de rescate, un proceso que se está volviendo cada vez más común. “La idea de usar una llamada telefónica y hablar directamente con el atacante hace que la respuesta de la víctima sea mucho más complicada”, explicó Pilton.
Impacto en las negociaciones
Pilton agregó que los negociadores de rescates tendrán que adaptarse a este medio relativamente nuevo para el cibercrimen. La posibilidad de que los atacantes llamen en cualquier momento añade una tensión adicional a las víctimas, quienes necesitarán tener un negociador disponible en todo momento.
“Los negociadores se han familiarizado con el proceso de responder por escrito, lo que les permite construir su respuesta cuidadosamente”, dijo Pilton. “Sin embargo, con una llamada telefónica desde un número desconocido en cualquier momento, el número de variables aumenta, lo que significa que se puede necesitar un negociador disponible en todo momento”.
Oportunidades para las fuerzas del orden
Pilton señaló un pequeño aspecto positivo en este desarrollo: las llamadas telefónicas son más difíciles de enmascarar que las direcciones IP, lo que proporciona a las fuerzas del orden más información para identificar y capturar a los culpables. “Aunque los datos telefónicos pueden ser ocultados, la información que el atacante proporciona durante una llamada es potencialmente mucho más reveladora, incluyendo datos de voz y ruidos de fondo”, comentó Pilton.
Este nuevo enfoque en las tácticas de ransomware podría marcar una nueva fase en los ataques de ransomware, impactando no solo a las aseguradoras, sino también a quienes defienden contra tales ataques.
El uso de llamadas telefónicas por parte de Volcano Demon para extorsionar a sus víctimas presenta un nuevo desafío para las organizaciones y los negociadores de rescates. Sin embargo, también ofrece una oportunidad para que las fuerzas del orden obtengan información valiosa que podría llevar a la captura de los responsables. Manténgase al tanto de las últimas noticias y estrategias en ciberseguridad para proteger a su empresa de estas y otras amenazas emergentes.