¿Qué está pasando? Los investigadores de seguridad han advertido de que un nuevo grupo de ransomware ha dado un giro inusual al método tradicional de extorsionar dinero a sus víctimas corporativas. Entonces, ¿qué es diferente esta vez? Mientras que muchos ataques de ransomware hacen que los atacantes filtren los datos de la empresa de una empresa y amenazan con vender los datos robados a otros cibercriminales o hacerlos públicos, la banda Volcano Demon… ¿Perdón? ¿Volcano Demon? Sí, ese es el nombre de la banda de ransomware. ¿Puedo continuar? Por supuesto. Adelante. ¿Qué están haciendo? Como decía… el grupo Volcano Demon no parece molestarse en hacer el esfuerzo de crear un sitio en la red oscura para publicar los datos filtrados. En cambio, lleva a cabo sus negociaciones con sus víctimas por teléfono. Vaya. ¿Podría entonces hablar con los atacantes si trabajara en una empresa que fue atacada por un ransomware? Sí, y es mucho más probable que un miembro del personal fuera de su equipo de ciberseguridad se encuentre en la espinosa posición de actuar como negociador, a diferencia de una demanda que llega a través de un correo electrónico o una nota de rescate que dejan los cibercriminales en su red comprometida. ¿Por qué una banda de ransomware haría esto? Te entiendo. En lo que respecta a las técnicas de negociación de rescates, parece absolutamente anticuado tener una conversación por teléfono. En los años 70, era de esperar que alguien que extorsionaba un rescate hiciera sus demandas mediante una llamada telefónica, pero no es así en la era digital, donde la tecnología puede ayudar a ocultar la verdadera identidad y ubicación de un villano. Los investigadores de seguridad de Halcyon, que han informado de que han visto al menos dos ataques exitosos perpetrados por Volcano Demon en la última semana, afirman que las llamadas pueden ser de naturaleza amenazante y proceder de números de identificación de llamadas no identificados. ¿Entonces los datos de la empresa están encriptados por el ransomware? Sí, el grupo de ransomware Volcano Demon encripta los archivos de la red de su empresa con LukaLocker, cambiando las extensiones de archivo a .nba. Así que quieren dinero a cambio de una clave de descifrado. Pero ¿también roban los datos? Me temo que sí. Antes de que los datos se encripten en el ataque, se extraen de las organizaciones. Esto significa que las empresas pueden verse amenazadas con la distribución de sus datos si se niegan a pagar. ¿Cómo cambia las cosas el hecho de que una banda de ransomware te llame por teléfono? Es fácil imaginar cómo una llamada telefónica puede ser más intimidante que un mensaje de correo electrónico. Los informes de los medios indican que las llamadas exigiendo el rescate pueden ser «frecuentes» y que los atacantes tienen un «acento marcado». En esta etapa, no ha sido posible localizar su país de origen. En una situación tradicional de ransomware, normalmente es bastante sencillo para la víctima decidir quién se pondrá en contacto con los atacantes y potencialmente negociar el monto del rescate a pagar. Sin embargo, una llamada telefónica de un atacante puede ocurrir en cualquier momento del día o de la noche y puede ser a cualquiera de los muchos números de teléfono posibles dentro de su organización. Los empleados que trabajan fuera del equipo de ciberseguridad pueden encontrarse inesperadamente hablando con un atacante. Gestionar conversaciones de este tipo es bastante complicado para cualquier empresa; algunas incluso contratan a negociadores profesionales. Pero cuando puede ser cualquier persona en nómina quien recibe la llamada del extorsionador, es mucho más difícil de controlar. Entonces, ¿dijo que las llamadas telefónicas pueden ser intimidantes y amenazantes? Sí. Los cibercriminales no tendrán reparos en hacer amenazas para asegurarse su día de pago. Y la nota de rescate que dejaron los atacantes tampoco se anda con rodeos: «Su red corporativa ha sido cifrada. Y eso no es todo: hemos estudiado y descargado muchos de sus datos». «Si ignora este incidente, nos aseguraremos de que sus datos confidenciales estén ampliamente disponibles para el público. Nos aseguraremos de que sus clientes y socios sepan todo, y los ataques continuarán. Algunos de los datos se venderán a estafadores que atacarán a sus clientes y empleados». Pero, ¿no podrán las autoridades averiguar de dónde proviene la llamada telefónica? Aunque hasta ahora las llamadas han provenido de números de identificación de llamadas no identificados, existe la esperanza de que el uso de llamadas telefónicas por parte de los atacantes en lugar de aprovechar el anonimato de la red oscura finalmente funcione en beneficio de la policía. Nota del editor: Las opiniones expresadas en este artículo de autor invitado son únicamente las del colaborador y no reflejan necesariamente las de Tripwire.