Un grupo de ransomware recién descubierto ha prescindido del sitio de filtración habitual y, en su lugar, está apuntando a los ejecutivos de las organizaciones víctimas con llamadas telefónicas amenazantes, según Halcyon. El proveedor de ciberseguridad afirmó en una breve publicación de blog esta semana que el grupo «Volcano Demon» ha sido responsable de varios ataques en la última quincena, implementando una nueva variante de ransomware. Apodado «LukaLocker», el ransomware encripta archivos con la extensión .nba. El grupo detrás de él ha hecho un gran esfuerzo para asegurarse de evadir la detección y el análisis. «El ransomware es un binario PE x64 escrito y compilado con C++», explicó el informe. «El ransomware LukaLocker emplea ofuscación de API y resolución dinámica de API para ocultar sus funcionalidades maliciosas, evadiendo la detección, el análisis y la ingeniería inversa». Lea más sobre ransomware: Empresa de logística del Reino Unido obligada a cerrar después de una violación de ransomware Al ejecutarse, el ransomware termina varios servicios y procesos, incluidos la copia de seguridad y la detección de puntos finales, AV, monitoreo del sistema y acceso remoto. “Volcano Demon logró bloquear tanto las estaciones de trabajo como los servidores de Windows después de utilizar credenciales administrativas comunes extraídas de la red. Antes del ataque, los datos se filtraron a los servicios C2 para técnicas de doble extorsión”, continuó Halcyon. “Los registros se borraron antes de la explotación y, en ambos casos, no fue posible realizar una evaluación forense completa debido a su éxito en cubrir sus huellas y las limitadas soluciones de registro y monitoreo de víctimas instaladas antes del evento”. Lo más notable es que el grupo parece no administrar un sitio de filtración de datos, sino que levanta el teléfono para presionar directamente a los “líderes y ejecutivos de TI” en las organizaciones víctimas para que paguen el rescate. “Las llamadas provienen de números de identificación de llamadas no identificados y pueden ser amenazantes en tono y expectativas”, advirtió Halcyon. La nota de rescate también está escrita en un tono inflexible. “Su red corporativa ha sido cifrada. Y eso no es todo: estudiamos y descargamos muchos de sus datos”, se lee. “Si ignora este incidente, nos aseguraremos de que sus datos confidenciales estén ampliamente disponibles para el público. Nos aseguraremos de que sus clientes y socios sepan todo, y los ataques continuarán. Algunos de los datos se venderán a estafadores que atacarán a sus clientes y empleados”. Nuevas tácticas exigen un cambio en la respuesta a incidentes Adam Pilton, consultor senior de ciberseguridad en CyberSmart, dijo que el uso de extorsión basada en teléfono complica los esfuerzos de respuesta a incidentes. “Con una llamada telefónica que proviene de un número desconocido en un momento desconocido en la empresa, la cantidad de variables aumenta, lo que significa que puede necesitar un negociador a mano y disponible en todo momento”, argumentó. “Esto aumenta el costo del servicio de negociador. También significa que el negociador tiene que estar preparado para todas las eventualidades”. Sin embargo, también podría haber nuevas pistas para que las fuerzas del orden sigan, agregó Pilton. “Tradicionalmente, las direcciones IP son muy fáciles de ocultar y, aunque los datos telefónicos pueden ocultarse, la información que el atacante revela es potencialmente mucho más”, dijo. “Aquí habrá datos de voz y posible ruido de fondo, así como los registros de conexión de llamadas”.