Investigadores de Kaspersky identificaron una nueva táctica del grupo Fog Ransomware, conocido por atacar diversas industrias. Ahora, además de robar datos, están vinculando las direcciones IP de sus víctimas con la información sustraída para publicarla posteriormente en la Dark Web. Esto representa un cambio en las estrategias de extorsión con ransomware, ya que no solo amenazan con filtrar datos, sino que también exponen información que hace que los ataques sean más evidentes y rastreables. Al revelar públicamente las direcciones IP, generan una mayor presión psicológica sobre las víctimas y aumentan el riesgo de que las organizaciones afectadas enfrenten sanciones regulatorias.
El Ransomware como Servicio (RaaS) es un modelo de negocio en el que los desarrolladores de malware arriendan su ransomware y la infraestructura de control a otros ciberdelincuentes. Fog Ransomware es un grupo de este tipo que surgió a principios de 2024 y que se ha hecho conocido por sus ataques a sectores como educación, recreación y finanzas. El grupo actúa explotando credenciales de VPN comprometidas para acceder a los datos de sus víctimas, que luego son cifrados rápidamente, en algunos casos en menos de dos horas. Los ataques han afectado tanto a sistemas Windows como Linux.
Anteriormente, Fog Ransomware empleaba tácticas de doble extorsión, cifrando los datos y amenazando con su exposición pública para presionar a las víctimas a pagar el rescate. Sin embargo, su nueva estrategia va aún más lejos, convirtiéndose en el primer grupo de RaaS en exponer públicamente las direcciones IP y los datos robados de sus víctimas en la Dark Web después del ataque.
Además de aumentar la presión psicológica, la exposición de las direcciones IP puede facilitar actividades cibercriminales adicionales, ya que proporciona a actores de amenazas externos un posible punto de entrada a las redes comprometidas. Esto podría derivar en ataques posteriores como credential stuffing (relleno de credenciales) o el uso de botnets contra las organizaciones ya vulneradas.
“A medida que los operadores de ransomware enfrentan una disminución en los pagos debido a la mejora en las defensas de ciberseguridad y la presión regulatoria, buscan perfeccionar sus métodos de extorsión para mantener su influencia sobre las víctimas”, asegura Fabio Assolini, Director del Equipo Global de Investigación y Análisis (GReAT) para América Latina en Kaspersky. “La exposición pública de direcciones IP junto con filtraciones de datos podría aumentar la probabilidad de que las organizaciones cumplan con las demandas de rescate en futuros incidentes. Esta táctica también podría ser una estrategia de marketing basada en el miedo, donde los atacantes muestran su brutalidad para intimidar a futuras víctimas y hacer que paguen rápidamente”.
Para que las empresas puedan protegerse del ransomware, los expertos de Kaspersky recomiendan:
- Capacitar a los empleados con cursos sobre los fundamentos de la ciberseguridad para aumentar su conciencia sobre amenazas y enseñarles estrategias efectivas de mitigación.
- Realizar copias de seguridad periódicas de datos y sistemas críticos para minimizar el impacto de los ataques de ransomware o la pérdida de datos resultante de infecciones de malware.
- Implementar soluciones de seguridad equipadas con capacidades avanzadas de detección y prevención de amenazas para identificar y detener eficazmente actividades maliciosas como Kaspersky Next EDR Foundations que mantiene a su empresa a salvo del ransomware y de otros tipos de malware.
- Acceder constantemente a información de Inteligencia de Amenazas necesaria para obtener información crítica que le permita protegerse de las ciberamenazas, identificar y prevenir los riesgos en forma proactiva y mejorar la respuesta a incidentes. Kaspersky Threat Intelligence brinda acceso a toda esta información recopilada por nuestro equipo líder de investigadores y analistas.
