El ransomware es uno de los ciberataques más populares, que sigue acumulando víctimas por todo el mundo. El caso del Hospital Clínic ha sido uno de los más sonados de los últimos meses. Sabiendo el temor que genera la posibilidad de ser caer en este tipo de ataque informático, ya hay cibercriminales que están aprovechando para lanzar campañas con el objetivo de hacer creer a sus víctimas de que han sido atacadas por ransomware y extorsionarlas para que paguen. La realidad es que no es más que un timo, pero muy creativo. El fraude del ransomware lo podríamos denominar.
Ha sido el laboratorio de Avast el que ha dado la señal de alerta sobre esta nueva estafa de extorsión que tiene como objetivo a empresas. El fraude está diseñado para que parezca que proviene de un de un grupo cibercriminal especializado en ransomware y es enviado a través de correo electrónico.
Así funciona este fraude
Los atacantes envían un correo electrónico identificándose como parte de un grupo de ransomware como «Silent Ransom» o «Lockffit». Si se lee rápido, el destinatario puede creer que el correo electrónico ha sido enviado por el conocido grupo de ransomware «LockBit». Una de las características más llamativas es que los mensajes están muy dirigidos a empleados concretos de empresas, ya que se dirigen a ellos incluso por su nombre y apellidos.
En el mensaje, los estafadores «informan» al destinatario de que su empresa ha sufrido una brecha de seguridad, en la que ha sido robada una importante cantidad de GB de datos confidenciales.
A partir de ahí, el mensaje sugiere a la víctima a que informe a los directivos de su empresa sobre lo ocurrido, y que se ponga en contacto con los atacantes por email para por ser solucionar el problema. Asimismo, dan a entender que es necesario realizar un pago para que los datos robados no sean vendidos a otros delincuentes.
Los cibercriminales proveen una dirección de correo electrónico para contactarles, advirtiendo de que solamente pueden responder desde el email corporativo y que deben incluir un número de referencia para trazar el caso.
Mientras que las víctimas piensan que se trata de una extorsión real y que efectivamente los atacantes tienen en su poder datos robados, según informan los investigadores de Avast, todo indica que se trata de una estada que intenta asustar a las compañías para que paguen antes de tener más consecuencias.
Concienciación, clave para evitar caer en la trampa
Esta técnica es similar a la que usan algunos grupos de ransomware para forzar a las víctimas a pagar a cambio de que no se revele la información robada de manera pública.
Sin embargo, hay diferencias respecto a un ataque real. En estos, los cibercriminales cifran los datos de la víctima primero, para dejar claro que han vulnerado las redes de la empresa. En este caso, no ofrecen ningún tipo de prueba, más allá de tener la dirección de email y el nombre del receptor del mensaje.
Desde Avast explican también que han capturado mensajes similares hacia diferentes empresas con mensajes prácticamente iguales (la cantidad de datos robada, el número de seguimiento…) lo único que cambia es el nombre del receptor.
En este sentido, Luis Corrons, Avast Security Evangelist, explica que es recomendable que desde las empresas, así como los departamentos de ciberseguridad, IT y los CISO conozcan que se están llevando a cabo estas campañas, y sobre todo, que se informe a los empleados de que existen estas estafas, cómo detectarlas y actuar frente a ellas.
En el caso de recibir un mensaje así, nunca hay que responder. Los empleados deben comunicarlo al departamento de seguridad o IT. La siguiente recomendación es «que no cunda el pánico», explica, «los atacantes siempre utilizarán el miedo y la sensación de urgencia para obligarnos a tomar decisiones precipitadas».