Los investigadores dicen que han descubierto un nuevo grupo de ransomware llamado Volcano Demon que ha llevado a cabo al menos dos ataques exitosos en las últimas dos semanas.
Los objetivos del grupo eran empresas de las industrias manufacturera y logística, dijo Tim West, analista de la firma de ciberseguridad Halcyon, en un comentario a Recorded Future News, y se negó a proporcionar más información sobre los objetivos.
Lo interesante de este grupo de ransomware, dijeron los investigadores de Halcyon, es que no tiene un sitio web público de filtraciones, sino que utiliza llamadas telefónicas para intimidar y negociar pagos con los líderes de las organizaciones víctimas. Estas llamadas provienen de números no identificados y a menudo tienen un tono amenazador, dijeron los investigadores.
Antes de llamar, los piratas informáticos cifraron los archivos en los sistemas de las víctimas con el ransomware LukaLocker previamente desconocido y dejaron una nota de rescate:
«Si ignora este incidente… nos aseguraremos de que sus clientes y socios sepan todo y los ataques continuarán. Algunos de los datos se venderán a estafadores que atacarán a sus clientes y empleados», se lee en la nota.
Volcano Demon bloqueó con éxito estaciones de trabajo y servidores Windows explotando credenciales administrativas comunes obtenidas de la red, dijo Halcyon.
El grupo utilizó una técnica de doble extorsión para maximizar las posibilidades de recibir el pago, dijo Halcyon. Antes de la infección de LukaLocker, exfiltraban los datos de las víctimas a servicios de comando y control (C2) y solo entonces los cifraban.
Rastrear a este actor de amenazas fue un desafío, dijeron los investigadores. Los atacantes borraron los archivos de registro de las máquinas objetivo antes de la explotación, «haciendo casi imposible una evaluación forense exhaustiva».
Llamadas frecuentes.
West dijo a Recorded Future News que los piratas informáticos hablaban «con un fuerte acento», pero que era demasiado difícil saber su origen sin grabaciones, que no están disponibles hasta la fecha.
«Llaman con mucha frecuencia, casi a diario en algunos casos», dijo, añadiendo que la empresa no puede compartir los detalles del intercambio entre los piratas informáticos y las víctimas.
Aún no está claro si Volcano Demon opera de forma independiente o es afiliado de un grupo de ransomware conocido. West dijo que por ahora Halcyon no ha podido identificar dichos vínculos.
Los operadores de ransomware continúan evolucionando y recientemente han surgido varios nuevos actores de amenazas dirigidos a una amplia gama de industrias, según Halcyon.
En mayo de 2024, los investigadores descubrieron una banda criminal llamada Arcus Media, que opera un modelo de ransomware como servicio, que permite a otros actores de amenazas utilizar su malware. Durante el mes pasado, los piratas informáticos supuestamente atacaron a víctimas en Estados Unidos, Reino Unido, India y Brasil.
Otro grupo, Space Bears, surgió a principios de abril, «rápidamente ganando notoriedad por su sitio de filtración de datos con temática corporativa y sus afiliaciones estratégicas», incluso con el grupo de ransomware como servicio Phobos.
El análisis de las actividades de estos grupos sugiere que «pueden estar más organizados y financiados de lo previsto anteriormente», dijeron los investigadores.
Fuente y redacción: underc0de.org
