La estafa comienza con la recepción de un correo electrónico dirigido a empleados de distintas empresas por su nombre y apellido, en el que el remitente, identificado como "Silent Ransom" o "Lockffit" puede ser confundido con la conocida banda de ransonware Lockbit, lo que suma presión a la extorsión por la peligrosidad de los ataques registrados por ese grupo.
Avast Threat Labs informa que en el mensaje los delincuentes indican que la empresa ha sufrido una brecha de seguridad en la que se ha robado una gran cantidad de datos de la compañía, de sus clientes y de Recursos Humanos, como datos personales y médicos de los empleados. Y señalan a los trabajadores que deben avisar a sus superiores sobre la situación, ya que en caso de no obtener respuesta venderán la información robada a otros delincuentes.
Luego el correo indica que el empleado debe ponerse en contacto con los atacantes para "solucionar" el problema, y sugiere que la empresa debe realizar un pago para evitar que los datos sean vendidos. Además, el email intimida a las víctimas mencionando que las leyes actuales obligan a las empresas a proteger sus datos bajo apercibimiento de multas.
Si bien la táctica es similar a otros ataques de ransomware conocidos, los investigadores creen que se trata solamente de un engaño para asustar a los directivos de las empresas para que paguen dinero. Uno de los indicios que sostiene esta afirmación es que en un ataque real los delincuentes encriptan los datos antes de amenazar a las víctimas, que ya no tienen acceso a su información una vez recibido el mensaje de extorsión. En este caso, no ofrecen ninguna prueba más que tener la dirección de correo electrónico y el nombre del destinatario del mensaje.
Los expertos en ciberseguridad aconsejan no ceder a estas extorsiones, sea o no real el secuestro de datos, y en algunos países, como en Estados Unidos, el pago de recompensas de este tipo está penalizado. La ley española no multa a las compañías que lo hacen, y se estima que sólo el 30% de las empresas ibéricas han cedido a este tipo de extorsiones en el último tiempo, mientras que en otras partes del mundo esta acción supera el 50% de las compañías.
“Todo apunta a que son ataques semiautomáticos donde los delincuentes usan una base de datos de direcciones para enviar estos correos electrónicos a la lista de objetivos, solo con algunos cambios, táctica similar a la utilizada en los ataques de sextorsión”, señalan desde Avast. Y recuerdan estos consejos básicos:
En primer lugar, no entrar en pánico. Los atacantes siempre utilizarán el miedo y el sentido de urgencia para obligarnos a tomar decisiones apresuradas. Y nunca responder al mensaje recibido.
En segunda instancia, realizar la denuncia en el departamento de seguridad informática de la empresa.
Tercero, si el departamento de TI no administra esto de manera centralizada, asegurarse de tener su solución antimalware actualizada.
Y como medida proactiva, los CISO y los departamentos de TI deben informar a sus empleados de la existencia de este tipo de estafa e instar a sus empleados a informarles cuando reciban dicho mensaje, que en ningún caso deben responder.