Descubren táctica de extorsión a través de publicación de IP

(Financiero News-Panamá) El panorama de las amenazas de ransomware ha dado un giro preocupante al descubrirse una táctica sin precedentes empleada por el grupo de ransomware como servicio (RaaS) conocido como "Fog Ransomware".

Este grupo, que surgió a principios de 2024 y ha atacado diversos sectores como educación, recreación y finanzas, se ha convertido en el primer actor en divulgar abiertamente tanto las direcciones IP como la información sustraída de sus víctimas tras concretar un ataque.

Esta nueva estrategia marca una escalada significativa en las tácticas de extorsión. Tradicionalmente, los grupos de ransomware, como Fog Ransomware que previamente utilizaba la doble extorsión (cifrado de datos y amenaza de publicación), se limitaban a amenazar con la filtración de la información robada para presionar a las víctimas a pagar el rescate. Sin embargo, al vincular públicamente las direcciones IP de las organizaciones atacadas con los datos sustraídos y publicarlos en la Dark Web, Fog Ransomware eleva la presión psicológica y las consecuencias potenciales para las víctimas.

Según los análisis de Kaspersky, Fog Ransomware accede a los sistemas de sus objetivos explotando credenciales de VPN comprometidas. Una vez dentro, los datos son cifrados rápidamente, en algunos casos en menos de dos horas, afectando tanto a sistemas Windows como Linux. La novedad radica en la etapa posterior al ataque: la exposición pública no solo de los datos sensibles, sino también de las direcciones IP de las víctimas.

Fabio Assolini, Director del Equipo Global de Investigación y Análisis (GReAT) para América Latina en Kaspersky, advierte sobre la gravedad de esta táctica: "A medida que los operadores de ransomware enfrentan una disminución en los pagos debido a la mejora en las defensas de ciberseguridad y la presión regulatoria, buscan perfeccionar sus métodos de extorsión para mantener su influencia sobre las víctimas. La exposición pública de direcciones IP junto con filtraciones de datos podría aumentar la probabilidad de que las organizaciones cumplan con las demandas de rescate en futuros incidentes. Esta táctica también podría ser una estrategia de marketing basada en el miedo, donde los atacantes muestran su brutalidad para intimidar a futuras víctimas y hacer que paguen rápidamente”.

La publicación de las direcciones IP no solo incrementa la presión sobre las víctimas ante posibles sanciones regulatorias, sino que también abre la puerta a actividades cibercriminales adicionales. Al exponer estos puntos de entrada, Fog Ransomware facilita que otros actores de amenazas puedan llevar a cabo ataques posteriores como credential Stuffing o el uso de botnets contra las redes ya comprometidas.

La nueva táctica de Fog Ransomware subraya la necesidad crítica de que las organizaciones de todos los sectores refuercen sus medidas de seguridad y se mantengan vigilantes ante la constante evolución de las amenazas cibernéticas. La exposición de las direcciones IP marca un punto de inflexión en las estrategias de extorsión con ransomware, exigiendo una respuesta proactiva y robusta por parte de las empresas para proteger sus activos digitales y su reputación.