Investigadores de seguridad han advertido sobre el nacimiento de una nueva banda de ransomware denominada Volcano Demon.
Tim West, analista de firma de ciberseguridad Halcyon, ha comentado a The Record Media como el principal objetivo de esta pandilla son empresas que pertenecen a los sectores de la logística o la manufactura.
La peculiaridad principal de la banda es que no cuentan con un sitio de filtraciones en la dark web, como suele ser común, sino que usan llamadas telefónicas para intimidar y negociar los pagos de los rescates con los responsables de las organizaciones.
Los cibermalos llevan a cabo las llamadas desde números no identificados y suelen usar un tono amenazante.
No obstante, previamente a tirar de teléfono los actores de amenazas cifraron los archivos en los sistemas de las víctimas con el ransomware LukaLocker.
Antes de su infección extrajeron los datos de las víctimas a servicios de comando y control (C2) y solo entonces los cifraron. Asimismo, dejaron una nota de rescate.
“Si ignoran este incidente… nos aseguraremos de que sus clientes y socios sepan todo y los ataques continuarán. Algunos de los datos se venderán a estafadores que atacarán a sus clientes y empleados”, advierte en el escrito.
En sus ataques Volcano Dream ha bloqueado exitosamente estaciones de trabajo y servidores con Windows, explotando credenciales administrativas comunes obtenidas de la red.
Para incrementar las posibilidades de recibir el pago los ciberdelincuentes usaron una técnica de doble extorsión.
Insistentes, pero difíciles de rastrear
Los investigadores aseguran que rastrear a este actor de amenazas ha supuesto todo un desafío, ya que eliminaron los archivos de registro de las máquinas atacadas antes de la explotación, haciendo que la evaluación forense resultara "casi imposible".
West ha comentado al citado medio que los hackers hablan con un "fuerte acento", aunque no han identificado su procedencia, y que "llaman con mucha frecuencia", en algunos casos casi a diario.
Por ahora no está claro si Volcano Demon opera de manera independiente o es una filial de algún otro grupo de ransomware más grande y conocido.