Grupo de ransomware recurre a los anuncios de Facebook – Krebs on Security


Ya es bastante malo que muchas bandas de ransomware ahora tengan weblogs donde publican datos robados a empresas que se niegan a realizar un pago por extorsión. Ahora, un grupo delictivo ha comenzado a utilizar Fb cuentas para publicar anuncios presionando públicamente a sus víctimas de ransomware para que paguen.

En la noche del lunes 9 de noviembre, una campaña publicitaria aparentemente organizada por el Equipo de Ragnar Locker comenzó a aparecer en Fb. El anuncio fue diseñado para girar los tornillos al vendedor de bebidas italiano Grupo Campari, cuales reconocido el 3 de noviembre que sus sistemas informáticos habían sido marginado por un ataque de malware.

El 6 de noviembre, Campari emitió una declaración de seguimiento diciendo «en esta etapa, no podemos excluir por completo que se hayan tomado algunos datos personales y comerciales».

«Esto es ridículo y parece una gran mentira», se lee en la campaña publicitaria de Facebook del grupo criminal Ragnar. «Podemos confirmar que se robaron datos confidenciales y estamos hablando de un gran volumen de datos».

El anuncio continuaba diciendo que Ragnar Locker Group había descargado dos terabytes de información y le daría a la firma italiana hasta las 6 p.m. EST hoy (10 de noviembre) para negociar un pago de extorsión a cambio de la promesa de no publicar los archivos robados.

El bombardeo de anuncios de Fb fue pagado por Entretenimiento de eventos de Hodson, una cuenta vinculada a Chris Hodson, un deejay con sede en Chicago. Contactado por KrebsOnSecurity, Hodson dijo que su cuenta de Fb fue efectivamente pirateada y que los atacantes habían presupuestado $ 500 para toda la campaña.

«Pensé que tenía activada la verificación en dos pasos para todas mis cuentas, pero ahora parece que la única para la que no la tenía configurada period Fb», dijo Hodson.

Hodson dijo que una revisión de su cuenta muestra que la campaña no autorizada llegó a aproximadamente 7.150 usuarios de Facebook y generó 770 clics, con un costo por resultado de 21 centavos. Por supuesto, no le costó nada al grupo de ransomware. Hodson dijo que Facebook le facturó $ 35 por la primera parte de la campaña, pero aparentemente detectó los anuncios como fraudulentos en algún momento de esta mañana antes de que su cuenta pudiera facturar otros $ 159 por la campaña.

Los resultados de la campaña publicitaria de Fb no autorizada. Imagen: Chris Hodson.

No está claro si se trató de un incidente aislado o si los estafadores también publicaron anuncios utilizando otras cuentas pirateadas de Facebook. Un portavoz de Facebook dijo que la compañía aún está investigando el incidente. Una solicitud de comentarios enviada por correo electrónico al equipo de relaciones con los medios de Campari se devolvió como imposible de entregar.

Pero parece probable que sigamos viendo más de este y otros esfuerzos publicitarios convencionales por parte de grupos de ransomware en el futuro, incluso si las víctimas realmente no tienen expectativas de que pagar una demanda de extorsión resulte en que los delincuentes eliminen o no usen datos robados.

Fabian Wosar, director de tecnología de la empresa de seguridad informática Emsisoft, dijo que algunos grupos de ransomware se han vuelto especialmente agresivos últimamente al presionar a sus víctimas para que paguen.

«También han comenzado a llamar a las víctimas», dijo Wosar. «Están subcontratando a centros de llamadas indios, que llaman a las víctimas y les preguntan cuándo van a pagar o se filtran sus datos».


Etiquetas: Chris Hodson, Emsisoft, Fabian Wosar, Ragnar Locker, ransomware

Esta entrada se publicó el martes 10 de noviembre de 2020 a las 12:09 p.m. y está archivada bajo Ransomware, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia initial