Pandillas de rescate envían correos electrónicos a clientes víctimas para apalancamiento – Krebs on Stability


Algunas de las principales bandas de ransomware están implementando una nueva táctica de presión para empujar a más organizaciones víctimas a pagar una demanda de extorsión: enviar un correo electrónico a los clientes y socios de la víctima directamente, advirtiendo que sus datos se filtrarán a la net oscura a menos que puedan convencer a la empresa víctima de que paga.

Esta carta es de la banda de ransomware Clop, que ejerce presión sobre una víctima reciente nombrada en el sitio de vergüenza de la website oscura de Clop.

«¡Buenos días! Si recibió esta carta, es cliente, comprador, socio o empleado de (víctima) ”, dice la misiva. «La empresa ha sido pirateada, los datos han sido robados y pronto se darán a conocer, ya que la empresa se niega a proteger los datos de su gente».

“Le informamos que la información sobre usted se publicará en la darknet (enlace a la página de avergonzar a las víctimas de la dim internet) si la empresa no se comunica con nosotros”, concluye el mensaje. «¡Llame o escriba a esta tienda y pida proteger su privacidad!»

El mensaje anterior se envió a un cliente de RaceTrac Petroleum, una empresa de Atlanta que opera más de 650 tiendas minoristas de gasolina en 12 estados del sureste. La persona que compartió esa captura de pantalla anterior no es un distribuidor o socio de RaceTrac, pero dijo que es un miembro de RaceTrac Benefits, por lo que la empresa definitivamente tiene su dirección de correo electrónico y otra información.

Varios gigabytes de los archivos de la empresa, incluidos los registros fiscales y financieros de los empleados, se han publicado en el sitio para avergonzar a la víctima. Clop pandilla de ransomware.

En respuesta a las preguntas de KrebsOnSecurity, RaceTrac dijo que recientemente se vio afectado por un incidente de seguridad que afectó a uno de sus proveedores de servicios externos. Accellion Inc.

Durante los últimos meses, los atacantes han estado explotando una una vulnerabilidad de día cero en el application Accellion File Transfer Appliance (FTA), una falla que ha sido aprovechada por Clop para irrumpir en docenas de otras compañías importantes como gigante petrolero Shell y firma de seguridad Qualys.

«Al explotar una vulnerabilidad de software program no detectada previamente, las partes no autorizadas pudieron acceder a un subconjunto de datos de RaceTrac almacenados en el Servicio de transferencia de archivos Accellion, incluidas las direcciones de correo electrónico y los nombres de algunos de nuestros usuarios de RaceTrac Benefits Loyalty», dijo la compañía. escribió. “Este incidente se limitó a los servicios Accellion antes mencionados y no afectó la pink corporativa de RaceTrac. Los sistemas utilizados para procesar las transacciones de crédito, débito y RaceTrac Rewards de los huéspedes no se vieron afectados «.

El mismo correo electrónico de presión de extorsión se ha enviado a personas asociadas con el Universidad de California, que fue uno de varias universidades grandes de EE. UU. que se vieron afectadas recientemente por el ransomware Clop. La mayoría de esos incidentes de ransomware universitarios parecían estar vinculados a ataques a la misma vulnerabilidad de Accellion, y la compañía ha reconocido que aproximadamente un tercio de sus clientes en ese dispositivo se vieron comprometidos como resultado.

Clop es una de varias bandas de rescate que exigirán dos rescates: uno por una clave digital necesaria para desbloquear computadoras y datos del cifrado de archivos, y un segundo para evitar que se publiquen o vendan datos robados en línea. Eso significa que incluso las víctimas que optan por no pagar para recuperar sus archivos y servidores tienen que decidir si pagan el segundo rescate para proteger la privacidad de sus clientes.

Como señalé en Por qué pagar para eliminar datos robados es una locura, dejando de lado la noción de que las víctimas podrían tener alguna expectativa serious de que los atacantes realmente destruirán los datos robados, una nueva investigación sugiere que un buen número de víctimas que pagan pueden ver algunos o todos de los datos robados publicados de todos modos.

El correo electrónico en la captura de pantalla anterior difiere ligeramente de los cubiertos la semana pasada por Computadora que suena, que fue el primero en detectar la nueva arruga de notificación a las víctimas. Esos correos electrónicos dicen que se está contactando al destinatario ya que es un cliente de la tienda, y sus datos personales, incluidos los números de teléfono, las direcciones de correo electrónico y la información de la tarjeta de crédito, pronto se publicarán si la tienda no paga un rescate. escribe Lawrence Abrams.

“Quizás compraste algo allí y dejaste tus datos personales. Como teléfono, correo electrónico, dirección, información de la tarjeta de crédito y número de seguro social ”, afirma la pandilla Clop en el correo electrónico.

Fabian Wosar, director de tecnología de la empresa de seguridad informática Emsisoft, dijo que las apelaciones directas a los clientes víctimas son una extensión pure de otros esfuerzos publicitarios de las bandas de ransomware, que recientemente incluyeron el uso de cuentas pirateadas de Facebook para publicar anuncios que avergüenzan a las víctimas.

Wosar dijo que Clop no es la única banda de ransomware que envía correos electrónicos a los clientes víctimas.

«A Clop le gusta hacerlo y creo que REvil también comenzó», dijo Wosar.

A principios de este mes, Computadora que suena informó que la operación de ransomware REvil planeaba lanzar ataques paralizantes de denegación de servicio distribuido (DDoS) contra las víctimas, o hacer llamadas VOIP a los clientes de las víctimas para aplicar más presión.

«Lamentablemente, independientemente de si se paga un rescate, los consumidores cuyos datos han sido robados siguen en riesgo, ya que no hay forma de saber si las bandas de ransomware eliminan los datos como prometen», escribió Abrams.



Enlace a la noticia first