Los ciberdelincuentes están utilizando como arma los datos robados para aumentar la presión sobre las víctimas que se niegan a pagar. Esto incluye compartir los datos de contacto o enviar un “doxing” a los miembros de la familia de los directores ejecutivos y propietarios de empresas, así como amenazar con denunciar a las autoridades cualquier información sobre actividades empresariales ilegales descubiertas en los datos robados.

Lo anterior es parte del nuevo informe de Sophos sobre la dark web, “Turning the Screws: Las tácticas de presión de las bandas de ransomware“, donde Sophos X-Ops compartió publicaciones encontradas en la dark web que muestran cómo las bandas de ransomware se refieren a sus objetivos como “irresponsables y negligentes” y, en algunos casos, animan a las víctimas individuales cuya información personal fue robada a litigar contra su empleador.

“En diciembre de 2023, a raíz de la intrusión en el casino MGM, Sophos comenzó a tomar nota de la propensión de las bandas de ransomware a convertir los medios de comunicación en una herramienta que pueden utilizar no sólo para aumentar la presión sobre sus víctimas, sino para tomar el control de la narrativa y culparlas. También estamos viendo cómo las mafias señalan a los líderes empresariales que consideran “responsables” del ataque de ransomware en las empresas que tienen como objetivo. En un post que encontramos, los atacantes publicaron una foto de un empresario con cuernos de diablo, junto con su número de seguro social. En otra publicación, los atacantes animaban a los empleados a pedir una “compensación” a su empresa y, en otros casos, amenazaban con notificar a clientes, socios y competidores acerca de la violación de los datos. Estos esfuerzos crean un pararrayos de culpabilidad, aumentando la presión sobre las empresas para que paguen y agravando potencialmente el daño a su reputación derivado de un ataque”, informó Christopher Budd, director de investigación de amenazas de Sophos.

Sophos X-Ops también ha encontrado múltiples mensajes de atacantes de ransomware que detallan sus planes para buscar, entre los datos robados, información que podría utilizarse como instrumento de presión si las empresas no pagan. Por ejemplo, en un post, el atacante de ransomware WereWolves señala que cualquier dato robado está sujeto a “una evaluación legal penal, una evaluación comercial y una evaluación en términos de información privilegiada para los competidores”. En otro ejemplo, el grupo de ransomware Monti señaló que encontró a un empleado de una empresa objetivo buscando material de abuso sexual infantil y amenazó con ir a la policía con la información si la empresa no pagaba el rescate.

Estos mensajes se alinean con una tendencia más amplia de delincuentes que buscan extorsionar a las empresas con datos cada vez más sensibles relacionados con empleados, clientes o pacientes, incluidos historiales de salud mental, historiales médicos de niños, “información sobre los problemas sexuales de los pacientes” e “imágenes de pacientes desnudos”. En un caso de ransomware, el grupo Qiulong ransomware publicó los datos personales de la hija de un CEO, así como un enlace a su perfil de Instagram.

“Las bandas de ransomware son cada vez más invasivas y audaces sobre cómo y qué utilizan como arma. Para aumentar la presión sobre las empresas, no se limitan a robar datos y amenazar con filtrarlos, sino que los analizan activamente para maximizar el daño y crear nuevas oportunidades de extorsión. Esto significa que las organizaciones no sólo tienen que preocuparse por el espionaje corporativo y la pérdida de secretos comerciales o la actividad ilegal de los empleados, sino también por estas cuestiones en relación con los ciberataques”, afirmó Christopher Budd.