AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Silent Ransom Group intensifica ataques de ingeniería social contra bufetes estadounidenses

admin

Introducción

En las últimas semanas, la actividad del grupo de extorsión Silent Ransom Group (SRG) ha experimentado un preocupante repunte, especialmente enfocado en bufetes de abogados y organizaciones de servicios profesionales en Estados Unidos. Un informe detallado publicado por la firma de ciberseguridad Mandiant alerta sobre una oleada de ataques dirigidos, caracterizados por el uso sofisticado de técnicas de ingeniería social y la rápida exfiltración de datos confidenciales, a menudo en cuestión de horas tras el primer contacto. Este modus operandi plantea serios desafíos para los equipos de respuesta a incidentes y los responsables de seguridad, especialmente en sectores donde la protección de información sensible es crítica y está regulada por normativas como GDPR o NIS2.

Contexto del Incidente

Silent Ransom Group, identificado por Mandiant bajo el acrónimo UNC2198, ha evolucionado desde campañas de ransomware convencionales hacia operaciones de extorsión sin cifrado («extorsión pura»), una tendencia que va en aumento dentro del cibercrimen. Su foco en el sector legal y de servicios profesionales responde tanto al valor estratégico de la información manejada por estos despachos como a su posible disposición a ceder ante demandas económicas para evitar la exposición pública de datos de clientes y casos en curso.

El informe de Mandiant destaca que al menos un 30% de los incidentes recientes investigados en bufetes han estado relacionados con SRG, lo que subraya la efectividad y especialización de este actor. Las cifras económicas asociadas a las extorsiones varían, pero en algunos casos superan los 2 millones de dólares por ataque.

Detalles Técnicos: Tácticas, Técnicas y Procedimientos

Los ataques de SRG comienzan generalmente con campañas de phishing altamente personalizadas, utilizando información recopilada previamente en fuentes abiertas (OSINT) y redes sociales. El vector inicial suele ser el envío de correos electrónicos cuidadosamente elaborados que simulan comunicaciones legítimas—por ejemplo, notificaciones judiciales o solicitudes de colaboración—dirigidas a empleados con acceso privilegiado a sistemas y documentos confidenciales.

En la cadena de ataque se han identificado varias técnicas asociadas al framework MITRE ATT&CK, tales como:

– **Spear Phishing Attachment (T1566.001)**: Uso de documentos adjuntos maliciosos que explotan vulnerabilidades como CVE-2023-23397 (Microsoft Outlook Elevation of Privilege) para ejecutar código arbitrario.
– **Valid Accounts (T1078)**: Aprovechamiento de credenciales válidas obtenidas mediante ingeniería social o filtraciones previas.
– **Command and Scripting Interpreter (T1059)**: Uso de PowerShell y scripts Python para el movimiento lateral y la exfiltración de datos.
– **Data Staged (T1074)** y **Exfiltration Over Web Service (T1567.002)**: Compresión y envío de grandes volúmenes de datos sensibles a servicios en la nube controlados por el atacante.

Los actores emplean herramientas conocidas como Metasploit para el acceso inicial y Cobalt Strike para el movimiento lateral y persistencia. Indicadores de compromiso (IoC) relevantes incluyen dominios C2 relacionados con SRG y artefactos de PowerShell comúnmente observados en endpoints comprometidos.

Impacto y Riesgos

El impacto potencial de estos ataques es significativo, tanto a nivel operacional como reputacional y legal. La exposición de información confidencial sobre litigios, acuerdos comerciales o datos personales de clientes puede derivar en demandas, sanciones regulatorias bajo leyes como la GDPR (en el caso de bufetes con clientes europeos) o la NIS2, además de la pérdida de confianza de los clientes y socios comerciales.

El tiempo de permanencia del atacante antes de la exfiltración se ha reducido drásticamente: en ocasiones, la extracción de datos críticos ocurre en menos de 6 horas desde el acceso inicial, dificultando la contención temprana. Además, SRG suele amenazar con la publicación de los datos sustraídos en foros clandestinos si la víctima se niega a pagar el rescate.

Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a la actividad de SRG, se recomienda:

– Formación continua en detección de phishing y concienciación en ciberseguridad, especialmente para personal con acceso privilegiado.
– Implementación de autenticación multifactor (MFA) en todos los accesos remotos y sistemas sensibles.
– Monitorización proactiva de endpoints y redes en busca de IoC asociados a SRG, con especial atención a la actividad de scripts y transferencias de datos inusuales.
– Segmentación de red y restricción de permisos, limitando el acceso a información sensible exclusivamente a personal autorizado.
– Copias de seguridad cifradas y segregadas, así como planes de respuesta a incidentes actualizados y probados periódicamente.

Opinión de Expertos

Según Charles Carmakal, CTO de Mandiant Consulting, “la velocidad y precisión en la ejecución de SRG les permite superar muchas de las defensas tradicionales. Las organizaciones deben asumir que la ingeniería social avanzada es una constante y reforzar no solo la tecnología, sino también los procesos y la cultura de seguridad”. Otros expertos advierten que la tendencia hacia la extorsión pura, sin cifrado, obliga a repensar los modelos de protección de datos y las estrategias de comunicación ante incidentes.

Implicaciones para Empresas y Usuarios

Este tipo de amenazas obliga a los bufetes y consultoras a revisar sus políticas de protección de datos y cumplimiento normativo, especialmente ante la inminente aplicación de la Directiva NIS2 en la Unión Europea, que establece requisitos más estrictos en cuanto a notificación de incidentes y resiliencia operativa. Para los clientes, la exposición de sus datos en este tipo de ataques puede suponer daños irreparables, tanto económicos como reputacionales.

Conclusiones

La campaña de ataques de Silent Ransom Group contra bufetes estadounidenses marca un nuevo hito en la profesionalización y sofisticación del cibercrimen dirigido. La rapidez de ejecución, el uso combinado de técnicas de ingeniería social y herramientas ofensivas avanzadas, y el cambio hacia la extorsión basada en la amenaza de filtración de datos, obligan a las organizaciones a reforzar su postura defensiva y a invertir en formación, tecnología y procedimientos de respuesta adaptados a estos nuevos escenarios.

(Fuente: www.bleepingcomputer.com)