El cifrado es cosa del pasado: los ciberdelincuentes recurren a un nuevo método de extorsión

La publicación de nuevos mensajes en el canal de Telegram «SLSH 6.0» permitió a los investigadores de Unit 42 rastrear la actividad posterior del grupo Scattered LAPSUS$ Hunters — participantes de un esquema creciente de extorsión digital, asociado a los proyectos Bling Libra y Muddled Libra. Desde principios de octubre los ciberdelincuentes promocionan activamente su propia plataforma de extorsión sin cifrado, anuncian un nuevo software malicioso y buscan informantes con acceso a infraestructuras en distintos países.

El 10 de octubre, día límite para el pago del rescate, los operadores publicaron datos robados de seis empresas de los sectores aeronáutico, energético y minorista. Según las publicaciones, los archivos incluían nombres, fechas de nacimiento, direcciones de correo electrónico, números de teléfono e identificadores de participantes de programas de fidelidad. Ya al día siguiente los delincuentes afirmaron que no revelarían nada más, insinuando que parte de la información obtenida era demasiado sensible para publicarse. Varias horas después añadieron que suspendían temporalmente la actividad hasta el año siguiente, pero prometieron volver con nuevos ataques.

El intento de Unit 42 de acceder al sitio con los archivos, alojado en la red abierta, fracasó: en su lugar encontraron un mensaje dirigido a un tal James, en el que se mencionaban al FBI y al grupo ShinyHunters. Esto indica, como mínimo, un intento de reorientación o un retiro temporal a la sombra.

Una de las iniciativas más destacadas de los delincuentes fue el anuncio de un nuevo esquema Extortion-as-a-Service (EaaS), similar al modelo de servicio de los ransomware pero sin uso de cifrado. Según los propios miembros del grupo, el énfasis está en el anonimato, las negociaciones profesionales y la reducción del riesgo de intervención de las fuerzas del orden. Esto podría señalar la intención de permanecer en una zona gris que no cruce las líneas rojas de los ciberdelitos que atraen una mayor atención de los servicios de seguridad.

Además, el 5 de octubre en el canal de Telegram de los hackers apareció un mensaje reclutando informantes, sobre todo empleados de centros de llamadas, empresas de telecomunicaciones, plataformas SaaS, estudios de videojuegos y proveedores de alojamiento. El interés principal se centra en organizaciones ubicadas en Estados Unidos, Reino Unido, Canadá, Australia y Francia. Anuncios similares ya se habían observado antes — en mayo, en el marco del análisis de la actividad de Muddled Libra.

Finalmente, un día antes del plazo oficial los extorsionadores afirmaron haber desarrollado un nuevo ransomware llamado SHINYSP1D3R. Según los mensajes publicados, se presenta como el «GTA 6 entre los ransomware» — con foco en métodos originales de presión y en la superioridad de imagen. Aún no está claro si existe un desarrollo real o si la publicación es un movimiento de distracción.

Unit 42 advierte que el nuevo modelo EaaS, a pesar de la ausencia de daño directo a la infraestructura TI, puede causar un golpe serio a la reputación de las víctimas. A las organizaciones se les recomienda preparar con antelación escenarios de respuesta — por ejemplo, planes similares a los de ataques con cifrado — recurriendo a expertos externos para verificar amenazas, posibles negociaciones y minimizar filtraciones.