«Hola, soy su técnico de TI». Hackers comienzan a presentarse en persona en oficinas — y no es ninguna broma
Nuevo modus operandi del grupo de hackers Luna Moth que pone en aprietos a las defensas convencionales
La Oficina Federal de Investigaciones de EE. UU. advirtió sobre la nueva táctica del grupo Silent Ransom Group, también conocido como Luna Moth, Chatty Spider y UNC3753. Los atacantes empezaron a hacerse pasar por empleados del servicio de TI e incluso acudir a las oficinas de las empresas para conectarse personalmente a los ordenadores de las víctimas y robar datos. El objetivo principal de la campaña fueron los bufetes de abogados estadounidenses.
La agencia informa que el grupo opera al menos desde 2022, pero en los últimos meses ha cambiado su enfoque. Antes Silent Ransom Group enviaba correos con suscripciones falsas y pedía a las víctimas que llamaran para «cancelar un pago», pero ahora los atacantes se hacen pasar por el soporte técnico interno de la empresa. Llaman directamente a los empleados o envían correos solicitando que contacten urgentemente con el «departamento de TI». Durante la llamada, los estafadores persuaden al usuario de abrir acceso remoto al ordenador.
La táctica llega aún más lejos en algunos casos. Si la conexión remota falla, un miembro del grupo acude a la oficina de la empresa haciéndose pasar por un técnico de soporte. El visitante convence a los empleados de conectar un dispositivo de almacenamiento externo o una memoria USB supuestamente para crear una copia de seguridad o revisar el sistema tras un correo de phishing. Tras obtener acceso, los atacantes copian rápidamente los datos y casi no intentan persistir en el sistema.
Para robar archivos, Silent Ransom Group utiliza herramientas legítimas como WinSCP y Rclone, así como servicios en la nube Google Drive y Microsoft OneDrive. Los datos robados los usan para extorsionar, amenazando con publicarlos o vender la información. Presionan adicionalmente con llamadas a empleados y clientes de las empresas afectadas con mensajes sobre la filtración. Para publicar los archivos robados, los atacantes usan el sitio business-data-leaks[.]com.
La Oficina Federal de Investigaciones señala que los ataques de Silent Ransom Group son difíciles de detectar con las defensas estándar, ya que el grupo emplea programas comunes de administración remota. Entre los signos de intrusión, la agencia menciona la instalación inesperada de AnyDesk, RustDesk, Splashtop, Atera y otras herramientas similares, dispositivos de almacenamiento externos conectados, datos transferidos a servicios en la nube externos y llamadas de personas desconocidas que se hacen pasar por empleados del servicio de TI.
Para proteger a las organizaciones, la Oficina Federal de Investigaciones aconseja verificar la identidad de todos los visitantes, limitar el acceso remoto a datos confidenciales, formar a los empleados para reconocer el phishing y usar autenticación multifactor. La agencia también recomienda deshabilitar la posibilidad de conectar unidades de almacenamiento externas en los ordenadores con acceso a información confidencial.