Grupo de ransomware recurre a los anuncios de Facebook

Ya es bastante malo que muchas bandas de ransomware ahora tengan blogs donde publican datos robados a empresas que se niegan a realizar un pago por extorsión. Ahora, un grupo delictivo ha comenzado a utilizar cuentas pirateadas de Facebook para publicar anuncios que presionan públicamente a sus víctimas de ransomware para que paguen.

En la noche del lunes 9 de noviembre, una campaña publicitaria aparentemente realizada por Ragnar Locker Team comenzó a aparecer en Facebook. El anuncio fue diseñado para darle vuelta a los tornillos al proveedor italiano de bebidas Campari Group , que reconoció el 3 de noviembre que sus sistemas informáticos habían sido marginados por un ataque de malware.

El 6 de noviembre, Campari emitió una declaración de seguimiento diciendo «en esta etapa, no podemos excluir por completo que se hayan tomado algunos datos personales y comerciales».

«Esto es ridículo y parece una gran mentira», se lee en la campaña publicitaria de Facebook del grupo criminal Ragnar. «Podemos confirmar que se robaron datos confidenciales y estamos hablando de un gran volumen de datos».

El anuncio continuaba diciendo que Ragnar Locker Team había descargado dos terabytes de información y le daría a la firma italiana hasta las 6 pm EST de hoy (10 de noviembre) para negociar un pago de extorsión a cambio de una promesa de no publicar los archivos robados.

El bombardeo publicitario de Facebook fue pagado por Hodson Event Entertainment , una cuenta vinculada a Chris Hodson , un DJ con sede en Chicago. Contactado por KrebsOnSecurity, Hodson dijo que su cuenta de Facebook fue pirateada y que los atacantes habían presupuestado $ 500 para toda la campaña.

«Pensé que tenía activada la verificación en dos pasos para todas mis cuentas, pero ahora parece que la única para la que no la tenía configurada era Facebook», dijo Hodson.

Hodson dijo que una revisión de su cuenta muestra que la campaña no autorizada llegó a aproximadamente 7.150 usuarios de Facebook y generó 770 clics, con un costo por resultado de 21 centavos. Por supuesto, no le costó nada al grupo de ransomware. Hodson dijo que Facebook le facturó $ 35 por la primera parte de la campaña, pero aparentemente detectó los anuncios como fraudulentos en algún momento de esta mañana antes de que su cuenta pudiera facturarse otros $ 159 por la campaña.

No está claro si este fue un incidente aislado o si los estafadores también publicaron anuncios usando otras cuentas pirateadas de Facebook. Un portavoz de Facebook dijo que la compañía aún está investigando el incidente. Una solicitud de comentarios enviada por correo electrónico al equipo de relaciones con los medios de Campari fue devuelta como imposible de entregar.

Pero parece probable que sigamos viendo más de este y otros esfuerzos publicitarios convencionales por parte de grupos de ransomware en el futuro, incluso si las víctimas realmente no tienen expectativas de que pagar una demanda de extorsión resulte en que los delincuentes eliminen o no usen datos robados .

Fabian Wosar, director de tecnología de la empresa de seguridad informática Emsisoft , dijo que algunos grupos de ransomware se han vuelto especialmente agresivos últimamente al presionar a sus víctimas para que paguen.

«También han comenzado a llamar a las víctimas», dijo Wosar. «Están subcontratando a centros de llamadas indios, que llaman a las víctimas preguntando cuándo van a pagar o se filtran sus datos».

Fuente: Krebs on Security