Operadores de ransomware piratearon cuentas de Facebook para ejecutar anuncios de extorsión

Según un informe, los desarrolladores del ransomware Sodinokibi / REvil obtuvieron una ganancia de más de US$100 millones en solo un año. Y apareció un nuevo método de extorsión tras ransomware. Si hace un tiempo hablamos de los ataques de doble extorsión, ahora los desarrolladores de Ragnar Locker han aprovechado el acceso a una computadora […]

Según un informe, los desarrolladores del ransomware Sodinokibi / REvil obtuvieron una ganancia de más de US$100 millones en solo un año.

Y apareció un nuevo método de extorsión tras ransomware. Si hace un tiempo hablamos de los ataques de doble extorsión, ahora los desarrolladores de Ragnar Locker han aprovechado el acceso a una computadora que ya está infectada con su malware para obtener acceso a la cuenta de Facebook de Campari Group; compañía italiana de licores que aparentemente sufrió un ataque del ransomware Ragnar Locker.

En la primera fase, el ataque ocurrió el 3 de noviembre, en el que el Ragnar Locker logró robar 2TB de datos sensibles y exigió un rescate de US$15 millones en Bitcoin. A continuación dejamos la nota de rescate ofrecida por los operadores de Ragnar Locker.

Cuentas de Facebook pirateadas para ejecutar anuncios de extorsión

En la segunda fase, el investigador de seguridad Brian Krebs aseguró ver el anuncio de Facebook el 9 de noviembre. Aquí, los operadores de Ragnar Locker compraron los anuncios utilizando la cuenta pirateada de Facebook de Chris Hodson. Y luego se difundió este anuncio entre más de 7.000 usuarios antes de que Facebook lo notara y lo borrara, generando más de 700 clics.

Además, el propietario de la cuenta pirateada de Facebook, Chris Hodson, afirmó más tarde que por esta campaña publicitaria, Facebook le facturó 35 dólares.

Mientras que el 6 de noviembre, la empresa italiana de licores, Campari, emitió un comunicado de seguimiento en el que afirmaban que “en esta etapa, no podemos excluir por completo que se hayan tomado algunos datos personales y comerciales”.

En esta campaña publicitaria, los actores de amenazas utilizaron este título “Violación de seguridad de la red del Grupo Campari” por el “Equipo Ragnar_Locker” para difundir su anuncio en Facebook. Aquí, el objetivo principal de los actores de la amenaza es lograr la reputación de la víctima, y ​​en este caso, Campari.

Si quieres leer más sobre ransomware, te recomendamos el siguiente artículo.