Ransomware de extorsión… sin ransomware

La extorsión de datos no requiere el uso de ransomware. Esto ha sido probado una vez más por el grupo Luna Moth (también conocido como Silent Ransom). Ha estado activo desde marzo y se enfoca principalmente en ataques de extorsión de brechas de datos. La pandilla ha estado atacando organizaciones para sustraer información confidencial y […]

La extorsión de datos no requiere el uso de ransomware. Esto ha sido probado una vez más por el grupo Luna Moth (también conocido como Silent Ransom). Ha estado activo desde marzo y se enfoca principalmente en ataques de extorsión de brechas de datos.

La pandilla ha estado atacando organizaciones para sustraer información confidencial y amenazando a las víctimas con poner los archivos a disposición del público a menos que se pague un rescate.

Una aspecto clave en el modus operandi de Luna Moth, es que utilizan el phishing como método de entrada.

Durante los últimos tres meses, Luna Moth llevó a cabo una campaña a gran escala que engañó a las víctimas con correos electrónicos de suscripción falsos para usar los servicios de Duolingo, Zoho o MasterClass.

Luna Moth utiliza correos electrónicos que se parecen a las marcas, sin embargo, es una estafa obvia ya que los mensajes se envían desde cuentas de Gmail.

El correo electrónico contiene un PDF adjunto y se insta al objetivo a llamar a un número de teléfono si surge algún problema con la suscripción.
El grupo utiliza herramientas bastante básicas, como AnyDesk, Atera, Syncro y Splashtop.

Estos permiten al atacante ganar persistencia; si una de las RAT se desinstala del sistema, otras pueden reinstalarla.

Otras herramientas estándar utilizadas incluyen Rclone, SoftPerfect Network Scanner y SharpShares. Estas herramientas se hacen pasar por binarios legítimos y se almacenan en máquinas comprometidas con nombres falsos.

Luna Moth no tiene un conjunto de objetivos específico; en cambio, despliega ataques oportunistas en los que extrae cualquier información disponible y la usa para la extorsión.

Otros grupos con el mismo modo de operación

RansomHouse es otro actor de amenazas que se involucra en la extorsión de datos sin el uso de ningún ransomware. Surgió en marzo y enumeró cuatro víctimas en su sitio Onion.

Los atacantes han declarado que abusan de las vulnerabilidades para infiltrarse en una red en lugar de usar cualquier ransomware o construir un módulo de cifrado. AMD se convirtió en su última víctima, en la que la pandilla afirmó haber robado 450 GB de datos.