Un estudio realizado por el proveedor de soluciones de riesgo, Kroll, indicó que un grupo de piratas informáticos de Rusia logró presentar solicitudes falsas de desempleo ante el Departamento de Seguridad de Empleo del Estado de Washington, o ESD, a través de un ataque de ransomware contra un proveedor de atención médica en los EE. UU.

Según una investigación publicada el 17 de junio, la empresa observó en el historial del navegador de los ciberdelincuentes que accedieron a varias cuentas de Gmail. Luego activaron dos perfiles en el sitio de ESD utilizando estas direcciones de correo electrónico.

Grupos organizados de ciberdelincuentes

El ataque de ransomware, realizado el 12 de mayo, ejecutó el virus Mamba que utiliza la encriptación completa del disco duro para atacar a sus víctimas. Kroll encontró que los datos estaban asociados con residentes del estado de Washington.

El informe dice que la información recopilada muestra que grupos de delincuencia organizada transnacional están presentando falsas solicitudes ante los seguros de desempleo de residentes de varios estados de EE. UU, específicamente Washington y Massachusetts. 

La hipótesis parece ser que los delincuentes cibernéticos probablemente aprovechan lotes robados de información personal expuestos en varios mercados de la darkweb. 

Kroll descubrió que estos criminales comenzaron a acceder a la red de proveedores de atención médica a fines de abril y afirman que los atacantes intentaron realizar un ataque fallido de ransomware a GoGoogle que fue rápidamente neutralizado por el personal de TI.

Los ataques siguen aumentando en los EE.UU

Hablando con Cointelegraph, Nicole Sette, vicepresidenta senior de Kroll y ex analista de inteligencia cibernética del FBI, dijo que los ataques de ransomware y solicitudes falsas de desempleo relacionado con COVID continúan afectando a organizaciones en todo Estados Unidos:

"En este caso, Kroll encontró ataques de ransomware y falsas solicitudes de desempleo que reveló las diversas tácticas, técnicas y procedimientos que los actores utilizan para robarle a las víctimas. Seguimos viendo cómo los ciberdelincuentes llevan a cabo intrusiones multifacéticas, aprovechando diversos planes para extraer información personal, fondos y datos de propiedad de las víctimas. La conclusión fundamental de este informe es que estos ciberdelincuentes emplean diversas técnicas para aprovechar su acceso a la red".

Sette también proporcionó más detalles sobre el ataque de ransomware con el virus Mamba:

"Dado que Mamba utiliza el cifrado de disco completo, un método de ataque diferente que son más difíciles de remediar para los equipos de TI. Se sabe que Mamba violenta el Protocolo de Escritorio Remoto (RDP) para obtener acceso a las redes de las víctimas y puede moverse lateralmente a través de una red".

Sette advierte: "Kroll piensa que los ataques de ransomware continuarán ganando fuerza durante la pandemia COVID-19 debido al aumento de las vulnerabilidades de la red relacionadas con el trabajo de forma remota, y muchas empresas no han asegurado bien su RDP/VPN".

Incidentes recientes de ransomware

Recientemente, Cointelegraph informó sobre otro estudio de Kroll que identificó una tendencia creciente en el uso del troyano Qakbot, o Qbot. Se sabe que este troyano lanza campañas de hijacking en hilos de correo electrónico para desplegar ataques de ransomware.

El 28 de mayo, el equipo de seguridad de Microsoft reveló un nuevo tipo de ransomware que usa "fuerza bruta" contra el servidor de administración de sistemas de su compañía objetivo. Se ha dirigido principalmente al sector de la salud en medio de la crisis de COVID-19.

Sigue leyendo: