El grupo criminal Fog Ransomware, activo desde 2024, ha intensificado sus métodos de extorsión al publicar información robada junto con direcciones IP en la Dark Web
La firma de ciberseguridad Kaspersky ha lanzado una seria advertencia sobre la evolución de las tácticas empleadas por Fog Ransomware, un grupo criminal que ha comenzado a utilizar una nueva modalidad de extorsión digital particularmente agresiva: la exposición pública no solo de datos robados, sino también de las direcciones IP de sus víctimas.
Fog Ransomware opera bajo el modelo de Ransomware como Servicio (RaaS, por sus siglas en inglés), lo que permite que sus herramientas maliciosas sean utilizadas por distintos actores cibernéticos a cambio de una comisión. Identificado por primera vez a inicios de 2024, este grupo ha dirigido sus ataques a sectores como la educación, las finanzas y el entretenimiento, aprovechando credenciales VPN comprometidas para infiltrarse en sistemas Windows y Linux y cifrar información crítica en cuestión de horas.
Hasta hace poco, el grupo aplicaba la conocida técnica de doble extorsión: secuestraban los datos mediante cifrado y amenazaban con hacerlos públicos si la víctima se negaba a pagar el rescate. Sin embargo, los investigadores han detectado un cambio significativo en su estrategia: ahora, además de divulgar la información sustraída, también exponen públicamente las direcciones IP de las organizaciones atacadas en foros de la Dark Web. Esta práctica no solo agrava el daño reputacional, sino que también deja los sistemas vulnerables a nuevos ciberataques, incluyendo técnicas como el credential stuffing (uso masivo de combinaciones de usuarios y contraseñas robadas) y el reclutamiento en redes de botnets.
“Este nuevo enfoque busca intensificar la presión psicológica y operativa sobre las víctimas, quienes enfrentan ahora no solo la amenaza de pérdida de datos, sino también el riesgo inmediato de sufrir ataques adicionales o sanciones regulatorias por fallas en la protección de la información”, explicó Fabio Assolini, director del Equipo Global de Investigación y Análisis (GReAT) para América Latina en Kaspersky.
Según el experto, la publicación de direcciones IP podría estar motivada también por una estrategia de marketing del miedo por parte de los ciberdelincuentes. “Buscan proyectar una imagen de brutalidad y capacidad destructiva para forzar pagos más rápidos y, al mismo tiempo, disuadir a otras posibles víctimas de resistirse al chantaje”, añadió.
Recomendaciones ante esta nueva amenaza
Frente a este panorama, Kaspersky enfatiza la necesidad de adoptar un enfoque proactivo y robusto en materia de ciberseguridad empresarial. Las recomendaciones incluyen:
- Capacitación continua del personal: Impartir cursos sobre fundamentos de ciberseguridad para fortalecer la conciencia del personal ante amenazas emergentes y promover hábitos seguros en el entorno digital.
- Respaldos frecuentes: Establecer rutinas de copias de seguridad de datos y sistemas críticos para asegurar la recuperación operativa ante un ataque.
- Soluciones de seguridad avanzadas: Implementar herramientas de protección con capacidades de detección y respuesta ante amenazas (EDR, por sus siglas en inglés), como Kaspersky Next EDR Foundations, que permiten prevenir ataques de ransomware y otras formas de malware.
- Inteligencia de amenazas actualizada: Acceder a servicios como Kaspersky Threat Intelligence, que proporciona información crítica en tiempo real sobre ciberamenazas activas, para anticipar ataques y mejorar la respuesta a incidentes.
Los especialistas concluyen que, ante el aumento en la sofisticación y agresividad de los grupos criminales como Fog Ransomware, reforzar los sistemas de ciberseguridad ya no es opcional, sino una obligación urgente para cualquier organización que desee proteger su integridad digital, evitar daños financieros y salvaguardar la confianza de sus clientes y usuarios.
