Nueva pandilla de extorsión ‘Donut Leaks’ vinculada a ataques recientes de ransomware

Un nuevo grupo de extorsión de datos llamado 'Donut Leaks' está vinculado a ataques cibernéticos recientes, incluidos los de la empresa griega de gas natural DESFA, la firma de arquitectura del Reino Unido Sheppard Robson y la empresa multinacional de construcción Sando.

Dos víctimas revelaron estos ataques sin mucha información sobre quién estaba involucrado.

Durante el fin de semana,  DESFA confirmó que sufrieron un ciberataque  después de que Ragnar Locker filtrara capturas de pantalla de datos supuestamente robados.

A principios de este mes, Sheppard Robson reveló un ataque de ransomware y un intento de extorsión, pero no proporcionó detalles sobre quién pirateó su red.

Finalmente, Hive Ransomware afirmó el mes pasado haber atacado a Sando, pero solo publicó un pequeño archivo de archivos como "prueba" del ataque.

Extrañamente, los datos de estas víctimas ahora han aparecido en el sitio de fuga de datos de una pandilla de extorsión previamente desconocida conocida como Donut Leaks. Además, los datos compartidos en el sitio de Donut Leaks son mucho más extensos que los compartidos en los sitios de ransomware, lo que indica que este nuevo actor de amenazas estuvo involucrado en los ataques.

¿Quiénes son Donut Leaks?

BleepingComputer se enteró por primera vez del grupo de extorsión Donut Leaks por un empleado de una de las víctimas, quien nos dijo que los actores de la amenaza violaron la red corporativa para robar datos.

Una vez que los actores de amenazas terminaron de robar datos, se le dijo a BleepingComputer que enviaron por correo electrónico las URL de sus sitios de extorsión Tor a los socios comerciales y empleados de la víctima.

Estos sitios Tor consisten en un blog vergonzoso y un sitio de almacenamiento de datos que permite a los visitantes navegar y descargar todos los datos filtrados y robados.

El vergonzoso blog actualmente contiene entradas para cinco víctimas, y todas menos una contienen descripciones genéricas de la empresa y un enlace a sus datos robados.

Sin embargo, para una de las entradas, los actores de amenazas parecieron adoptar un enfoque más agresivo, compartiendo fotos robadas de la fiesta de Navidad y una larga diatriba contra la empresa.

donut-leaks-header

El servidor de almacenamiento de datos robados ejecuta la aplicación File Browser , que permite a los visitantes navegar a través de todos los datos robados almacenados en el servidor, desglosados ​​por la víctima.

Si bien solo hay cinco víctimas enumeradas en el sitio vergonzoso, el servidor de almacenamiento contiene lo que parecen ser diez víctimas.

Como puede ver a continuación, tres víctimas están relacionadas con ataques recientes revelados por Sheppard Robson y DESFA, con Sando previamente reclamado por Hive. BleepingComputer ha redactado los nombres de las otras empresas, ya que no han anunciado que hayan sufrido un ciberataque.

data-storage-site

Según las estadísticas del Explorador de archivos, los actores de la amenaza han filtrado aproximadamente 2,8 TB de datos robados de estas diez víctimas.

Se desconoce si los actores de amenazas implementan ransomware cuando violan las redes o son simplemente un grupo de extorsión de datos.

Sin embargo, Sheppard Robson reveló que su reciente ataque fue un ataque de ransomware.

"Como es típico con un ataque de ransomware, los delincuentes se comunicaron con nosotros para extorsionarlos", reveló Sheppard Robson.

"Nos hemos negado a pagar dinero a los atacantes según las directrices de ICO y NCSC y hemos denunciado el incidente a la policía".

Además, dos operaciones diferentes de ransomware reclamaron la responsabilidad de DESFA (Ragnar Locker) y SANDO (Hive).

Esto probablemente significa que el actor de amenazas que ejecuta Donut Leaks es un evaluador de penetración o un afiliado de Hive, Ragnar Locker y posiblemente otras operaciones de ransomware.

En conversaciones anteriores con 'pentesters' para Ragnar Locker, los actores de amenazas nos dijeron que trabajan para múltiples operaciones de Ransomware-as-a-Service para proporcionar a los afiliados acceso a las redes internas. En algunos casos, estos pentesters robarán los datos y los guardarán para ellos si sienten que los datos tienen valor.

Este nuevo grupo de extorsión ilustra cómo los datos robados llegan a manos de múltiples grupos, cada uno de los cuales prueba sus propios métodos para extorsionar a las víctimas.También muestra que pagar una demanda de rescate no siempre puede evitar que se filtren sus datos y aún podría generar más demandas de extorsión.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies