Un nuevo grupo cibercriminal que se dedica a la extorsión llamado Groove podría atacar a instituciones públicas y privadas en México, así lo advirtió una investigación hecha por la firma SILIKN, quien reveló que dicho grupo de atacantes ofrece su Ransomware como un servicio para quien quiera atacar, pueda hacerlo.
Víctor Ruíz, fundador de SILIKN, advirtió que en México muchas instituciones públicas y privadas carecen de herramientas que los protejan ante eventuales ataques cibernéticos.
En este sentido, la unidad de investigación de SILIKN considera importante estar alertas ante posibles ataques de Groove en los siguientes seis a ocho meses dirigidos contra objetivos en México y algunos otros países de América Latina. La recurrencia de ataques de ransomware es otra faceta que revela las profundas fallas en la infraestructura de ciberseguridad de países en América Latina”, aseveró el especialista.
El reporte señala que Groove tiene una estructura que se diferencia del resto de los grupos delictivos, ya que a pesar de manejar el modelo de ransomware como servicio (RaaS), los criminales han dado a conocer que trabajarán con cualquiera, siempre y cuando haya ganancias, dijo la firma de ciberseguridad.
Además advirtió que el grupo surgió de forma sigilosa en julio de 2021 con un sitio web en el idioma ruso, por lo que se presume que se trata de un grupo conformado por exintegrantes de bandas desaparecidas como Avaddon o DarkSide o de bandas como Babuk que ya han atacado a instituciones en México como la Lotería Nacional.
Existen algunas pruebas de que Groove ha colaborado con la banda de ransomware BlackMatter, grupo delictivo considerado como una versión actualizada de los cibercriminales de DarkSide, una banda rusa responsable del ataque al oleoducto Colonial Pipeline, en mayo de 2021. Un punto fundamental es que hace algunos días de la semana, Groove ha estado vinculado con la filtración de alrededor de 500 mil contraseñas de redes privadas virtuales de la empresa de ciberseguridad Fortinet”, detalló Víctor Ruíz.
El reporte además señala que el representante de Groove es probablemente un cibercriminal que opera bajo el alias de “SongBird” y que es conocido por ser un exoperador de Babuk y creador del foro digital clandestino centrado en ransomware, conocido como RAMP, un mercado negro accesible a través de la red TOR que está completamente dedicado a brindar coordinación, comunicación y apoyo organizacional para los grupos cibercriminales de ransomware y extorsión.