Un grupo de ransomware conocido como DragonForce afirma haber llevado a cabo una intrusión en Mobilelink USA, un gran minorista que opera tiendas Cricket Wireless en todo Estados Unidos. El grupo afirmó que extrajo más de 5TB de datos de los sistemas de la empresa. Los atacantes alegan que el material incluye documentos internos e información relacionada con clientes, aunque no han publicado archivos de muestra para verificar la afirmación.
Mobilelink USA gestiona más de 550 tiendas con la marca Cricket en 21 estados. Los analistas de seguridad afirmaron que, si las afirmaciones son precisas, el impacto potencial podría extenderse a una amplia base de clientes. Señalaron que los minoristas suelen tener una mezcla de datos operativos, incluyendo datos de contacto de clientes, registros de compra de dispositivos e información relacionada con cuentas utilizada para apoyar la activación del servicio. Los analistas afirmaron que cualquier exposición de este material podría aumentar el riesgo de intentos de phishing y otras formas de fraude.
DragonForce, vinculado a Rusia, es descrito por los investigadores como un ransomware activo como una organización de servicios involucrada en campañas globales de robo de datos y extorsión. El grupo ha sido vinculado a incidentes que afectan a empresas de diversos sectores. Los especialistas dijeron que DragonForce suele anunciar las brechas publicando afirmaciones no verificadas antes de publicar pruebas de robo de datos. Añadieron que este enfoque tiene como objetivo presionar a las organizaciones para que negocien.
La intrusión en Mobilelink USA aún no ha sido confirmada por la compañía. No se ha emitido ninguna declaración pública y los detalles sobre la naturaleza del ataque siguen siendo limitados. Los analistas de ciberseguridad señalaron que, en los casos en que los atacantes afirman haber extraído grandes conjuntos de datos, las empresas suelen realizar investigaciones forenses paralelas para validar o refutar las acusaciones. Dijeron que estas consultas pueden llevar tiempo porque los investigadores deben examinar la actividad del servidor, los registros y el comportamiento de la red para identificar posibles puntos de acceso.
Los expertos afirmaron que si los datos de los clientes fueran comprometidos, las personas podrían enfrentarse a intentos de obtener información personal adicional mediante comunicaciones fraudulentas. Los atacantes suelen utilizar datos parciales para crear mensajes convincentes que parecen provenir de equipos legítimos de atención al cliente. Los analistas aconsejaron a los clientes de Cricket Wireless y Mobilelink USA que supervisen la actividad de las cuentas, revisen los extractos de facturación y permanezcan atentos a contactos no solicitados que soliciten verificación de datos personales.
Los grupos de ransomware suelen dirigirse a minoristas debido a sus grandes bases de clientes y entornos de TI distribuidos. Los analistas señalaron que los sistemas de punto de venta, las plataformas de atención al cliente y las herramientas de gestión de dispositivos pueden ofrecer oportunidades para los atacantes si las redes no están completamente segmentadas o monitorizadas. Añadieron que los minoristas dependen de la disponibilidad continua del sistema para apoyar las operaciones diarias, lo que puede hacerles vulnerables a la extorsión.
Las autoridades policiales y de ciberseguridad continúan rastreando a grupos de ransomware especializados en robo de datos. Los investigadores señalaron que los ataques impulsados por la extorsión siguen siendo un desafío importante porque los atacantes suelen operar a través de fronteras y dependen de canales de comunicación cifrados. Señalaron que las denuncias de robo de datos a veces se exageran, pero deben evaluarse cuidadosamente porque incluso una exposición limitada puede crear riesgos para las personas.
Mobilelink USA no ha indicado cuándo se publicará más información. Los analistas esperan más detalles una vez que la empresa complete las evaluaciones iniciales o si el grupo de ransomware publica pruebas.