Grupos de ransomware que publican datos robados incluso después del pago

Seguridad Inteligente

04 DIC 2020

Es cada vez más probable que las bandas de ransomware rompan su promesa de no filtrar datos robados una vez que la víctima les haya pagado.

Un análisis del tercer trimestre de 2020 asegura que la exfiltración de datos ahora es parte de casi la mitad de todos los ataques de ransomware, que se utilizan para impulsar la monetización entre las organizaciones víctimas que han realizado copias de seguridad.

Sin embargo, la táctica ahora ha llegado a un punto de inflexión, con grupos como Sodinokibi, Maze, Netwalker, Mespinoza y Conti comenzando a publicar datos incluso después del pago, y / o exigir que se pague un segundo rescate para evitar la publicación.

“A pesar de que algunas empresas optan por pagar a los actores de amenazas para que no divulguen los datos exfiltrados, se ha visto cómo los ciberdelincuentes han perdido las promesas de eliminar los datos”, explicó el informe.

El estudio instó a las organizaciones víctimas a pensar detenidamente sobre su estrategia y responsabilidades a largo plazo al formular una respuesta.

"Esto incluye obtener el asesoramiento de abogados de privacidad competentes, realizar una investigación sobre qué datos se tomaron y realizar las notificaciones necesarias que resulten de esa investigación y asesoramiento", dijo.

"Pagarle a un actor de amenazas no elimina nada de lo anterior, y dados los resultados que hemos visto recientemente, pagarle a un actor de amenazas para que no filtre datos robados casi no beneficia a la víctima".

La interrupción del negocio ahora es de 19 días, un 19% más que en el segundo trimestre, mientras que el pago promedio ha aumentado un 31% a 233.817 dólares, ya que los atacantes apuntan cada vez más a empresas más grandes. Se han dado cuenta en los últimos meses de que hacerlo mejorará significativamente los márgenes sin aumentar los costos operativos o el riesgo, señaló el informe.

Sin embargo, a pesar de los ataques de titulares a marcas de renombre, las pymes se ven afectadas de manera desproporcionada por el ransomware: las organizaciones con hasta 100 empleados representaron el 32% de los ataques en el tercer trimestre, mientras que aquellas con hasta 1000 trabajadores representaron el 73%.

RDP sigue siendo el vector de ataque principal para los grupos de ransomware, y con el suministro de credenciales comprometidas que superan la demanda, las barreras de entrada seguirán cayendo, lo que permitirá que los ciberdelincuentes técnicamente menos sofisticados se involucren en el ransomware, advirtió.

“Hasta que las empresas no presten atención al riesgo de una conexión RDP mal asegurada, este vector de ataque seguirá siendo el objetivo más rentable para que lo exploten los actores de amenazas de ransomware”, dijo.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.