El nuevo ransomware hace una triple extorsión

  • Security and Risk Management

Stormshield-ransomware

El ransomware no es nada nuevo. Pero las tácticas, técnicas y procedimientos (TTP) aprovechadas por los actores de amenazas han alcanzado nuevos niveles de sofisticación en los últimos años. Y con ese crecimiento ha surgido una mayor dificultad para proteger las redes contra ataques costosos como el reciente DarkSide en Colonial Pipeline.

Inicialmente, los actores de amenazas solo usaban malware relacionado con ransomware para restringir el acceso a los datos de los usuarios encriptando archivos en dispositivos individuales u organizacionales. A cambio de la clave de descifrado, las víctimas debían pagar un rescate en Bitcoin. 

El malware en ese momento generalmente se propaga a través de malspam, también conocido como spam malicioso. Malspam es un método frecuente y eficaz para enviar correos electrónicos de forma masiva que contienen un enlace malicioso o un documento infectado. Una vez que una víctima ha abierto el archivo, se ejecuta una macro en segundo plano e infecta sus dispositivos con un malware diseñado para cifrar archivos. Si no paga el rescate o no tiene un conjunto de copias de seguridad, perderá todos los datos del dispositivo. 

Desde entonces, hemos visto una evolución en los ataques de ransomware que afectan a corporaciones, hospitales y agencias gubernamentales. Y debido a que algunas víctimas se negaron al pago, los actores de amenazas comenzaron a desarrollar formas ingeniosas de infectar más dispositivos. Por ejemplo, en lugar de confiar en malspam y engañar a alguien para que haga clic en un enlace, comenzaron a usar exploits para comprometer e infectar dispositivos con configuraciones remotas vulnerables. Un ejemplo bien conocido de esto es el ataque de ransomware WannaCry en 2017.

Y una vez más, dado que algunas víctimas habían capacitado adecuadamente a su personal o se negaron a pagar porque tomaron precauciones y tenían refuerzos, los actores de amenazas comenzaron a desarrollar formas adicionales de ejercer presión adicional sobre sus víctimas. En 2019, los grupos de ransomware DopplePaymer y Maze hicieron precisamente eso al duplicar y filtrar los datos de las víctimas. Por lo tanto, si las víctimas decidían no pagar el rescate inicial porque tenían copias de seguridad, se les amenazaba con la divulgación de datos financieros, de clientes o personales confidenciales. 

Desafortunadamente, este tipo de doble extorsión se ha vuelto más frecuente en los últimos dos años, principalmente porque los actores de amenazas ven la exfiltración como un plan de respaldo en caso de que sus víctimas decidan no pagar por las claves de descifrado.

Hoy en día, puede haber cerca de una docena o más de grupos de ransomware en la web oscura que filtran archivos confidenciales para demostrar que los datos fueron robados. La filtración a menudo se amplifica cuando los medios se dan cuenta y el mundo pronto se entera de la última víctima de ransomware. 

Para empeorar las cosas, ahora vemos una complicación adicional al ransomware, una triple amenaza de extorsión, ejemplificada por el grupo de ransomware Avaddon. Sus datos no solo se cifran y exfiltran, sino que si no responde a la amenaza original de pago o la amenaza de una fuga de datos, los atacantes pueden lanzar un ataque DDoS contra sus servicios como una forma de devolverlo a la mesa de negociación.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.