Los delincuentes filtran cada vez más los datos robados para forzar el pago de Bitcoins.
Como si el ransomware ya no fuera lo suficientemente malo, más pandillas de ransomware ahora están filtrando datos de las víctimas antes de abandonar los sistemas criptobloqueados. Al buscar una mayor influencia para obligar a las víctimas a acceder a su demanda de rescate, los atacantes amenazan con filtrar datos robados y luego seguir adelante. Primero, filtran fragmentos de datos antes de filtrar mucho más, o todo lo que tomaron, en un intento de enseñar una lección a las futuras víctimas.
Esta "nueva y preocupante tendencia" en ransomware, como lo llama Raj Samani , científico jefe de McAfee, ha surgido rápidamente. Significa que además de lidiar con un ataque de ransomware, las víctimas también deben lidiar con una violación de datos, incluidas sus obligaciones de notificación legal.
En el pasado, muchas pandillas de ransomware afirmaron haber extraído datos de las víctimas y amenazaron con filtrarlos a menos que se cumplieran sus demandas. Pero generalmente era una amenaza vacía. Incluso si los atacantes robaron datos, los expertos en seguridad dicen que generalmente prefieren vender cualquier información valiosa en los mercados de delitos informáticos o ponerla a disposición de ellos mismos.
"Antes del cuarto trimestre de 2019, los eventos de extorsión por exfiltración de datos no eran tan frecuentes como el ransomware", dice Coveware , una firma de respuesta a incidentes de ransomware, en una publicación de su blog. "Estimamos que menos del 5 por ciento de los incidentes de extorsión cibernética empresarial involucraron la filtración de datos y fue extremadamente raro ver los dos métodos de extorsión combinados".
 |
Maze lidera el camino
Sin embargo, a fines de octubre de 2019, la pandilla de ransomware Maze descargó casi 700 MB de datos que había robado de Allied Universal, una firma de servicios de seguridad con sede en California. Y en diciembre de 2019, Maze creó un sitio web dedicado que enumera a las víctimas que aún no habían pagado, en el que comenzó a publicar extractos de datos robados (ver: Lista de víctimas Maze Ransomware ).
A principios de este mes, una víctima de Maze, el fabricante de cables Southwire, obtuvo una orden judicial en Irlanda para desconectar el sitio de Maze, luego fue alojada por un proveedor de alojamiento irlandés (ver: La víctima de Ransomware Maze demanda a atacantes anónimos ).
Los atacantes, que dicen que exigieron un rescate de $ 6 millones pagables en bitcoins, respondieron relanzando su sitio de nombre y vergüenza, esta vez alojado por las firmas chinas Alibaba y Tencent. En el foro ruso XSS sobre ciberdelincuencia, anteriormente conocido como DamageLab, la pandilla también arrojó el 10 por ciento de los 14.1 GB de datos que afirma haber robado a Southwire, diciendo que "hasta que acuerden negociar" la pandilla se filtraría un 10 por ciento más cada semana. "Use esta información de cualquier manera nefasta que desee", dijo la pandilla.
 |
En su sitio web relanzado, Maze ha seguido enumerando víctimas y volcando datos. "Si miras el sitio web de Maze, verás que incluye una firma de abogados en Houston, un laboratorio de pruebas médicas en Nueva Jersey y una firma de contadores con un par de ubicaciones en Nueva York", Brett Callow, analista de amenazas de la firma de seguridad Emsisoft, le dice a Information Security Media Group. "Hasta donde puedo decir, ninguna de estas compañías ha hecho una divulgación pública, por lo que las personas no se darán cuenta de que sus datos pueden haber estado expuestos".
 |
Sodinokibi y Nemty siguen
El mes pasado, los operadores de Sodinokibi, también conocidos como REvil y Sodin, dijeron que seguirían el ejemplo de Maze y ayudarían a los afiliados a filtrar datos extraídos de las víctimas que se negaron a pagar.
 |
Pero eso aparentemente sucedió esta semana. Bleeping Computer informa que una filial de Sodinokibi filtró públicamente datos que afirma haber robado de Artech Information Systems, con sede en Nueva Jersey, que se describe en su sitio web como "un proveedor de diversidad perteneciente a minorías y mujeres y una de las compañías de personal de TI más grandes en los EE.UU"
Después de Maze y Sodinokibi, los desarrolladores de Nemty ransomware ahora están prometiendo a los afiliados que su portal de administrador pronto les dará funcionalidad para filtrar los datos de las víctimas que no pagan a un sitio web dedicado, informa Bleeping Computer.
Datos extraídos utilizados para chantajear a personas
Algunas pandillas también están utilizando datos robados para apuntar no solo a organizaciones sino a individuos.
El Dr. Richard E. Davis, quien dirige el Centro de Restauración Facial - TCFFR - en Miramar, Florida, publicó la semana pasada un aviso en el sitio web de su consultorio diciendo que a principios de noviembre de 2019, los atacantes infectaron un servidor con ransomware y luego exigieron un rescate para No filtrar la información de identificación personal.
 |
Vergüenza puede ser contraproducente
Los expertos en seguridad dicen que aún no se sabe si el filtrado de datos conducirá a un aumento o disminución de los ingresos de las bandas de ransomware.
"Aún está por verse si el modelo de negocio 'robar y encriptar' resulta más rentable que los ataques tradicionales de solo encriptación", dice Callow de Emsisoft. "¿Las empresas realmente estarán dispuestas a pagar a las empresas criminales por una promesa de meñique de no divulgar o monetizar sus datos si se paga un rescate? ¿O no extorsionarlos por segunda o tercera vez? Además, el hecho de que las empresas pueden notar que se produce la exfiltración y tomar medidas antes de implementar el ransomware significa que podría haber menos ataques exitosos".
Coveware cree que la estrategia de descarga de datos de las bandas de ransomware está condenada al fracaso, por dos razones.
Primero, una vez que los datos han salido del edificio, el movimiento inteligente es liberar a los abogados corporativos y hacer que notifiquen a los reguladores, ya que los datos ya han sido expuestos a actores maliciosos. En otras palabras, es una violación de datos. Como señala Coveware: "No es el crimen, sino el encubrimiento" lo que causa problemas reales.
"La prensa negativa de la violación solo puede empeorar si la prensa negativa incluye un encubrimiento", dice. "Dicho esto, no esperamos que todas las víctimas se revelen por sí mismas. Algunas optarán por pagar y mitigar el daño potencial de la marca".
En segundo lugar, las amenazas de fuga de datos de los atacantes y los intentos de seguimiento para avergonzar a las empresas para que paguen pueden ser contraproducentes. "La vergüenza puede provocar enojo y obstinación como respuesta, no obediencia y control como esperan los atacantes", dice Coveware. "Además, las compañías que enfrentan esta amenaza pueden mitigar los efectos tomando el camino responsable: notificar a la policía, hacer las notificaciones y divulgaciones requeridas, comprometerse a enmendar la seguridad, e incluso pueden ganar aplausos al afirmar que no cederán ante la extorsión cibernética pagando ".
'Realidades desafortunadas'
Como dice la placa de notificación de violación de datos con tanta frecuencia: "Los ciberataques son una de las realidades desafortunadas de hacer negocios hoy". Incluso las empresas bien preparadas pueden ser víctimas de violaciones de datos o ransomware. Pero como lo han demostrado Maersk y Norsk Hydro, comunicarse claramente sobre lo que sucedió, permanecer transparente y trabajar para mejorar las defensas genera una enorme buena voluntad.
Muy a menudo, en otras palabras, se trata menos de que las organizaciones sean pirateadas, y más acerca de cómo responden al pirateo. Aun así, prepárese para una avalancha de datos descargados mientras las pandillas de ransomware siguen probando para ver si "nombrar y avergonzar" realmente conducirá a más víctimas a pagar un rescate.
Fuente: Bank Info Security
0 Comentarios