Ransomware de triple extorsión

Imagen generada por inteligencia artificial

El malware de rescate, o ransomware, es un tipo de actividad cibercriminal que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder disponer de nuevo de ellos. Las primeras variantes de ransomware se crearon al final de la década de los 80, y el pago debía efectuarse por correo postal. Hoy en día los creadores de ransomware piden que el pago se efectúe mediante criptomonedas o tarjetas de crédito.

El ransomware de triple extorsión

El ransomware de triple extorsión ejecuta una vuelta de tuerca más a esta modalidad, e implica la sustracción de datos, la exigencia de un rescate económica a la empresa afectada y, además, el chantaje a los clientes.

Una de las primeras afectadas por la triple extorsión fue la clínica Vastaamo, en octubre de 2020. Esta clínica finlandesa, con unos 40.000 pacientes, a causa de una brecha de seguridad, sufrió el robo de la información de todas sus bases de datos.  

Tras el ataque, se exigió el pertinente rescate a la empresa, pero, además, también se solicitaban sumas económicas a los pacientes, que recibieron las peticiones de rescate individualmente por correo electrónico. En esos correos, los ciberdelincuentes amenazaban con publicar el contenido de las sesiones con sus terapeutas y detalles de sus tratamientos y afecciones.

A mayor escala, en febrero de 2021 el grupo de ransomware REvil anunció que había añadido dos etapas a su doble esquema de extorsión: ataques DDoS -un ataque DDoS envía multitud de solicitudes al recurso web atacado, con la intención de desbordar la capacidad de respuesta de este y provocar su caída- y llamadas telefónicas a los socios comerciales de la víctima y a los medios de comunicación.    

En estos ataques, los colaboradores externos y los proveedores de servicios, se ven afectados y perjudicados por las fugas de datos causadas por esta nueva amenaza, incluso si sus recursos de red no son el objetivo directo.

El pago medio de rescates por parte de las empresas ha aumentado un 171% en el último año, y ha costado 310.000 dólares de media a cada compañía atacada. Las fugas de datos han sido la principal consecuencia para más de 1.000 compañías que se negaron a cumplir con las peticiones de rescate en 2020.

Prevención del ransomware

  1. Levante la guardia durante los fines de semana y los días festivos: la mayoría de los ataques de ransomware durante el año pasado tuvieron lugar durante los fines de semana y días festivos, cuando es menos probable que la gente esté mirando.
  2. Parches actualizados: en el momento del famoso ataque de WannaCry en mayo de 2017, existía un parche para la vulnerabilidad EternalBlue utilizada por WannaCry. Este parche estaba disponible un mes antes del ataque y se etiquetó como «crítico» debido a su alto potencial de explotación. Sin embargo, muchas organizaciones e individuos no aplicaron el parche a tiempo, lo que resultó en un brote de ransomware que infectó a más de 200,000 computadoras en tres días. Mantener las computadoras actualizadas y aplicar parches de seguridad, especialmente aquellos etiquetados como críticos, puede ayudar a limitar la vulnerabilidad de una organización a los ataques de ransomware.
  3. Antiransomware: si bien los pasos de prevención de ransomware anteriores pueden ayudar a mitigar la exposición de una organización a las amenazas de ransomware, no brindan una protección perfecta. Algunos operadores de ransomware utilizan correos electrónicos de spear phishing bien investigados y altamente específicos como vector de ataque. Estos correos electrónicos pueden engañar incluso al empleado más diligente, lo que da como resultado que el ransomware obtenga acceso a los sistemas internos de una organización. La protección contra este ransomware que “se escapa por las grietas” requiere una solución de seguridad especializada. Para lograr su objetivo, el ransomware debe realizar determinadas acciones anómalas, como abrir y cifrar una gran cantidad de archivos. Soluciones antiransomware: monitorear los programas que se ejecutan en una computadora en busca de comportamientos sospechosos comúnmente exhibidos por ransomware, y si se detectan estos comportamientos, el programa puede tomar medidas para detener el cifrado antes de que se produzcan más daños.
  4. Educación: capacitar a los usuarios sobre cómo identificar y evitar posibles ataques de ransomware es crucial. Muchos de los ataques cibernéticos actuales comienzan con un correo electrónico dirigido que ni siquiera contiene malware, sino un mensaje diseñado socialmente que alienta al usuario a hacer clic en un enlace malicioso. La educación del usuario a menudo se considera una de las defensas más importantes que puede implementar una organización.
  5. Los ataques de ransomware no comienzan con Ransomware: Ryuk y otros ransomware compran bases de infección en organizaciones específicas. Los profesionales de seguridad deben estar al tanto de las infecciones de Trickbot, Emotet, Dridex y CobaltStrik dentro de sus redes y eliminarlas utilizando soluciones de búsqueda de amenazas, ya que abren la puerta para que Ryuk u otras infecciones de ransomware se infiltran en las organizaciones.

Gustavo Romero Sánchez

Criminólogo.

Gestor de Redes y Recursos Informáticos en el sector de la Seguridad

 

 

Fuentes:

europapress.es/portaltic/ciberseguridad

blog.ehcgroup.io

es.malwarebytes.com

ostec.blog/es

Síguenos en...