Este no es el ransomware de tu padre


Los operadores de ransomware apuntan a objetivos más grandes y golpean debajo del cinturón. Con las amenazas de extorsión y doxing agregadas a la mezcla, el ransomware se está convirtiendo en algo aún más siniestro.

(Imagen: logo3in1 a través de Adobe Stock)

Todos conocemos esa vieja expresión sobre trabajar duro. Probablemente tu papá lo usó varias veces. Sigue: Si al principio no tienes éxito, inténtalo, inténtalo de nuevo.

Desafortunadamente, a los cibercriminales se les dijo lo mismo, y están usando esa actitud de poder hacer para perfeccionar los ataques de ransomware, según Adam Kujawa, director de Malwarebytes Labs.

«Un grupo prueba parte de la tecnología utilizando troyanos y tal vez no funciona en ese momento», dice Kujawa. «Luego, unos años más tarde, alguien lo mejora y dice: &#39Vamos a hacerlo mejor&#39».

En basic, el objetivo del ransomware permanece en gran medida sin cambios: bloquear el acceso a los datos de la víctima a menos que se pague un rescate, dice Brent Johnson, director de seguridad de la información en Bluefin.

Lo que es diferente es el cómo.

«Con los primeros ataques que dependen de apartados postales y tarjetas prepagas, los ataques más nuevos exigen el pago mediante criptomonedas y utilizan técnicas de mezcla o monedas basadas en la privacidad como Monero, lo que hace que el pago sea muy difícil de rastrear», dice.

Lo que también ha cambiado, según Johnson, Kujawa, y varios otros investigadores con los que hablamos, es quién está siendo atacado con ransomware. Una vez más utilizados para atacar las máquinas personales de los consumidores con la esperanza de un pequeño pago de muchas víctimas, los atacantes han cambiado su enfoque a las empresas, con el objetivo de un gran día de pago.

«Es más possible que las empresas se sometan a las demandas del ransomware», dice Sivan Nir, líder del equipo de inteligencia de amenazas de Skybox Safety. «El impulsor detrás de esto es uncomplicated: tienen miedo de las multas regulatorias que tendrán que pagar si se exponen datos, regulaciones como el RGPD y otras medidas similares vigentes en los 50 estados de los Estados Unidos. Por lo tanto, pagan. Ransomware todavía afecta a las personas, pero los delincuentes están viendo rendimientos mucho mayores al apuntar a los negocios «.

Doxxing y Extortion Just take the Cake
Como señala Nir, doxware es «un nuevo caballo» en la carrera de ransomware. Esto se ha observado en gran medida con Maze, también conocido como ChaCha, un ransomware que se observó por primera vez en mayo de 2019. En noviembre de 2019, los autores del ransomware Maze comenzaron a divulgar públicamente a sus víctimas de la campaña publicando los nombres de las compañías que no habían acordado pagar.

«Doxware agrega un nuevo nivel de amenaza que no existía antes», dice Nir. «Si bien las ganancias asociadas con atacar con éxito una gran organización fueron lo suficientemente convincentes para los actores maliciosos, la capacidad de amenazar la exposición de datos confidenciales les da a los atacantes más influencia. Cuanto más miedo puedan incitar, mayor será el pago».

El ransomware laberinto a menudo es parte de la estrategia de ataque múltiple. Aparece en el segundo o tercer paso de un ataque, en oposición a una técnica de acceso inicial. Y está siendo utilizado por una variedad de grupos criminales sofisticados.

«Los actores de amenazas que varían en experiencia y financiamiento, desde grupos criminales hasta operaciones sofisticadas de estado-nación, no solo encriptan los datos de las víctimas, sino que primero roban una copia de los datos y amenazan con venderlos o deshacerse de ellos si no se les paga demasiado. rescate «, dice Adam Darrah, director de inteligencia de Vigilante. «Con el mismo tema, hemos visto a operadores de inteligencia de estados nacionales arrojar sus sombreros a un círculo que alguna vez fue únicamente una empresa felony para financiar regímenes sancionados o avergonzar a grandes corporaciones y gobiernos vistos como adversarios. Una lucha que una vez permaneció en las sombras es ahora público «.

Maze ya es responsable de muchos ataques vistos a finales del año pasado. Las víctimas incluyeron la firma de personal Allied Common y el fabricante de cables Southwire. En ambos, se exigieron millones de dólares a cambio de mantener los datos robados fuera de los ojos del público. Publicarlo ahora es posible porque los datos robados se extrajeron antes de cifrarse, dice Troy Gill, gerente de investigación de seguridad en AppRiver.

«Esta arruga adicional, donde los datos son robados antes del cifrado, es otro ejemplo de cómo los atacantes siempre están buscando ángulos para aumentar sus retornos», dice Gill. «Ya estamos viendo que más actores de ransomware adoptan este enfoque de exfiltración de datos para utilizarlo como palanca de pago de rescate».

Nuevas estrategias sucias para el futuro
Por supuesto, uno de los pilares de cualquier empresa lucrativa es la diversificación. Y el underground criminal que funciona en ransomware no es diferente. Ya se están probando nuevas técnicas, y los investigadores esperan que sean más comunes este año.

«Una nueva técnica que surgió a principios de este año es el abuso de las copias de seguridad en línea. El consejo general para las copias de seguridad es la &#39regla 3-2-1&#39», dice John Shier, experto senior en seguridad de Sophos. «Guarde tres copias de sus datos, use dos tipos de almacenamiento diferentes y mantenga al menos una copia fuera del sitio y fuera de línea».

El abuso, dice, ocurre en la parte de almacenamiento.

«Muchas organizaciones eligen las copias de seguridad en la nube como uno de sus tipos de almacenamiento deseados. Esto satisface el requisito de usar un medio de almacenamiento diferente, pero también hace que el proceso de copia de seguridad y restauración de archivos sea muy conveniente», dice Shier. «En este ataque, los delincuentes comprometerán las credenciales para el software program de copia de seguridad y restaurarán las copias de seguridad a los servidores bajo su control. Luego eliminarán las copias de seguridad y finalmente cifrarán los archivos en la red. Podemos esperar técnicas como esta y otros malos usos inteligentes de computer software legítimo para continuar y evolucionar durante el próximo año «.

AppRiver&#39s Gill dice que mientras las amenazas tradicionales basadas en correo electrónico continuarán, se están observando otras estrategias nuevas, como el uso del Protocolo de escritorio remoto (RDP) para obtener acceso completo a un sistema enviando una solicitud maliciosa a la computadora de la víctima.

Kujawa dice que espera ver más grupos de ransomware usando el tipo de tácticas empleadas por los atacantes de los estados nacionales.

«Solo va a seguir evolucionando», dice. «Cada vez que vemos a los Estados-nación atacando, hay mucha planificación involucrada. Están fuertemente financiados y quieren tener éxito. Las formas en que encuentran una participación generalmente están más involucradas».

Se espera que esa persistencia y planificación produzcan grandes ganancias, por lo que las empresas deben prepararse para lo peor y evaluar sus propias defensas contra un conjunto cada vez más sofisticado de ataques de ransomware.

«Dirigirse a negocios específicos puede requerir mucho tiempo de permanencia en una purple de víctimas, pasando de días a meses tratando de identificar una grieta en la armadura que puedan explotar», dice Nir de Skybox Stability. «Los atacantes no quieren perder su tiempo en ransomware que no ofrece rentabilidad. A medida que el ransomware se vuelve más sofisticado, aumentan las posibilidades de éxito. Cuando los delincuentes confían en que pueden beneficiarse de organizaciones con bolsillos más profundos que su Laptop promedio usuario, apuesto a que van a intentarlo. Y eso es exactamente lo que está sucediendo ahora «.

Contenido relacionado:

Joan Goodchild es una veterana periodista, editora y escritora que ha estado cubriendo la seguridad durante más de una década. Ha escrito para varias publicaciones y anteriormente se desempeñó como editora en jefe de CSO On line. Ver biografía completa

Más ideas





Enlace a la noticia original