Cómo los atacantes de ransomware están duplicando sus tácticas de extorsión


Los ciberdelincuentes amenazan no solo con mantener a los datos confidenciales como rehenes, sino también con liberarlos públicamente a menos que se pague el rescate, dice el proveedor de inteligencia de amenazas cibernéticas Check out Stage Exploration.

El aumento del ransomware representa una amenaza para todo tipo de organizaciones, desde pequeñas empresas hasta grandes corporaciones, hospitales y agencias gubernamentales. Los ciberdelincuentes confían en la expectativa de que al menos algunas organizaciones sucumbirán a las demandas de rescate con la esperanza de recuperar archivos confidenciales y a menudo irremplazables. Pero para aumentar la amenaza, los atacantes ahora están duplicando sus tácticas de extorsión al amenazar también con divulgar la información confidencial públicamente a menos que las víctimas paguen.

UN informe publicado el jueves por Examine Issue Investigation ilustra cómo funcionan estos ataques de ransomware. En una tendencia en aumento durante el primer trimestre de 2020, los atacantes extraen grandes cantidades de información comercial wise. Más allá de exigir dinero para descifrar los datos robados, los delincuentes prometen publicarlos como una forma de presionar más a las organizaciones que no están seguros de cómo responder a la amenaza.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

En uno de esos casos desde noviembre de 2019, los atacantes usaron el Ransomware laberinto para robar datos confidenciales de la empresa estadounidense de personalized de seguridad Allied Universal y luego exigió 300 Bitcoins (alrededor de $ 2.3 millones) para descifrarlos. Después de que Allied Common se negó a pagar el rescate, los delincuentes dijeron que usarían el correo electrónico robado y los certificados de nombre de dominio para una campaña de spam que se hace pasar por la compañía. Los atacantes incluso publicaron muestras de los archivos, incluidos contratos, registros médicos y certificados de cifrado. Posteriormente, también publicaron un enlace que decía apuntar al 10% de los datos robados junto con una nueva demanda de rescate que period un 50% más alta.

ransomware-demand-allied-universal-check-point-research.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/04/16/7f49859f-ab82-473e-b571-a678cd52ec19 /resize/770x/17f5fff9816907a7bfbc90f39cb1bde2/ransomware-demand-allied-universal-check-point-research.jpg

Imagen: Examine Stage Investigation

En un caso reciente, los hackers que usan Ransomware Sodinokibi (también conocido como REvil) robó archivos confidenciales de la Countrywide Feeding on Ailments Association y descargó la información en sus servidores. En una publicación de site, REvil advirtió a la asociación que si se negaba a negociar, la información se publicaría en el web site. El 4 de abril, los atacantes siguieron su amenaza y filtraron los archivos, según el sitio de noticias en línea Medium.

ransomware-demand-national-eating-disorder-association-check-point-research.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/04/16/fb596185-8e53-40e4 -a2f5-312ac4f48f18 / resize / 770x / ccc01084eb602300599d1a34917ec9f7 / ransomware-demand-national-eating-ideal-disorder-association-check-point-research.jpg

Imagen: Check Issue Exploration

En un caso que tuvo lugar la víspera de Año Nuevo, los operadores de REvil lanzaron un ataque cibernético contra la empresa de cambio de divisas Travelex en el que robaron fechas de nacimiento, información de tarjetas de crédito y números de seguro nacional. Los atacantes le dieron a Travelex solo dos días para pagar un rescate de $ 6 millones. Si no, la demanda de rescate se duplicaría. Si no se recibió ningún pago dentro de una semana, los operadores prometieron vender la foundation de datos completa. Travelex se vio obligado a desconectarse durante tres semanas para recuperarse del ataque.

Los hospitales a menudo son un objetivo tentador para los ataques de ransomware, especialmente durante las crisis médicas. Los empleados del medical center pueden estar tan concentrados en la atención al paciente y en emergencias que pueden olvidar los procedimientos de seguridad adecuados. Los hospitales también tienen registros sensibles de pacientes y de salud, que son valiosos en la internet oscura. Además, los hospitales pueden no estar actualizados en productos y parches de seguridad.

Con el coronavirus causando la muerte y la devastación en todo el mundo, algunos grupos de ransomware han prometido dejar los hospitales solos durante este período. Después de ser criticado por atacar a una firma médica del Reino Unido que trabaja en COVID-19, el grupo Maze emitió una declaración pública diciendo que detendría toda actividad contra las organizaciones médicas hasta que la situación del virus se estabilice. Sin embargo, las promesas de los delincuentes no significan mucho, por lo que los hospitales aún deben estar en guardia contra los ataques de ransomware, especialmente aquellos que utilizan la táctica de doble extorsión.

«La doble extorsión es una tendencia clara y creciente de ataque de ransomware», dijo Loten Finkelsteen, gerente de inteligencia de amenazas de Examine Issue, en un comunicado de prensa. «En esta táctica, los actores de amenazas arrinconan a sus víctimas aún más al introducir información confidencial en los lugares más oscuros de la world wide web para corroborar sus demandas de rescate. Nos preocupa especialmente que los hospitales tengan que enfrentar esta amenaza. Con su enfoque en pacientes con coronavirus, abordando un ataque de ransomware de doble extorsión sería muy difícil. Emitimos precaución a los hospitales y las grandes organizaciones, instándolos a hacer una copia de seguridad de sus datos y educar a su individual «.

VER: Coronavirus: políticas y herramientas críticas de TI que toda empresa necesita (TechRepublic High quality)

Para los hospitales y otras organizaciones susceptibles al ransomware, Look at Point ofrece los siguientes consejos:

  • Haga una copia de seguridad de sus datos y archivos. Es very important que haga una copia de seguridad de sus archivos importantes, preferiblemente utilizando almacenamiento con espacio de aire (que está físicamente aislado de las redes no seguras). Habilite las copias de seguridad automáticas, si es posible, para sus empleados, de modo que no tenga que confiar en ellas para recordar ejecutar copias de seguridad periódicas por su cuenta.
  • Educar a los empleados para que reconozcan las posibles amenazas.. Los métodos de infección más comunes utilizados en las campañas de ransomware siguen siendo correos electrónicos no deseados y de phishing. Muy a menudo, la conciencia del usuario puede prevenir un ataque antes de que ocurra. Tómese el tiempo para educar a sus usuarios y asegurarse de que si ven algo inusual, lo informen a sus equipos de seguridad de inmediato.
  • Limite el acceso a aquellos que lo necesitan. Para minimizar el impacto potencial de un ataque de ransomware exitoso contra su organización, asegúrese de que los usuarios solo tengan acceso a la información y los recursos necesarios para ejecutar sus trabajos. Dar este paso cut down significativamente la posibilidad de que un ataque de ransomware se mueva lateralmente a través de su crimson. Abordar un ataque de ransomware en un sistema de usuario puede ser una molestia, pero las implicaciones de un ataque en toda la purple son dramáticamente mayores.
  • Mantenga las protecciones basadas en firmas actualizadas. Desde el punto de vista de la seguridad, es ciertamente beneficioso mantener antivirus y otras protecciones basadas en firmas en su lugar y actualizadas. Si bien las protecciones basadas en firmas por sí solas no son suficientes para detectar y prevenir ataques sofisticados de ransomware diseñados para evadir las protecciones tradicionales, son un componente importante de una postura de seguridad integral. Las protecciones antivirus actualizadas pueden proteger su organización contra el malware conocido que se ha visto antes y tiene una firma existente y reconocida.
  • Implemente seguridad de varias capas, incluidas las tecnologías avanzadas de prevención de amenazas. Además de las protecciones tradicionales basadas en firmas como antivirus e IPS (sistemas de prevención de intrusiones), las organizaciones deben incorporar capas adicionales para prevenir malware nuevo y desconocido que no tiene firma conocida. Dos componentes clave a considerar son la extracción de amenazas (desinfección de archivos) y la emulación de amenazas (sandboxing avanzado). Cada elemento proporciona una protección distinta que, cuando se usa en conjunto, ofrece una solución integral para la protección contra malware desconocido a nivel de pink y directamente en dispositivos de punto closing.

Ver también

«data-credit =» Imagen: Zephyr18, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>istock-803934282.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2018/03/28/55dddca9-0e73-4bb4-ab22-35f4a5810cd9/resize/770x/083c7985aeabcd1e6e28cabbd500dd00/istock-803934282 .jpg

Imagen: Zephyr18, Getty Photographs / iStockphoto



Enlace a la noticia primary