REvil Ransomware Gang comienza a subastar datos de víctimas – Krebs on Security


El grupo legal detrás de la empresa de ransomware REvil ha comenzado a subastar datos confidenciales robados de compañías afectadas por su software program malicioso. La medida marca una escalada en tácticas destinadas a obligar a las víctimas a pagar, y avergonzar públicamente a quienes no lo hacen. Pero también puede indicar que los proveedores de ransomware están buscando nuevas formas de beneficiarse de sus crímenes a medida que las empresas víctimas luchan solo por mantener las luces encendidas durante la desaceleración económica sin precedentes causada por la pandemia de COVID-19.

En las últimas 24 horas, los delincuentes responsables de difundir el malware de rescate «REvil» (también conocido como «Sodin«Y»Sodinokibi«) Usaron su» Joyful Site «de Dark World-wide-web para anunciar su primera subasta de datos robados, supuestamente vendiendo archivos tomados de una compañía de producción agrícola canadiense que REvil dice que hasta ahora ha declinado sus demandas de extorsión.

Una captura de pantalla parcial del website Dark World wide web del grupo de ransomware REvil.

La página de subastas de la empresa víctima dice que un postor exitoso obtendrá tres bases de datos y más de 22,000 archivos robados de la compañía agrícola. Establece el depósito mínimo en $ 5,000 en moneda virtual, con el precio inicial de $ 50,000.

Antes de esta subasta, REvil, como muchas otras pandillas de ransomware, ha intentado presionar a las compañías víctimas para que paguen principalmente publicando un puñado de archivos confidenciales robados de sus objetivos de extorsión, y amenazando con liberar más datos a menos y hasta que se satisfaga la demanda de rescate. .

Los expertos dicen que la subasta es una señal de que los grupos de ransomware pueden estar sintiendo la crisis financiera de la disaster económica precise y están buscando nuevas formas de extraer valor de las víctimas que ahora son menos propensas o no pueden pagar una demanda de rescate.

Lawrence Abrams, editor del sitio internet de ayuda informática y noticias BleepingComputer, dijo que aunque algunos grupos de ransomware tienen un historial de venta de datos de víctimas en foros de delitos informáticos, este último movimiento de REvil puede ser solo otra táctica utilizada por los delincuentes para obligar a las víctimas a negociar un pago de rescate.

«El problema es que muchas compañías víctimas simplemente no tienen el dinero (para pagar las demandas de rescate) en este momento», dijo Abrams. «Otros han recibido el mensaje sobre la necesidad de buenas copias de seguridad, y probablemente no necesiten pagar. Pero tal vez si la víctima ve que sus datos se ofertan activamente, es más probable que paguen el rescate ”.

Hay algunas pruebas que sugieren que la reciente recesión económica provocada por COVID-19 ha tenido un impacto medible en los pagos de ransomware. Un informe publicado a mediados de abril por la firma de investigación de criptomonedas Chainalisis descubrió que los pagos de ransomware «han disminuido significativamente desde que la disaster de COVID-19 se intensificó en Estados Unidos y Europa a principios de marzo».

Abrams dijo que otros grupos de ransomware se han basado en diferentes métodos para aumentar los pagos de las víctimas, señalando que una pandilla prominente ahora está extorsionando doblemente a los objetivos, exigiendo un monto de pago a cambio de una clave electronic que puede desbloquear archivos codificados por el malware, y otro pago a cambio por una promesa de eliminar permanentemente los datos robados de la víctima.

La amenaza implícita es que las víctimas que pagan para recuperar sus archivos pero no muerden el pago de eliminación pueden esperar ver sus datos privados intercambiados, publicados o vendidos en Darkish Website.

«Algunos de estos (grupos de extorsión) han dicho que si no se les paga, van a vender los datos de la víctima en Dim Net, para recuperar sus costos», dijo Abrams. «Otros ahora están cobrando unos pocos no solo por el descifrador de ransomware, sino también por una tarifa por eliminar los datos de la víctima. Por lo tanto, es una doble vigilancia «.

El FBI y múltiples empresas de seguridad He aconsejado a las víctimas que no paguen ninguna demanda de rescate, ya que hacerlo alienta a los atacantes y, en cualquier caso, puede no recuperar el acceso a los archivos cifrados. Sin embargo, en la práctica, muchas firmas consultoras de ciberseguridad instan en silencio a sus clientes a que pagar sea la ruta más rápida para volver a los negocios habituales.

Aquí hay algunos consejos que pueden ayudar a reducir la probabilidad de que usted o su organización sean víctimas de un ataque de ransomware:

-Patch, temprano y con frecuencia: Muchos ataques de ransomware aprovechan fallas de seguridad conocidas en servidores y escritorios.

-Dable deshabilitado: Abreviatura de Distant Desktop Protocol, esta característica de Home windows permite que un sistema se administre de forma remota a través de Internet. Un número ridículo de empresas, en particular los proveedores de atención médica, son atacadas con ransomware porque dejan RDP abierto en Net y protegido con contraseñas fáciles de adivinar. Y hay una serie de servicios criminales que venden el acceso a las instalaciones de RDP con fuerza bruta.

-Filtrar todo el correo electrónico: Invierta en sistemas de seguridad que puedan bloquear archivos ejecutables en la puerta de enlace de correo electrónico.

-Aislar sistemas y datos de misión crítica: Esto puede ser más difícil de lo que parece. Puede valer la pena contratar una empresa de seguridad competente para asegurarse de que esto se haga correctamente.

-Backup de claves de archivos y bases de datos: Tenga en cuenta que el ransomware puede cifrar cualquier purple o archivos o carpetas basados ​​en la nube que estén asignados y se les haya asignado una letra de unidad. Hacer una copia de seguridad en un sistema secundario que no tiene asignada una letra de unidad o está desconectado cuando no está haciendo una copia de seguridad de los datos es clave. Aquí entra en juego la antigua regla de copia de seguridad «3-2-1»: siempre que sea posible, mantenga tres copias de seguridad de sus datos, en dos tipos de almacenamiento diferentes, con al menos una copia de seguridad fuera del sitio.

-Desactivar macros en Microsoft Place of work: Bloquee contenido externo en archivos de Workplace. Informe a los usuarios que el ransomware a menudo tiene éxito solo cuando un usuario abre archivos adjuntos de Business enviados por correo electrónico y habilita manualmente las macros.

-Habilitar el acceso controlado a la carpeta: Crear reglas para no permitir la ejecución de archivos ejecutables en Home windows desde carpetas de perfil de usuario locales (Datos de aplicación, Datos de aplicación nearby, Datos de programa, Temp, and many others.)

Sitios como nomoreransom.org distribuya herramientas de descifrador gratuitas que pueden ayudar a algunas víctimas de ransomware a recuperar archivos sin pagar una demanda de rescate.


Etiquetas: Bleeping Personal computer, Chainalysis, Lawrence Abrams, REvil ransomware, Sodin, Sodinokibi

Esta entrada fue publicada el martes 2 de junio de 2020 a las 2:04 pm y está archivada en A Minor Sunshine, Ransomware.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el closing y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia unique