Cómo los operadores de ransomware unen fuerzas para llevar a cabo ataques


Los atacantes compran datos robados de otros delincuentes, mientras que el grupo Maze publica datos capturados por otras bandas, dice Positive Technologies.

Concepto de piratería y seguridad informática. El virus ransomware tiene datos cifrados en la computadora portátil. Hacker ofrece una clave para desbloquear datos cifrados por dinero.

Imagen: vchal, iStockphoto

El ransomware se ha convertido en una de las formas más dañinas de ciberataque, lo que resulta en pérdida de tiempo, dinero, recursos y reputación para las organizaciones victimizadas. Últimamente, los operadores de ransomware han estado mejorando su juego al asociarse con otros delincuentes como un tipo de ciberdelito organizado. UNA informe publicado el miércoles por el proveedor de seguridad empresarial Positive Systems describe esta última tendencia en la colaboración de ransomware.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito)

Como la mayoría de los tipos de ciberamenazas, el ransomware sigue evolucionando. En el pasado, las bandas de ransomware generalmente simplemente encriptaban y retenían los datos capturados hasta que la víctima pagaba el rescate. Ahora, estas bandas amenazan cada vez más con revelar públicamente los datos comprometidos a menos que se pague el rescate.

Los grupos Maze y Sodinokibi fueron los culpables más activos de este tipo de extorsión durante el segundo trimestre, según Favourable Technologies. DoppelPaymer, NetWalker, Ako, Nefilim y Clop también están involucrados en este tipo de amenaza. Algunas bandas, como Ako, emplean un esquema de «doble extorsión» al exigir rescates separados por el descifrado y la no divulgación de datos.

Para vender los archivos comprometidos, muchos grupos de ransomware crean sitios especiales de fuga de datos que publican los nombres de las víctimas junto con los datos robados. Otros grupos publican la información en foros de hackers.

Pero en un movimiento hacia la colaboración, los grupos se han asociado con la pandilla Maze para publicar los datos comprometidos. Específicamente, Maze utiliza su propio sitio de filtración de datos para publicar información robada por otros delincuentes, formando una operación conocida como Cartel del laberinto.

Como un paso más hacia la unión, los operadores de ransomware están comprando acceso a las redes de organizaciones victimizadas de otros grupos criminales. Además, la banda NetWalker ha sido contratación de afiliados para ayudar a difundir su ransomware ofreciéndoles una comisión sobre el pago.

Aunque estos tipos de colaboración significan que los delincuentes deben compartir sus ganancias, todavía están recaudando mucho dinero. En junio, la Universidad de California en San Francisco tuvo que pagar $ 1,14 millones tras un ataque del ransomware NetWalker.

En mayo, el bufete de abogados Grubman Shire Meiselas & Sacks recibió una demanda de extorsión de la pandilla de ransomware REvil (Sodinokibi). Los delincuentes afirmaron haber capturado datos confidenciales sobre los clientes famosos de la empresa, como Woman Gaga, Madonna, Mariah Carey, Nicki Minaj, Bruce Springsteen, Bette Midler y Jessica Simpson. Después de que la firma ofreciera pagar solo $ 365,000 de los $ 21 millones exigidos, el grupo duplicó sus demandas a $ 42 millones.

Al ver el potencial de ganancias, otros delincuentes han estado empleando ransomware al exigir un pago por no publicar datos robados. En un ejemplo de mayo, los atacantes exigió un rescate de las historias minoristas a cambio de no revelar datos sensibles. Aunque solo piden $ 500 por cada incidente, los costos pueden aumentar, especialmente porque es más probable que las víctimas paguen una cantidad tan pequeña para recuperar sus datos.

En otro ejemplo, los delincuentes piratearon Dispositivos de almacenamiento conectados a la crimson LenovoEMC, archivos cifrados y luego exigió un rescate de $ 200 a $ 275 para restaurar los datos. Y en un caso más, los atacantes fácilmente comprometido 22,900 bases de datos MongoDB que no tenía protección por contraseña. Los piratas informáticos no solo pidieron dinero para restaurar los datos, sino que también amenazaron con publicarlos y ponerse en contacto con la autoridad de aplicación del Reglamento Normal de Protección de Datos (GDPR) para informar del incidente.

Ver también



Enlace a la noticia original