Por qué pagar para eliminar datos robados es una locura – Krebs on Stability


Las empresas afectadas por el ransomware a menudo enfrentan una doble amenaza: incluso si evitan pagar el rescate y pueden restaurar las cosas desde cero, aproximadamente la mitad de las veces los atacantes también amenazan con liberar datos confidenciales robados a menos que la víctima pague la promesa de eliminar los datos. Dejando de lado la noción de que las víctimas podrían tener alguna expectativa genuine de que los atacantes realmente destruirán los datos robados, una nueva investigación sugiere que un buen número de víctimas que pagan pueden ver publicados algunos o todos los datos robados de todos modos.

Los hallazgos llegan un informe hoy desde Coveware, una empresa que se especializa en ayudar a las empresas a recuperarse de los ataques de ransomware. Coveware dice que casi la mitad de todos los casos de ransomware ahora incluyen la amenaza de liberar datos extraídos.

“Anteriormente, cuando una víctima de ransomware tenía copias de seguridad adecuadas, simplemente se restauraban y seguían con su vida no había ninguna razón para siquiera comprometerse con el actor de la amenaza ”, observa el informe. «Ahora, cuando un actor de amenazas roba datos, una empresa con copias de seguridad perfectamente restaurables a menudo se ve obligada a al menos interactuar con el actor de amenazas para determinar qué datos se tomaron».

Coveware dijo que ha visto una amplia evidencia de que las víctimas vieron algunos o todos sus datos robados publicados después de pagar para eliminarlos en otros casos, los datos se publican en línea antes de que la víctima tenga la oportunidad de negociar un acuerdo de eliminación de datos.

“A diferencia de la negociación por una clave de descifrado, la negociación por la supresión de los datos robados no tiene un fin finito”, continúa el informe. “Una vez que una víctima recibe una clave de descifrado, no se la puede quitar y no se degrada con el tiempo. Con datos robados, un actor de amenazas puede regresar para un segundo pago en cualquier momento en el futuro. Los registros de seguimiento son demasiado cortos y ya se están recopilando pruebas de que los incumplimientos se están produciendo de forma selectiva «.

Imagen: Informe Coveware Q3 2020.

La compañía dijo que aconseja a los clientes que nunca paguen un rescate por eliminación de datos, sino que contraten a abogados de privacidad competentes, realicen una investigación sobre qué datos fueron robados y notifiquen a los clientes afectados de acuerdo con los consejos de los abogados y las leyes de notificación de violaciones de datos de aplicaciones.

Fabian Wosar, director de tecnología de la empresa de seguridad informática Emsisoft, dijo que las víctimas de ransomware a menudo aceptan las demandas de extorsión en la publicación de datos cuando intentan evitar que el público se entere de la violación.

“La conclusión es que el ransomware es un negocio de esperanza”, dijo Wosar. “La empresa no quiere que los datos se vuelquen o se vendan. Así que pagan por ello con la esperanza de que el actor de amenazas elimine los datos. Técnicamente hablando, si eliminan los datos o no, no importa desde un punto de vista authorized. Los datos se perdieron en el momento en que se extrajeron «.

Las víctimas de ransomware que pagan por una clave digital para desbloquear servidores y sistemas de escritorio cifrados por el malware también confían en la esperanza, dijo Wosar, porque tampoco es raro que una clave de descifrado no desbloquee algunas o todas las máquinas infectadas.

“Cuando miras muchas notas de rescate, en realidad puedes ver que los grupos abordan esto de manera muy directa y tienen mensajes de texto que dicen cosas como, Sí, ahora estás jodido. Pero si nos pagas, todo puede volver a ser antes de que te folláramos &#39”.


Etiquetas: Coveware, Emsisoft, Fabian Wosar, ransomware

Esta entrada se publicó el miércoles 4 de noviembre de 2020 a las 2:32 p.m. y está archivada bajo A Tiny Sunshine, Ransomware.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el remaining y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia first