Despegan los esquemas de ransomware de pago o incumplimiento



En 2020, los atacantes de ransomware se movieron rápidamente para adoptar los llamados esquemas de «doble extorsión», con más de 550 incidentes solo en el cuarto trimestre.

La tendencia del ransomware «pagar o ser violado», también conocida como el esquema de «doble extorsión», despegó en 2020, a pesar del prolífico anuncio del 1 de noviembre del prolífico Maze Workforce de que suspendería sus operaciones.

Utilizando datos recopilados por feeds automatizados, la empresa de riesgo cibernético Electronic Shadows documentó 550 publicaciones de doble extorsión en sitios de filtración de datos mantenidos por más de una veintena de grupos de ransomware. Con mucho, el sector de bienes y servicios industriales soportó la peor parte de los ataques de ransomware, con el 29% de todos los ataques de 2020 dirigidos a la industria, mientras que las empresas en América del Norte representaron dos tercios de todos los ataques, descubrió Digital Shadows.

Trimestre tras trimestre, la firma de ciberseguridad vio un aumento significativo en los ataques de ransomware utilizando las estrategias gemelas de exigir un rescate y luego filtrar los datos si la víctima no pagaba, dice Jamie Hart, analista de inteligencia de ciberamenazas de la empresa.

«Vamos a seguir viendo un aumento de ransomware porque el método de pago o recibo violado brinda una oportunidad para que los grupos de ransomware nuevos y menos conocidos se hagan un nombre en 2021», dice. «No hay ningún sector que esté fuera del límite de estos grupos».

Según todas las medidas, el ransomware es ahora el enfoque predeterminado para monetizar las empresas comprometidas, y la firma de servicios de ciberseguridad CrowdStrike descubrió que más de la mitad de todos sus compromisos con los clientes fueron para limpiar ataques de ransomware. El número de empresas afectadas por ransomware cada año se ha mantenido estable: el 51% reconoció un ataque de ransomware el año pasado y tres cuartas partes de esos ataques lograron cifrar algunos datos, según una encuesta realizada por la firma de application de seguridad Sophos.

Si bien Maze representó un tercio de los ataques de ransomware documentados en el tercer trimestre de 2020, según Informe de amenazas del tercer trimestre de Digital Shadows, Egregor representó un tercio de las incidencias en el último trimestre, según Informe de ZeroFox. Egregor apuntó a Barnes & Noble Booksellers, el creador de juegos Ubisoft y Epicor Software package.

«A lo largo de 2020, vimos que la tendencia de &#39pagar o ser violado&#39 despegó como un cohete y no pareció disminuir», afirmó Electronic Shadows en su análisis, publicado hoy. «Para agregar a la situación ya estresante de tener sus archivos exfiltrados y encriptados, las organizaciones víctimas fueron presionadas a pagar el rescate rápidamente por la amenaza de exposición pública en un sitio de filtración de datos».

Digital Shadows monitorea los sitios de filtración de datos que utilizan los grupos de ransomware para publicitar los datos robados. Los sitios para seis grupos (Maze, Egregor, Conti, Sodinokibi, DoppelPaymer y Netwalker) representaron el 84% de las infracciones en 2020, dijo la compañía. Los sitios de filtración de datos restantes incluyen más de una docena de otros grupos, incluidos Ako / Ranzy Locker, Avaddon, Clop, DarkSide, Everest, LockBit, Mount Locker, Nefilim, Pay back2Critical, PYSA, Ragnar Locker, RansomEXX, Sekhmet y SunCrypt, según Sombras digitales.

Si bien Maze representó un tercio de los ataques de ransomware documentados en los primeros tres trimestres de 2020, Egregor representó un tercio de los incidentes en el último trimestre. En common, el fuerte aumento de los ataques de ransomware a fines de 2020 anuló cualquier pensamiento de que la disolución del Maze Workforce en noviembre conduciría a una disminución de la actividad ciberdelincuente.

«Nadie esperaba que el grupo Maze se levantara y renunciara, pero la declaración que publicaron en su sitio decía que regresarían», dice Hart.

El cierre del grupo Maze y el posterior aumento del ransomware Egregor ha llevado a la especulación de que los restos del grupo Maze se han unido a los desarrolladores de Egregor. La colaboración explicaría el éxito de Egregor, según un análisis del ZeroFox Alpha Group.

«Una teoría para el alto volumen de datos de víctimas es que los ex actores de Maze ahora pueden estar trabajando en Egregor», dijeron los investigadores en el informe de amenazas del cuarto trimestre de la compañía. «Estos actores tienen conocimiento previo de la ejecución exitosa de una operación de ransomware y pueden ayudar al equipo de Egregor a lograr un éxito del calibre de Maze, lo que finalmente convierte a Egregor en una amenaza altamente peligrosa para los usuarios finales vulnerables».

Continuando con la tendencia de ataques a bienes y servicios industriales, el gigante estadounidense de envases WestRock reconoció el 25 de enero que había sufrido una violación de ransomware, que había obstaculizado sus sistemas de tecnología operativa.

Si bien los expertos en ciberseguridad y los funcionarios encargados de hacer cumplir la ley han instado a las empresas a no pagar, la mayoría no critica cuando las empresas sí pagan. Los grupos de ransomware han comenzado a usar nuevas tácticas, como llamar a las víctimas en frío e incluso amenazar la seguridad de los empleados, para que las víctimas paguen, dijo Electronic Shadows.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Darkish Reading through, MIT&#39s Technology Overview, Well-known Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary