La nueva estrategia de los atacantes: publicaciones sensibles. Los ciberdelincuentes atacan cada vez más a empresas e industrias seleccionadas como parte de campañas dirigidas. Los datos confidenciales ya no solo están encriptados, sino que existen amenazas de publicación en Internet. Según Kaspersky, así es como se ve el ransomware 2.0.
Los recientes ataques de ransomware muestran que los ciberdelincuentes están cambiando su estrategia: están pasando del cifrado puro a ataques dirigidos con la amenaza de publicar datos confidenciales si no se paga el rescate. Esta es la conclusión a la que llegan los expertos de Kaspersky al analizar las dos familias de ransomware, Ragnar Locker y Egregor.
Nuevas estrategias de ataque de ransomware
Los compromisos con demandas de rescate, los llamados ataques de ransomware, se consideran comúnmente escenarios de ataques graves. No solo pueden interrumpir operaciones comerciales críticas, sino que también pueden provocar pérdidas financieras masivas y, en algunos casos, incluso llevar a la organización afectada a la bancarrota a través de multas y demandas legales. Se estima que ataques como WannaCry han causado más de $4 mil millones en pérdidas financieras. Sin embargo, las campañas de ransomware más recientes están cambiando su modus operandi: amenazan con exponer al público la información robada de la empresa. Dos conocidos representantes de este nuevo tipo de ransomware: Ragnar Locker y Egregor
Cómo proceden Ragnar Locker y Egregor
Ragnar Locker se descubrió en 2019, pero solo ganó prominencia en la primera mitad de 2020, cuando las grandes corporaciones fueron atacadas. Los ataques están altamente dirigidos, con cada actividad maliciosa adaptada a la víctima prevista. Al hacerlo, la información confidencial de las empresas que se niegan a pagar se publica en la página del Muro de la vergüenza de los ciberdelincuentes. Si la víctima se comunica con los atacantes y luego se niega a pagar, ese chat también será publicado. Los principales objetivos son empresas en los EE. UU. de diferentes industrias. En julio pasado, Ragnar Locker anunció que se había unido al cártel del ransomware Maze. Esto significa que desde entonces ha habido un intercambio de información robada y una colaboración concreta entre los dos. Maze se ha convertido en una de las familias de ransomware más conocidas en 2020.
La víctima solo tiene 72 horas
Egregor fue descubierto por primera vez en septiembre pasado. El malware utiliza muchas tácticas idénticas y también comparte similitudes de código con Maze. Por lo general, se implementa rompiendo la red; Una vez que se filtran los detalles de la empresa objetivo, la víctima tiene 72 horas para pagar el rescate antes de que la información robada se haga pública. Si la organización afectada se niega a pagar, los atacantes publican el nombre y los enlaces para descargar los datos confidenciales de la empresa en su página de fugas.
El radio de ataque de Egregor es mucho mayor que el de Ragnar Locker. Los ciberdelincuentes detrás de este ransomware se han dirigido a víctimas en América del Norte, Europa y partes de APAC.
Ransomware 2.0 en aumento
“Estamos siendo testigos del auge del ransomware 2.0, lo que significa que los ataques son cada vez más específicos y el enfoque ya no es solo cifrar datos confidenciales, sino el concepto de publicarlos en línea”, comenta Dmitry Bestuzhev, Jefe del Equipo de Análisis e Investigación Global. (GReAT) América Latina en Kaspersky. Esto no solo pone en peligro la reputación de una empresa, sino que también crea el riesgo de demandas si los datos publicados violan regulaciones como HIPAA (Ley de portabilidad y responsabilidad de seguros médicos) o GDPR. Así que hay más en juego que solo una pérdida financiera".
"Como resultado, las organizaciones ya no pueden ver las amenazas de ransomware de forma unidimensional como un solo tipo de malware", agrega Fedor Sinitsyn, investigador de seguridad de Kaspersky. “De hecho, el ransomware suele ser solo la última etapa del compromiso de la red. Para cuando se ejecuta el ransomware, el atacante ya ha rastreado toda la red, identificado datos confidenciales y extraídos. Es importante que las organizaciones implementen la gama completa de mejores prácticas de ciberseguridad. La detección temprana de ciberataques, antes de que los atacantes alcancen su objetivo previsto, puede ahorrar mucho dinero a las empresas”.
Más sobre esto en SecureList en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/