Jueves 28 de Marzo de 2024

Hoy es Jueves 28 de Marzo de 2024 y son las 13:05 -

9 de marzo de 2020

Hackers empiezan a filtrar documentos confidenciales de sus víctimas. By Sarah Romero

Los hackers que emplean 'ransomware' y que amenazaban con hacer públicos archivos robados, están empezando a hacerlo.

El cibercrimen no da tregua. Los expertos en seguridad vaticinaban que para 2020 los ataques de ransomware iban a recrudecerse y no hemos tenido que esperar demasiado para verlo. Nemty Ransomware es la última operación de cibercrimen que ha creado una web de filtración de datos para castigar a las víctimas que se niegan a pagar rescates de los datos que previamente han robado.


Los ataques de ransomware se caracterizan por encriptar los archivos de los ordenadores encriptados.

El ransomware Nemty apareció por primera vez en el panorama de amenazas en agosto de 2019 -el nombre del malware aparece después de la extensión que se añade a los nombres de archivos cifrados-. Dicho software malicioso eliminaba instantáneamente archivos encriptados -que previamente robaban- para conseguir que fuese imposible cualquier procedimiento de recuperación.

En octubre de 2019, los investigadores de la firma de seguridad Tesorion desarrollaron una herramienta de descifrado que funciona en las versiones Nemty 1.4 y 1.6, también anunciaron una herramienta de trabajo para la versión 1.5.

Sin embargo, este grupo de hackers de sombrero negro, blackhats, anunció en el mes de febrero de 2020 la apertura de una web para filtrar los datos robados de las víctimas de ransomware que se negaron a pagar el rescate. La amenaza no se quedó en solo palabras; han cumplido su promesa y los documentos confidenciales han empezado a ser difundidos públicamente, siguiendo la peligrosa tendencia iniciada el año pasado por el grupo de ransomware Maze.

El robo y la publicación de datos robados, que en muchos casos incluyen datos financieros de la empresa, información personal de los empleados y datos de los clientes, aumentaron automáticamente estos ataques de ransomware en violaciones de datos.

Como hemos comentado, una vez que Maze Ransomware comenzó con esta táctica, otros grupos como DoppelPaymer y Sodinokibi (quienes piensan enviar correos automáticos a índices bursátiles como el Nasdaq para dañar de forma directa la cotización de sus víctimas) comenzaron a lanzar webs de “fuga de datos” para extorsionar a las víctimas de manera similar.

En el caso más reciente, con Nemty Ransomware, han comenzado a castigar a las víctimas que no pagan, liberando archivos que fueron robados antes de que los dispositivos fueran encriptados.

A medida que más operadores de ransomware comiencen a utilizar esta táctica de extorsión, las víctimas deberán considerar todos los ataques de ransomware como una violación de datos.

Los atacantes esperan que estos costos adicionales y el impacto potencial en la reputación de las empresas e individuos empujen a algunas víctimas a pagar un rescate para no tener que ver publicada su valiosa información.

Ataques de ransomware en España

En 2019, empresas como la consultora Everis, la Cadena Ser, Prosegur o incluso el Ayuntamiento de Jerez (Cádiz) fueron víctimas de este ciberataque.

¿Cómo pueden defenderse las empresas de un ataque de ransomware?

"El ransomware es una plaga que lleva azotando a las empresas de manera virulenta durante los últimos años y defenderse de este tipo de ataques no se antoja empresa fácil. Porque, entre otras cosas, en muchos casos el ransomware es el resultado del ataque, pero no todos se perpetran de la misma manera. Algunos se materializan explotando vulnerabilidades en los sistemas de la organización, y gran parte de ellos se producen mediante el uso de la ingeniería social convenciendo a un usuario para que haga una determinada acción como abrir un fichero adjunto. Pero incluso dentro de esto hay muchísimas variantes. Con el paso del tiempo quizá los usuarios sepan que no deben abrir ficheros adjuntos ejecutables, pero quizá no piensen que puedan infectarse abriendo un documento Word o Excel. Y muchas de las últimas campañas de ransomware han venido a raíz de documentos Word que contenían macros maliciosas e incitaban a los usuarios a habilitar dichas macros para poder comprometer sus sistemas. En otros casos también se ha hecho mediante descargas falsas de actualizaciones de Chrome, etc… Por lo que, en general, defenderse de este tipo de ataques implica muchas acciones que aplican en general para casi todo tipo de ataques, como realizar periódicamente auditorías de seguridad sobre los sistemas de la organización, mantener los sistemas actualizados, concienciar y formar al personal de la organización en los diferentes tipos de riesgos y las buenas prácticas que han de acometer, así como gestionar correctamente las copias de seguridad de cara a poder hacer uso de ellas en caso de ser comprometidos. Todo ello pasa por tener un buen plan de respuesta a incidentes adecuado al tamaño de la organización, pues debemos de ser conscientes de que en algún momento nuestra empresa puede verse afectada", explica Daswani. 

 

Si ya se ha sido víctima del ataque, muchas empresas pueden llegar a pensar que pagar el rescate garantiza que no volverán a atacar. ¿Qué opina?


"Esto es algo que lleva pasando muchos años. Por lo general, cuando se negocia con delincuentes, sean delincuentes tradicionales o ciberdelincuentes, se ha de tener en cuenta que cualquier cosa puede pasar, y que precisamente no se trata de una negociación limpia, lícita, ética o moral. Por lo que las empresas que piensan en pagar el rescate por no tener otros medios para restablecer su información, deben tener en cuenta que nadie les garantiza que vayan a recuperar la información (aunque en la gran mayoría de casos sí que los ciberdelincuentes les devuelven los datos) ni mucho menos asegurar que en el futuro no vuelvan a sufrir un ataque de este tipo. Probablemente a la hora de recuperar dichos datos, éstos puedan incluir un fichero sorpresa que pueda propiciar un nuevo incidente en el futuro", continúa el experto. 

 

¿Nos espera un 2020 repleto de ataques como este?


"Por desgracia la tónica es al alza en este tipo de ataques. En los años anteriores hemos visto numerosos ejemplos de organizaciones de todo tipo afectadas por este tipo de ataques, y no parece que esto vaya a menguar. Los ciberdelincuentes han encontrado una vía para sacar mucho rédito económico con este tipo de técnicas y continuarán haciendo uso de las mismas para poder rentabilizar sus campañas de ataques. Veremos si conseguimos minimizar el número de incidentes y tener un año con menos incidentes de ransomware que el anterior", finaliza Daswani.

COMPARTIR:

Comentarios