Hechos clave:
-
La filtración de datos se usa como estrategia para presionar el pago del rescate.
-
Se estima que 11% de los ataques de ransomware en 2020 involucran filtración de datos.
La creación de sitios especialmente diseñados para filtrar datos robados es una estrategia que cobra fuerza en este 2020. Inicia con el uso de virus informÔticos para secuestrar los archivos de empresas y grandes corporaciones y exigir un pago por su rescate, una prÔctica conocida como ransomware.
La novedad en los nuevos casos es que, si no se recibe el dinero, los hackers hacen pĆŗblica información confidencial de las empresas atacadas en sitios de la web oscura (darknet). El objetivo es presionar a las vĆctimas para que se vean forzadas a pagar por el rescate de sus datos.
Los hackers esperan que los costos asociados a las violaciones de datos puedan impulsar a mĆ”s vĆctimas a cancelar el monto exigido. Esto debido a que la filtración puede generar que las empresas enfrenten sanciones regulatorias, daƱos a la reputación y acciones legales por la divulgación de información de terceros. TambiĆ©n pueden ver afectado el precio de sus acciones por la pĆ©rdida de propiedad intelectual.
La prÔctica de filtración de datos fue iniciada en noviembre de 2019 por los hackers detrÔs del ransomware Maze, en un intento por forzar la entrega de bitcoin a cambio de los archivos.
Para esa fecha publicaron casi 700 MB de datos robados de Allied Universal, una empresa de servicios de seguridad de California, EE. UU. Era solo una parte de 5 GB de datos secuestrados por los cuales solicitaban un pago de 300 bitcoin.
Posteriormente, publicaron los datos de numerosas empresas a través de foros de piratas informÔticos y, finalmente, en un sitio dedicado especialmente a la filtración.
Al ver estos ejemplos, los demÔs operadores de ransomware utilizaron la misma tÔctica de extorsión. Comenzaron por filtrar archivos robados en foros o enviar correos electrónicos a los medios. Poco después surgieron los sitios en la web oscura dedicados solo a las filtraciones.
Actualmente los sitios de filtración de datos robados se han multiplicado. La firma de seguridad Emisisoft estima que, en los primeros seis meses de 2020, mÔs del 11% de las infecciones de ransomware involucraron potencialmente la filtración de datos.
De acuerdo a Raj Samani, cientĆfico jefe de la firma de seguridad McAfee y asesor de ciberseguridad de la Europol, la rĆ”pida adopción de sitios de filtración de datos puede deberse a que cada vez menos vĆctimas optan por pagar lo que los atacantes exigen.
Nuevo ransomware Avaddon se suma a lista de filtradores
Siguiendo la tendencia de robar y filtrar datos, esta semana los operadores del ransomware Avaddon crearon un nuevo sitio de filtración de datos en la web oscura. AllĆ irĆ”n publicando archivos robados de las vĆctimas que decidan no pagar el rescate.
Al anunciar su nuevo sitio, identificado como Ā«Avaddon InfoĀ», la banda se suma a la lista de ransomware que utilizan esta estrategia como mecanismo para presionar a sus vĆctimas.
La información, publicada en el medio especializado Bleeping Computer este 10 de agosto, fue difundida por la firma israelĆ de ciberseguridad, Kela. Explica que la lĆnea de acción de Avaddon es la misma que ha utilizado Maze y otros hackers.
Hasta ahora, han incluido una sola vĆctima en el nuevo sitio, una empresa de construcción de la cual han filtrado 3,5 MB de documentos presuntamente robados.
«Publicaron una muestra de los datos obtenidos, con información relacionada con la actividad de la empresa en el Reino Unido, México, Filipinas, Malasia y Tailandia», según declaraciones de Kela.
Avaddon es un ransomware de aparición reciente. Se conoce desde junio de 2020 y se distribuye a través de una campaña masiva de spam. El malware se incrusta en correos con un archivo malicioso JavaScript que se disfraza como archivo de imagen .jpg.
Lista de ransomware con sitios para filtración de datos
Se estima que actualmente los sitios de filtración de datos robados son manejados por mÔs de una docena de operadores de ransomware. AdemÔs de los ya mencionados, Avaddon y Maze, se exponen a continuación algunos de ellos.
AKO
Comenzó a operar en enero de 2020. Ako exige que las empresas mĆ”s grandes con información mĆ”s valiosa paguen un rescate y una extorsión adicional para eliminar los datos robados. Si no se realiza el pago, los datos de la vĆctima se publican en su Ā«Blog de fuga de datosĀ».
CL0P
Comenzó como una variante de CryptoMix y pronto se convirtió en el ransomware elegido por un grupo de APT conocido como TA505. Este grupo atacó 267 servidores en la Universidad de Maastricht. En marzo de 2020, CL0P lanzó un sitio de filtración de datos llamado ‘CL0P ^ -LEAKS‘, donde publican los datos de las vĆctimas.
DoppelPaymer
Conocido desde julio de 2019, DoppelPaymer o BitPaymer apunta a sus vĆctimas a travĆ©s de hacks de escritorio remoto y acceso proporcionado por el troyano Dridex. En febrero de 2020, lanzó un sitio de filtración dedicado al que llaman Ā«Dopple LeaksĀ».
Nemty
Conocido desde enero de 2019 como Ransomware-as-a-Service (RaaS) llamado JSWorm, fue rebautizado como Nemty en agosto del aƱo pasado. En marzo de 2020 Nemty creó un sitio de filtración de datos para publicar los datos de las vĆctimas.
Nephilim
En marzo pasado Nemty creó un equipo de afiliados para un Ransomware-as-a-Service privado llamado Nephilim. El ransomware nació reclutando solo a piratas informĆ”ticos y distribuidores de malware con experiencia. Poco despuĆ©s, crearon un sitio llamado ‘Corporate Leaks’ que utilizan para publicar los datos robados.
NetWalker
En mayo de 2020, NetWalker, tambiĆ©n conocido como Mailto, comenzó a reclutar afiliados ofreciendo grandes pagos y un sitio de filtración de datos de publicación automĆ”tica. Utiliza una cuenta regresiva para intentar asustar a las vĆctimas y forzarlas para que paguen.
Pysa (Mespinoza)
Apareció en octubre de 2019. En noviembre cambió la extensión de encriptación de archivos .locked a .pysa. En 2020 crearon un sitio de filtración de datos llamado ‘Pysa Homepage’ donde publican los archivos robados de sus Ā«sociosĀ» si no se paga el rescate.
Ragnar Locker
Conocido desde febrero de 2020, este ransomware llamó la atención de los medios despuĆ©s de encriptar al gigante energĆ©tico portuguĆ©s EnergĆas de Portugal, pidiendo un rescate de 1.580 bitcoins. Hace unos dĆas hicieron un ataque a la empresa multinacional de gestión de viajes CWT, que terminó en el pago de USD 4,5 millones en bitcoin. Ragnar Locker Tiene un sitio web llamado ‘Ragnar Leaks News’ donde publican los datos robados.
REvil / Sodinokibi
Opera desde abril de 2019 y es el sucesor de GandCrab. Después de que Maze comenzó a publicar archivos robados, Sodinokibi hizo lo mismo. Primero publicó los datos robados en un foro de piratas informÔticos y luego lanzó un sitio dedicado a la filtración de datos llamado «Blog feliz».
Sekhmet
Apareció en marzo de 2020 apuntando a redes corporativas. Los operadores de Sekhmet han creado un sitio web titulado ‘Fugas, fugas y fugas’, donde publican datos robados a las vĆctimas que no pagan el rescate.
ĀæLas vĆctimas ceden a la presión y pagan los bitcoins del ransomware?
El propósito de los sitios de filtración suele seguir un camino en escalada diseƱado para aumentar la presión psicológica sobre las personas vĆctimas del ataque.
En una primera fase el sitio de filtración solo enumera las vĆctimas recientes, prometiendo eliminar los nombres de la lista si aceptan pagar un rescate. Si no reciben el dinero (generalmente bitcoin), inicia la filtración de algunas muestras de los datos robados. Por Ćŗltimo, si no hay pago, se descarga todo en lĆnea.
En relación a si esta presión ha generado un mayor número de pagos de rescates, muchos investigadores señalan no estar seguros, puesto que no existen cifras claras. No obstante, hay un grupo que cree que la estrategia estÔ teniendo éxito.
«Fue en noviembre de 2019 cuando vimos los primeros ejemplos de sitios con fugas, y eso se ha copiado y replicado porque tiene éxito. El hecho de que mÔs personas estén pagando mÔs rescates significa que esto no va a desaparecer», expresa Raj Sammani, de McAfee.
Ā«Es un juego para maximizar el pagoĀ», dice el experto en ciberseguridad Jake Williams, presidente de la compaƱĆa de seguridad Rendition Infosec. Ā«Si una tĆ”ctica funciona, espere que los hackers la usen. Pero aĆŗn no estĆ” claro si amenazar a las vĆctimas con la filtración de datos es una estrategia eficazĀ».
Tal como lo reporto CriptoNoticias recientemente, un informe de la firma Coverware, especializada en investigación de ciberseguridad, muestra que el promedio de pago por ataques ransomware durante el segundo trimestre de 2020 fue de USD 178.254. En la mayorĆa de los casos se pide que los pagos sean en bitcoin.
AdemÔs de la filtración de datos, hay claros indicios de que los hackers venden la información en los mercados de la darknet. Allà se subastan los datos al mejor postor.
«Este desarrollo no es para nada sorprendente», opina Brett Callow, analista de amenazas de Emsisoft. «El robo de datos proporciona a los grupos de ransomware opciones adicionales de monetización».