Hechos clave:
-
La filtraciĆ³n de datos se usa como estrategia para presionar el pago del rescate.
-
Se estima que 11% de los ataques de ransomware en 2020 involucran filtraciĆ³n de datos.
La creaciĆ³n de sitios especialmente diseƱados para filtrar datos robados es una estrategia que cobra fuerza en este 2020. Inicia con el uso de virus informĆ”ticos para secuestrar los archivos de empresas y grandes corporaciones y exigir un pago por su rescate, una prĆ”ctica conocida como ransomware.
La novedad en los nuevos casos es que, si no se recibe el dinero, los hackers hacen pĆŗblica informaciĆ³n confidencial de las empresas atacadas en sitios de la web oscura (darknet). El objetivo es presionar a las vĆctimas para que se vean forzadas a pagar por el rescate de sus datos.
Los hackers esperan que los costos asociados a las violaciones de datos puedan impulsar a mĆ”s vĆctimas a cancelar el monto exigido. Esto debido a que la filtraciĆ³n puede generar que las empresas enfrenten sanciones regulatorias, daƱos a la reputaciĆ³n y acciones legales por la divulgaciĆ³n de informaciĆ³n de terceros. TambiĆ©n pueden ver afectado el precio de sus acciones por la pĆ©rdida de propiedad intelectual.
La prĆ”ctica de filtraciĆ³n de datos fue iniciada en noviembre de 2019 por los hackers detrĆ”s del ransomware Maze, en un intento por forzar la entrega de bitcoin a cambio de los archivos.
Para esa fecha publicaron casi 700 MB de datos robados de Allied Universal, una empresa de servicios de seguridad de California, EE. UU. Era solo una parte de 5 GB de datos secuestrados por los cuales solicitaban un pago de 300 bitcoin.
Posteriormente, publicaron los datos de numerosas empresas a travĆ©s de foros de piratas informĆ”ticos y, finalmente, en un sitio dedicado especialmente a la filtraciĆ³n.
Al ver estos ejemplos, los demĆ”s operadores de ransomware utilizaron la misma tĆ”ctica de extorsiĆ³n. Comenzaron por filtrar archivos robados en foros o enviar correos electrĆ³nicos a los medios. Poco despuĆ©s surgieron los sitios en la web oscura dedicados solo a las filtraciones.
Actualmente los sitios de filtraciĆ³n de datos robados se han multiplicado. La firma de seguridad Emisisoft estima que, en los primeros seis meses de 2020, mĆ”s del 11% de las infecciones de ransomware involucraron potencialmente la filtraciĆ³n de datos.
De acuerdo a Raj Samani, cientĆfico jefe de la firma de seguridad McAfee y asesor de ciberseguridad de la Europol, la rĆ”pida adopciĆ³n de sitios de filtraciĆ³n de datos puede deberse a que cada vez menos vĆctimas optan por pagar lo que los atacantes exigen.
Nuevo ransomware Avaddon se suma a lista de filtradores
Siguiendo la tendencia de robar y filtrar datos, esta semana los operadores del ransomware Avaddon crearon un nuevo sitio de filtraciĆ³n de datos en la web oscura. AllĆ irĆ”n publicando archivos robados de las vĆctimas que decidan no pagar el rescate.
Al anunciar su nuevo sitio, identificado como Ā«Avaddon InfoĀ», la banda se suma a la lista de ransomware que utilizan esta estrategia como mecanismo para presionar a sus vĆctimas.
La informaciĆ³n, publicada en el medio especializado Bleeping Computer este 10 de agosto, fue difundida por la firma israelĆ de ciberseguridad, Kela. Explica que la lĆnea de acciĆ³n de Avaddon es la misma que ha utilizado Maze y otros hackers.
Hasta ahora, han incluido una sola vĆctima en el nuevo sitio, una empresa de construcciĆ³n de la cual han filtrado 3,5 MB de documentos presuntamente robados.
Ā«Publicaron una muestra de los datos obtenidos, con informaciĆ³n relacionada con la actividad de la empresa en el Reino Unido, MĆ©xico, Filipinas, Malasia y TailandiaĀ», segĆŗn declaraciones de Kela.
Avaddon es un ransomware de apariciĆ³n reciente. Se conoce desde junio de 2020 y se distribuye a travĆ©s de una campaƱa masiva de spam. El malware se incrusta en correos con un archivo malicioso JavaScript que se disfraza como archivo de imagen .jpg.
Lista de ransomware con sitios para filtraciĆ³n de datos
Se estima que actualmente los sitios de filtraciĆ³n de datos robados son manejados por mĆ”s de una docena de operadores de ransomware. AdemĆ”s de los ya mencionados, Avaddon y Maze, se exponen a continuaciĆ³n algunos de ellos.
AKO
ComenzĆ³ a operar en enero de 2020. Ako exige que las empresas mĆ”s grandes con informaciĆ³n mĆ”s valiosa paguen un rescate y una extorsiĆ³n adicional para eliminar los datos robados. Si no se realiza el pago, los datos de la vĆctima se publican en su Ā«Blog de fuga de datosĀ».
CL0P
ComenzĆ³ como una variante de CryptoMix y pronto se convirtiĆ³ en el ransomware elegido por un grupo de APT conocido como TA505. Este grupo atacĆ³ 267 servidores en la Universidad de Maastricht. En marzo de 2020, CL0P lanzĆ³ un sitio de filtraciĆ³n de datos llamado ‘CL0P ^ -LEAKS‘, donde publican los datos de las vĆctimas.
DoppelPaymer
Conocido desde julio de 2019, DoppelPaymer o BitPaymer apunta a sus vĆctimas a travĆ©s de hacks de escritorio remoto y acceso proporcionado por el troyano Dridex. En febrero de 2020, lanzĆ³ un sitio de filtraciĆ³n dedicado al que llaman Ā«Dopple LeaksĀ».
Nemty
Conocido desde enero de 2019 como Ransomware-as-a-Service (RaaS) llamado JSWorm, fue rebautizado como Nemty en agosto del aƱo pasado. En marzo de 2020 Nemty creĆ³ un sitio de filtraciĆ³n de datos para publicar los datos de las vĆctimas.
Nephilim
En marzo pasado Nemty creĆ³ un equipo de afiliados para un Ransomware-as-a-Service privado llamado Nephilim. El ransomware naciĆ³ reclutando solo a piratas informĆ”ticos y distribuidores de malware con experiencia. Poco despuĆ©s, crearon un sitio llamado ‘Corporate Leaks’ que utilizan para publicar los datos robados.
NetWalker
En mayo de 2020, NetWalker, tambiĆ©n conocido como Mailto, comenzĆ³ a reclutar afiliados ofreciendo grandes pagos y un sitio de filtraciĆ³n de datos de publicaciĆ³n automĆ”tica. Utiliza una cuenta regresiva para intentar asustar a las vĆctimas y forzarlas para que paguen.
Pysa (Mespinoza)
ApareciĆ³ en octubre de 2019. En noviembre cambiĆ³ la extensiĆ³n de encriptaciĆ³n de archivos .locked a .pysa. En 2020 crearon un sitio de filtraciĆ³n de datos llamado ‘Pysa Homepage’ donde publican los archivos robados de sus Ā«sociosĀ» si no se paga el rescate.
Ragnar Locker
Conocido desde febrero de 2020, este ransomware llamĆ³ la atenciĆ³n de los medios despuĆ©s de encriptar al gigante energĆ©tico portuguĆ©s EnergĆas de Portugal, pidiendo un rescate de 1.580 bitcoins. Hace unos dĆas hicieron un ataque a la empresa multinacional de gestiĆ³n de viajes CWT, que terminĆ³ en el pago de USD 4,5 millones en bitcoin. Ragnar Locker Tiene un sitio web llamado ‘Ragnar Leaks News’ donde publican los datos robados.
REvil / Sodinokibi
Opera desde abril de 2019 y es el sucesor de GandCrab. DespuĆ©s de que Maze comenzĆ³ a publicar archivos robados, Sodinokibi hizo lo mismo. Primero publicĆ³ los datos robados en un foro de piratas informĆ”ticos y luego lanzĆ³ un sitio dedicado a la filtraciĆ³n de datos llamado Ā«Blog felizĀ».
Sekhmet
ApareciĆ³ en marzo de 2020 apuntando a redes corporativas. Los operadores de Sekhmet han creado un sitio web titulado ‘Fugas, fugas y fugas’, donde publican datos robados a las vĆctimas que no pagan el rescate.
ĀæLas vĆctimas ceden a la presiĆ³n y pagan los bitcoins del ransomware?
El propĆ³sito de los sitios de filtraciĆ³n suele seguir un camino en escalada diseƱado para aumentar la presiĆ³n psicolĆ³gica sobre las personas vĆctimas del ataque.
En una primera fase el sitio de filtraciĆ³n solo enumera las vĆctimas recientes, prometiendo eliminar los nombres de la lista si aceptan pagar un rescate. Si no reciben el dinero (generalmente bitcoin), inicia la filtraciĆ³n de algunas muestras de los datos robados. Por Ćŗltimo, si no hay pago, se descarga todo en lĆnea.
En relaciĆ³n a si esta presiĆ³n ha generado un mayor nĆŗmero de pagos de rescates, muchos investigadores seƱalan no estar seguros, puesto que no existen cifras claras. No obstante, hay un grupo que cree que la estrategia estĆ” teniendo Ć©xito.
Ā«Fue en noviembre de 2019 cuando vimos los primeros ejemplos de sitios con fugas, y eso se ha copiado y replicado porque tiene Ć©xito. El hecho de que mĆ”s personas estĆ©n pagando mĆ”s rescates significa que esto no va a desaparecerĀ», expresa Raj Sammani, de McAfee.
Ā«Es un juego para maximizar el pagoĀ», dice el experto en ciberseguridad Jake Williams, presidente de la compaƱĆa de seguridad Rendition Infosec. Ā«Si una tĆ”ctica funciona, espere que los hackers la usen. Pero aĆŗn no estĆ” claro si amenazar a las vĆctimas con la filtraciĆ³n de datos es una estrategia eficazĀ».
Tal como lo reporto CriptoNoticias recientemente, un informe de la firma Coverware, especializada en investigaciĆ³n de ciberseguridad, muestra que el promedio de pago por ataques ransomware durante el segundo trimestre de 2020 fue de USD 178.254. En la mayorĆa de los casos se pide que los pagos sean en bitcoin.
AdemĆ”s de la filtraciĆ³n de datos, hay claros indicios de que los hackers venden la informaciĆ³n en los mercados de la darknet. AllĆ se subastan los datos al mejor postor.
Ā«Este desarrollo no es para nada sorprendenteĀ», opina Brett Callow, analista de amenazas de Emsisoft. Ā«El robo de datos proporciona a los grupos de ransomware opciones adicionales de monetizaciĆ³nĀ».