• Home /

  • /

  • Llega el ransomware de triple extorsión: robo de datos, recompensa económica y chantaje a los clientes

Ciberseguridad

Llega el ransomware de triple extorsión: robo de datos, recompensa económica y chantaje a los clientes

4 minutos

Ciberataques de ransomware

Desde finales de 2020 y principios de 2021 se ha producido un cambio en los ciberataques de ransomware, según ha detectado Check Point Research (CPR), la división de Inteligencia de Amenazas de la compañía Check Point Software Technologies.

La firma de ciberseguridad ha emitido un comunicado para advertir sobre esta nueva cadena de ataques que, según explica, es esencialmente una expansión de la técnica de doble extorsión al integrar en el proceso una amenaza adicional y única que se conoce como ransomware triple extorsión.

Tal y como recuerda CPR, el éxito de la doble extorsión a lo largo de 2020, sobre todo desde que estalló la pandemia de la Covid-19, es innegable y hay estadísticas que así lo reflejan. Actualmente, el pago medio de rescates por parte de las empresas ha aumentado un 171% respecto al año anterior, algo preocupante si se tiene en cuenta que suponen un coste medio de 310.000 dólares a cada compañía atacada. Por otra parte, las fugas de datos fueron la principal consecuencia para más de 1.000 compañías que se negaron a cumplir con las peticiones de rescate en 2020.

"Como resultado del éxito logrado, casi el 40% de las familias de ransomware recién descubiertas incorporan la infiltración de datos. Y es justo por la notoriedad de los resultados de este ciberataque, que combina la filtración de datos y el ransomware, que los ciberdelincuentes están esforzándose cada día para seguir buscando métodos que mejoren sus estadísticas de cobro de rescates y la eficiencia de la amenaza", subraya la empresa de ciberseguridad.

El ransomware de triple extorsión

Siguiendo la información de Check Point, el primer caso notable de la triple extorsión se produjo en octubre de 2020 y fue el golpe que sufrió la clínica de psicoterapia finlandesa Vastaamo. A lo largo de todo un año sufrió una brecha de seguridad que culminó con un amplio robo de datos de sus 40.000 pacientes mediante un ransomware. Tras el ataque, los ciberdelincuentes no solo exigieron un cuantioso rescate al proveedor de servicios sanitarios, sorprendentemente también solicitaron sumas menores a los pacientes, que recibieron las peticiones de rescate individualmente por correo electrónico. En esos emails,  eran amenazados con la filtración del contenido de las sesiones con sus terapeutas.

Tras esta ofensiva, la compañía señala que la triple extorsión alcanzó una mayor escala en febrero de 2021, cuando el grupo de ransomware REvil anunció que había añadido dos etapas a su doble esquema de extorsión: ataques DDoS y llamadas telefónicas a los socios comerciales de la víctima y a los medios de comunicación.

"Este conjunto, responsable de la distribución del ransomware 'Sodinokibi', opera con un modelo de negocio 'as-a-service'. En la actualidad, este grupo ofrece ofensivas DDoS y llamadas de VoIP codificadas a periodistas y socios como un servicio gratuito para sus afiliados, con el objetivo de presionar aún más a la empresa víctima para que cumpla con las demandas de rescate en el plazo designado", explica Check Point.

"Parece que, incluso en plena ola de éxito, los ciberdelincuentes se encuentran en una búsqueda constante de mecanismos de explotación más innovadores y fructíferos. Es de suponer que el pensamiento creativo y un análisis del complejo escenario de los ataques de ransomware de doble extorsión ha llevado a desarrollar la tercera técnica de extorsión. Lo más preocupante es que sus víctimas, como los clientes de la empresa, los colaboradores externos y los proveedores de servicios, se ven afectados y perjudicados por las fugas de datos causadas por esta nueva amenaza, incluso si sus recursos de red no son el objetivo directo", agrega.

Cómo prevenir el ransomware

En su comunicado, Check Point también ha ofrecido esta lista de recomendaciones para evitar ser víctima de un ataque de ransomware:

  • Implantar soluciones de protección para redes y dispositivos, y mejorar las medidas de protección durante los fines de semana y los días festivos: la mayoría de los ataques de ransomware del año pasado tuvieron lugar durante los fines de semana y festivos, momentos en los que es menos probable que los usuarios estén vigilando. Hay que reforzar las medidas de seguridad en estas ocasiones clave.
  • Parches actualizados: en el momento del famoso ataque de WannaCry en mayo de 2017, existía un parche para la vulnerabilidad EternalBlue utilizado por esta empresa, que estaba disponible desde un mes antes y fue etiquetado como "crítico" debido a su alto potencial de explotación. Sin embargo, muchas empresas y particulares no lo aplicaron a tiempo, lo que provocó un brote de ransomware que infectó a más de 200.000 ordenadores en tres días. Mantener los equipos actualizados y aplicar los parches de seguridad, especialmente los calificados como críticos, contribuye a limitar la vulnerabilidad de una compañía.
  • Anti-Ransomware: aunque los pasos anteriores de prevención pueden ayudar a mitigar la exposición a estas ofensivas, no proporcionan una protección perfecta. Algunos de estos embates utilizan como vector de ataque correos electrónicos de phishing selectivos y altamente dirigidos. Estos emails pueden engañar incluso al empleado más diligente, dando lugar a que el ransomware obtenga acceso a los sistemas internos de una empresa. La protección contra esta amenaza, que es capaz de colarse por cualquier rendija requiere una solución de seguridad especializada. Para lograr su objetivo, debe realizar ciertas acciones anómalas, como abrir y cifrar un gran número de archivos. Las soluciones antiransomware supervisan los programas que se ejecutan en un ordenador en busca de comportamientos sospechosos que suelen presentar este tipo de irrupción, y si se detectan estos comportamientos, puede actuar para detener el cifrado antes de que se produzcan más daños.
  • Formación: es fundamental capacitar a los miembros de las empresas para que sepan cómo identificar y evitar posibles arremetidas. Muchos de los ciberataques actuales comienzan con un email que ni siquiera contiene malware, sino que incluye un mensaje de ingeniería social que anima al usuario a hacer clic en un enlace malicioso. La educación suele considerarse una de las defensas más importantes que puede desplegar una empresa.
  • El ransomware no comienza con el ransomware: Ryuk y otros tipos de este ataque obtienen bases de infección en las empresas objetivo. Los profesionales de la seguridad deben estar atentos a las infecciones de Trickbot, Emotet, Dridex y CobaltStrik dentro de sus redes y eliminarlas utilizando soluciones de detección de amenazas, ya que abren la puerta para que Ryuk u otras infecciones se infiltren en las compañías e instituciones.