Ransomware 2.0: de encriptar datos a publicar online información confidencial

17 noviembre, 2020
5 Compartido 1,627 Visualizaciones

En los últimos dos años, los ataques generalizados de ransomware han sido sustituidos por ataques más selectivos contra empresas y sectores concretos

En estas campañas más selectivas, los atacantes no sólo amenazan con cifrar los datos, sino también con publicar online información confidencial. Esta tendencia fue observada por los investigadores de Kaspersky en un reciente análisis de dos destacadas familias de ransomware: Ragnar Locker y Egregor. 

Los ataques ransomware se consideran uno de los tipos de amenazas más graves a los que se enfrentan las empresas. No sólo pueden interrumpir las operaciones comerciales críticas, sino que también pueden provocar pérdidas financieras masivas y, en algunos casos, incluso la quiebra debido a las multas y los juicios en los que se incurre como resultado de la violación de leyes y regulaciones. Por ejemplo, se estima que WannaCry provocó pérdidas financieras de más de 4.000 millones de dólares. Sin embargo, las nuevas campañas de ransomware están modificando su modus operandi: amenazan con hacer pública la información robada a la empresa. 

Ragnar Locker y Egregor son dos conocidas familias de ransomware que practican este nuevo método de extorsión.  

Ragnar Locker fue descubierto por primera vez en 2019, pero no fue realmente conocido hasta la primera mitad de 2020 cuando atacó a grandes organizaciones. Sus ataques son muy selectivos y adaptados a cada víctima. Quienes se niegan a pagar ven sus datos confidenciales publicados en el «Muro de la vergüenza» de su sitio de filtraciones. Si la víctima conversa con los atacantes y luego se niega a pagar, también se publica este chat. Los principales objetivos de Ragnar Locker son empresas estadounidenses de diferentes sectores. En el mes de julio, Ragnar Locker declaró que se había unido al grupo de ransomware Maze, lo que significa que ambos colaborarán y compartirán información robada. Maze se ha convertido en una de las familias de ransomware más conocidas en 2020.

Egregor es aún más nuevo que Ragnar Locker, fue descubierto por primera vez el pasado septiembre. Sin embargo, utiliza muchas de las mismas tácticas, y también comparte similitudes de código con Maze. Este malware se descarga mediante una brecha en la red, una vez que los datos del objetivo han sido robados, le da a la víctima 72 horas para pagar el rescate antes de que la información robada se haga pública. Si las víctimas se niegan a pagar, los atacantes publican sus nombres y los enlaces para descargar los datos confidenciales de la empresa en su sitio de filtraciones. El radio de ataque de Egregor es mucho más extenso que el de Ragnar Locker. Tiene como objetivo víctimas de América del Norte, Europa y determinadas áreas de Asia-Pacífico.

«Lo que estamos viendo ahora mismo es el crecimiento del ransomware 2.0. Los ataques se están volviendo muy selectivos y el enfoque no es sólo en la encriptación, sino que se basa en la publicación online de datos confidenciales. Hacerlo no sólo pone en riesgo la reputación de las empresas, sino que también las expone a demandas si los datos publicados violan regulaciones como la HIPAA o la GDPR. Hay más en juego que las pérdidas financieras«, comenta Dmitry Bestuzhev, jefe del Equipo de Investigación y Análisis Global de América Latina (GReAT).

«Las organizaciones deben pensar en la amenaza ransomware como algo más que un tipo de malware. De hecho, a menudo, el ransomware es sólo la etapa final de una brecha en la red. Para cuando el ransomware se despliega, el atacante ya ha llevado a cabo un reconocimiento de la red, ha identificado los datos confidenciales y los ha filtrado. Por eso es importante que las organizaciones apliquen prácticas de ciberseguridad. Identificar el ataque en una fase temprana, antes de que los atacantes alcancen su objetivo final, puede ahorrar mucho dinero«, añade Fedor Sinitsyn, experto en seguridad de Kaspersky.

Para mantener su empresa protegida frente al ransomware, los expertos de Kaspersky recomiendan: 

  1. No exponga los servicios de escritorio remoto (como el RDP) a redes públicas, a menos que sea absolutamente necesario, y utilice siempre contraseñas fuertes para ellos. 
  2. Mantenga el software actualizado en todos los dispositivos que utilice. Para evitar que el ransomware se aproveche de las vulnerabilidades, utilice herramientas que puedan detectarlas automáticamente y descargue e instale parches.
  3. Instale cuanto antes los parches disponibles para las soluciones comerciales de VPN que proporcionen acceso a los empleados remotos y que actúen como puertas de entrada a su red. 
  4. Trate con precaución los archivos adjuntos de los correos electrónicos, o los mensajes de personas que no conoce. Si tiene dudas, no los abra.
  5. Utilice soluciones para identificar y detener el ataque en una etapa temprana, antes de que los atacantes completen su objetivo.  
  6. Enfoque su estrategia de defensa en la detección de movimientos laterales y la filtración de datos a Internet. Preste especial atención al tráfico saliente para detectar conexiones de cibercriminales. Haga copias de seguridad de los datos regularmente. Asegúrese de que puede acceder rápidamente a ellos en caso de emergencia cuando sea necesario. 
  7. Para proteger el entorno corporativo, eduque a sus empleados.
  8. Para los dispositivos personales, utilice una solución de seguridad fiable, que protege contra el malware de cifrado de archivos y permite retroceder los cambios realizados por las aplicaciones maliciosas.
  9. Si se trata de una empresa, mejore su protección. También es útil para los clientes que utilizan Windows 7: con el fin del soporte para Windows 7, las nuevas vulnerabilidades de este sistema ya no serán parcheadas.
  10. Para obtener una protección superior, utilice una solución de seguridad para endpoint, basada en la prevención de exploits, la detección basada en  comportamientos y un motor de remediación capaz de hacer retroceder las acciones maliciosas.

 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Los ciberdelincuentes están explotando la pandemia mundial a gran escala
Actualidad
5 compartido1,310 visualizaciones
Actualidad
5 compartido1,310 visualizaciones

Los ciberdelincuentes están explotando la pandemia mundial a gran escala

Aina Pou Rodríguez - 31 agosto, 2020

Atacan a los teletrabajadores para acceder a las redes empresariales y a los datos críticos  Fortinet® (NASDAQ: FTNT) ha publicado…

Un tercio de todos los ataques de phishing se dirigieron contra clientes del sector financiero en el segundo trimestre de 2018
Actualidad
14 compartido1,585 visualizaciones
Actualidad
14 compartido1,585 visualizaciones

Un tercio de todos los ataques de phishing se dirigieron contra clientes del sector financiero en el segundo trimestre de 2018

Vicente Ramírez - 5 septiembre, 2018

En el segundo trimestre de 2018, las tecnologías anti-phishing de Kaspersky Lab impidieron más de 107 millones de intentos de…

Softtek adquiere 75% de Vector ITC
Actualidad
2 compartido1,386 visualizaciones
Actualidad
2 compartido1,386 visualizaciones

Softtek adquiere 75% de Vector ITC

Alicia Burrueco - 13 diciembre, 2019

Softtek suma a su porfolio las capacidades de una de las empresas más dinámicas y de rápido crecimiento en el…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.