Por E&N
Durante 2020, las bandas que operan las distintas familias de ransomware dejaron atrás las campañas masivas y al azar esperando que alguna víctima se infecte y que eventualmente pague el rescate para recuperar su información. En cambio, apuntaron a compañías de varias industrias, así como al sector de la salud y a organismos gubernamentales a nivel global, llevando adelante ataques en los que secuestran mediante cifrado los archivos en los equipos comprometidos, con n uevas estrategias para demandar el pago de un rescate.
El robo de información previo al cifrado de los archivos y la posterior extorsión bajo la amenaza de publicar, vender o subastar los datos confidenciales robados fue una metodología que se observó por primera vez a fines de 2019 y que se consolidó en 2020. El objetivo es agregar un plan B a la estrategia de solo cifrar los archivos y demandar el pago de un rescate para devolver el acceso. Con este nuevo método, adoptado ya por varias familias de ransomware, los criminales aumentan la posibilidad de monetizar los ataques al contar con otro instrumento para presionar a las víctimas y que se decidan a pagar, ya que supuestamente de esta manera evitarán la divulgación de la información robada y recuperarán el acceso a los datos.
Pero "esta técnica requiere que el atacante invierta bastante tiempo, ya que necesita obtener acceso a la red, desplazarse sin ser detectados hasta identificar los datos confidenciales y extraer una copia de información para guardar en su propio entorno", explicó el especialista de ESET, Tony Anscombe, en el informe Tendencias 2021 en ciberseguridad. Hay un trabajo de persistencia que realizan los atacantes una vez que están dentro de la red con la intención de recolectar información y también credenciales adicionales para asegurarse el acceso a la red en caso de que se cierre la ruta que permitió el acceso inicial. Además, muchos grupos de ransomware dedican tiempo para realizar un trabajo de inteligencia en busca de comprender qué datos son valioso e identificar información sensible que, en caso de ser filtrada o comprometida, de alguna manera provocarán daños a la empresa u organización, agregó el especialista.
El aumento de los ataques dirigidos de ransomware también tiene una explicación en el modelo de negocio del ransomware as-a-service (RaaS), donde algunos actores desarrollan estos códigos maliciosos y los ofrecen en la dark web para asociarse con afiliados que se encargarán de la distribución del ransomware y luego dividirán las ganancias. Estas familias de ransomware muchas veces operan durante algún tiempo y cesan sus actividades, dando lugar a la creación de otros grupos de ransomware que adquieren el código fuente y le añaden en algunos casos variaciones.
Egregor, por ejemplo, es un ransomware que surgió en septiembre de 2020 y que opera bajo este modelo de negocio. Recientemente el FBI publicó un comunicado en el que advierte a compañías de todo el mundo sobre los ataques de este ransomware y su creciente actividad. Egregor comenzó a operar poco después de que el ransomware Maze anunciara el cese de sus actividades. Según dijeron actores de amenazas a BleepingComputer, esto provocó que muchos afiliados a Maze pasaran a trabajar con Egregor como RaaS.
Durante 2020, las bandas que operan las distintas familias de ransomware dejaron atrás las campañas masivas y al azar esperando que alguna víctima se infecte y que eventualmente pague el rescate para recuperar su información. En cambio, apuntaron a compañías de varias industrias, así como al sector de la salud y a organismos gubernamentales a nivel global, llevando adelante ataques en los que secuestran mediante cifrado los archivos en los equipos comprometidos, con n uevas estrategias para demandar el pago de un rescate.
El robo de información previo al cifrado de los archivos y la posterior extorsión bajo la amenaza de publicar, vender o subastar los datos confidenciales robados fue una metodología que se observó por primera vez a fines de 2019 y que se consolidó en 2020. El objetivo es agregar un plan B a la estrategia de solo cifrar los archivos y demandar el pago de un rescate para devolver el acceso. Con este nuevo método, adoptado ya por varias familias de ransomware, los criminales aumentan la posibilidad de monetizar los ataques al contar con otro instrumento para presionar a las víctimas y que se decidan a pagar, ya que supuestamente de esta manera evitarán la divulgación de la información robada y recuperarán el acceso a los datos.
Pero "esta técnica requiere que el atacante invierta bastante tiempo, ya que necesita obtener acceso a la red, desplazarse sin ser detectados hasta identificar los datos confidenciales y extraer una copia de información para guardar en su propio entorno", explicó el especialista de ESET, Tony Anscombe, en el informe Tendencias 2021 en ciberseguridad. Hay un trabajo de persistencia que realizan los atacantes una vez que están dentro de la red con la intención de recolectar información y también credenciales adicionales para asegurarse el acceso a la red en caso de que se cierre la ruta que permitió el acceso inicial. Además, muchos grupos de ransomware dedican tiempo para realizar un trabajo de inteligencia en busca de comprender qué datos son valioso e identificar información sensible que, en caso de ser filtrada o comprometida, de alguna manera provocarán daños a la empresa u organización, agregó el especialista.
El aumento de los ataques dirigidos de ransomware también tiene una explicación en el modelo de negocio del ransomware as-a-service (RaaS), donde algunos actores desarrollan estos códigos maliciosos y los ofrecen en la dark web para asociarse con afiliados que se encargarán de la distribución del ransomware y luego dividirán las ganancias. Estas familias de ransomware muchas veces operan durante algún tiempo y cesan sus actividades, dando lugar a la creación de otros grupos de ransomware que adquieren el código fuente y le añaden en algunos casos variaciones.
Egregor, por ejemplo, es un ransomware que surgió en septiembre de 2020 y que opera bajo este modelo de negocio. Recientemente el FBI publicó un comunicado en el que advierte a compañías de todo el mundo sobre los ataques de este ransomware y su creciente actividad. Egregor comenzó a operar poco después de que el ransomware Maze anunciara el cese de sus actividades. Según dijeron actores de amenazas a BleepingComputer, esto provocó que muchos afiliados a Maze pasaran a trabajar con Egregor como RaaS.
