Las bandas de ransomware están incumpliendo cada vez más su promesa de eliminar los datos robados después de que una víctima pague un rescate.
En 2019, el grupo de ransomware Maze introdujo una nueva táctica conocida como doble extorsión, que es cuando los atacantes roban archivos no cifrados y luego amenazan con liberarlos públicamente si no se paga un rescate.
Ahora, no solo se extorsiona a las víctimas mediante el cifrado de sus archivos, sino también por el riesgo de que sus datos se publiquen y provoquen una filtración de datos.
Esta táctica fue rápidamente adoptada por otras operaciones de ransomware, que comenzaron a crear sitios de filtración de datos utilizados para publicar los archivos robados de las víctimas.
Como parte de esta táctica de doble extorsión, la mayoría de las operaciones de ransomware requieren que la víctima pague un único rescate que proporcionará un descifrador para sus archivos cifrados y una promesa de no compartir y eliminar los archivos robados.
Algunas operaciones de ransomware, como AKO / Ranzy, exigen dos pagos de rescate , uno para el descifrador y otro para no publicar datos robados.
Las bandas de ransomware no cumplen su promesa
En el informe de ransomware Coveware Q3 2020 publicado hoy, nos enteramos de que algunas bandas de ransomware no cumplen su promesa de eliminar los datos robados después de que se pague un rescate.
Según el nuevo informe, ciertos grupos están filtrando datos robados después de que se pagó un rescate, utilizando datos falsos como prueba de eliminación o incluso extorsionando a una víctima utilizando los mismos datos que se pagaron para no ser liberados.
- Sodinokibi : Las víctimas que pagaron fueron extorsionadas semanas después con amenazas de publicar el mismo conjunto de datos.
- Netwalker : datos publicados de empresas que habían pagado para que no se filtraran
- Mespinoza : Datos publicados de empresas que habían pagado para que no se filtraran
- Conti : los archivos falsos se muestran como prueba de eliminación
También se mencionó que Maze, Sekhmet y Egregor, que parecen estar todos relacionados, tenían problemas para mantener los datos en secreto después de recibir el pago. En una conversación con BleepingComputer, el CEO de Coveware, Bill Siegel, explicó que a medida que Maze crecía, su operación se desorganizaba y los datos de la víctima se publicaban por error en el sitio de filtración de datos.
Siegel también le dijo a BleepingComputer que Conti usó sitios para compartir archivos para compartir pruebas de datos robados con las víctimas. Al cargar datos en estos sitios, también se generan enlaces de eliminación que permiten a cualquier persona con el enlace eliminar los datos cargados.
Según Siegel, Conti proporcionó a las víctimas enlaces de eliminación falsos después de que se pagó un rescate que contenía datos ficticios y no datos reales de la víctima. Estos enlaces estaban destinados a engañar a la víctima para que pensara que sus datos fueron eliminados, cuando en realidad, Conti continuó reteniendo los datos.
A diferencia de un descifrador de ransomware, que un actor de amenazas no puede eliminar una vez dado, no hay forma de que una víctima sepa con certeza si una operación de ransomware está eliminando datos robados después de que se realiza un pago de rescate.
Debido a esto, Coveware le dijo a BleepingComputer que no tiene sentido pagar un rescate ya que no hay forma de saber con certeza que no se usará para extorsionarlo más en el futuro.
Con esto en mente, Coveware les dice a las víctimas que esperen lo siguiente si deciden pagar, por lo que sus datos no se divulgan:
- Los datos no se borrarán de forma creíble. Las víctimas deben asumir que se intercambiará con otros actores de amenazas, se venderá o se mantendrá para un segundo / futuro intento de extorsión.
- La custodia de los datos robados estaba en manos de varias partes y no estaba protegida. Incluso si el actor de la amenaza elimina un volumen de datos después de un pago, otras partes que tuvieron acceso a él pueden haber hecho copias para poder extorsionar a la víctima en el futuro.
- Los datos pueden publicarse de todos modos por error o intencionalmente antes de que una víctima pueda siquiera responder a un intento de extorsión.
Las empresas deben asumir automáticamente que sus datos se han compartido entre múltiples actores de amenazas y que se utilizarán o filtrarán de alguna manera en el futuro, independientemente de si pagaron.
En cambio, las empresas deben tratar el ataque como una violación de datos e informar adecuadamente a todos los clientes, empleados y socios comerciales que sus datos fueron robados según lo exige la ley.
Hacer esto hace que las empresas se vean mejor para intentar hacer lo correcto y les da a aquellos que estuvieron expuestos la capacidad de monitorear y proteger sus cuentas contra el fraude.
