En los últimos años se ha producido un aumento espectacular de los casos de ransomware de gran repercusión, lo que ha llevado a los CISO a situar la planificación del ransomware en lo más alto de su lista de iniciativas. Sin embargo, al igual que las empresas se han adaptado para protegerse de esta amenaza, las bandas de ransomware se han adaptado a su vez, empleando capas adicionales de extorsión centradas en exponer los datos de los clientes.
Un ataque tradicional de ransomware se basa en la premisa de que las organizaciones pagarán un rescate a cambio de la restauración segura de sus datos, que han sido secuestrados y cifrados. Las empresas pagarán el rescate para restaurar la funcionalidad de la red y reducir el tiempo de inactividad. Sin embargo, a medida que los ataques de ransomware se han hecho más frecuentes, los equipos de seguridad han trabajado para mitigar el impacto que la pérdida de datos tiene en sus empresas. Medidas como las copias de seguridad externas y la división de segmentos clave de la red han hecho que los ataques estándar de rescate por datos sean menos efectivos.
¿Qué es un ataque de ransomware de doble extorsión?
Aquí es donde entra en juego la doble extorsión. En un ataque de doble extorsión, el atacante exfiltra los datos que desea utilizar como palanca y luego lanza el ataque de cifrado. A continuación, el atacante amenaza con exponer los datos, lo que podría significar la venta de información personal de los clientes o la propiedad intelectual de la empresa víctima.
Los ataques de doble extorsión fueron empleados por primera vez por el grupo de ransomware Maze en 2019 y desde entonces han sido adoptados por un número creciente de bandas de ransomware. Un informe de 2021 de Group-IB señala un aumento del 935% en el número de empresas que han tenido sus datos expuestos en un sitio de fuga de datos, lo que indica que estas amenazas no están vacías.
De hecho, incluso las organizaciones que han pagado el rescate para preservar sus datos han visto cómo se han filtrado. Uno de los actores que está adquiriendo una reputación cada vez más mala en cuanto a fiabilidad es el grupo ruso de ransomware como servicio, Conti Ransomware Gang, que ha sido identificado por proporcionar pruebas falsas de eliminación de archivos y subir las filtraciones de datos a su sitio, Conti News, a pesar de haber recibido el pago del rescate de sus víctimas.
¿Qué es un ataque de ransomware de triple extorsión?
A medida que los pagos del ransomware se disparan, los atacantes se vuelven creativos e inician una serie de ataques de seguimiento para obtener fondos adicionales. En una triple extorsión, los atacantes no sólo exigen el pago a la empresa inicialmente comprometida, sino que también exigen el pago a aquellos que puedan verse afectados por la filtración de los datos de esa empresa.
La triple extorsión fue noticia en 2020 después de que se enviaran peticiones de rescate a pacientes individuales del proveedor de salud mental finlandés Vastaamo en relación con la publicación de sus historiales. Los pacientes habían discutido asuntos profundamente privados en estas sesiones de terapia y tenían un gran interés en que estos registros permanecieran privados.
La triple extorsión también puede implicar ataques adicionales lanzados contra el objetivo original si se niega a pagar el rescate. Por ejemplo, si una empresa ha podido restaurar a partir de copias de seguridad y no está negociando, los malos actores pueden iniciar un ataque de denegación de servicio distribuido para aplicar una presión adicional.
Cómo prevenir los ataques de ransomware de doble o triple extorsión
Es importante contar con un plan integral de resiliencia al ransomware que contemple la preparación, la prevención y la respuesta en caso de ataque. A continuación se ofrecen algunos consejos para prevenir los ataques de doble/triple extorsión que puede incorporar a su estrategia contra el ransomware.
– No deje entrar a los atacantes: Los ataques de ransomware de doble extorsión utilizan los mismos métodos para acceder a su red que cualquier ataque de ransomware tradicional. La formación en materia de seguridad para los empleados, las políticas de contraseñas y la autenticación multifactorial, la aplicación periódica de parches a las vulnerabilidades conocidas y la protección de los puertos RDP y las VPN son medidas importantes para detener el acceso inicial. También puede considerar la posibilidad de invertir en un cortafuegos de aplicaciones web y una solución de detección de ransomware.
– Copias de seguridad y cifrado de datos: En el caso de que un atacante entre en su red, tener una copia de seguridad reciente fuera de línea puede proteger contra el primer aspecto de un ataque de ransomware, la recuperación de sus datos. Además, para protegerse contra un ataque de doble extorsión, cifre sus datos de manera que, si son robados para utilizarlos en un intento de fuga de datos, no puedan ser leídos por el grupo de ransomware.
CambioDigital OnLine | Fuente WEB
