Cómo los hackers filtran documentos para extorsionar a sus víctimas

Se cumple uno de los peores pronósticos en materia de ciberseguridad para este 2020. Los ataques con ransomware ya no solo piden un rescate económico por desbloquear los archivos que ha encriptado el virus. Ahora también piden el rescate para que las víctimas eviten la filtración de documentos y datos sensibles.

Los equipos desarrolladores de hasta 2 tipos de ransomwareSodinokibi y DoppelPaymer, han lanzado páginas web donde ya publican los archivos robados de sus ciberataques. Ha sido el sitio BleepingComputer el primero en informar de esta nueva situación.

McAffee Labs advertía a finales del año pasado que los ciberataques a empresas seguirían creciendo y darían paso «a ataques de extorsión en dos etapas». Primero, «lanzarán ataques de ransomware paralizante, extorsionando a las víctimas para recuperar sus archivos». 

En la segunda etapa, «los delincuentes atacarán nuevamente a las víctimas mientras se están recuperando, pero en esta ocasión la extorsión será amenazando con revelar datos confidenciales robados».

El ransomware es un viejo conocido para las empresas españolas. En la segunda mitad del año pasado se activó una intensa campaña que comenzó afectando a ayuntamientos, como el de Jerez.

Después, le tocó el turno a la consultora Everis y la Cadena SerProsegur fue una de las últimas afectadas de 2019.

Eusebio Nieva es el director técnico para España y Portugal de Check Point, una empresa de ciberseguridad. En declaraciones a Business Insider España señala que «el que te hayan atacado y se pague no garantiza que no vuelvan a atacar».

En muchos casos, si una compañía víctima de un ataque de ransomware ve cómo se filtran sus documentos confidenciales en una página web, puede servir «de señal». Nieva explica que, con ver esos documentos públicos, más allá del perjuicio que genere, es una indicación para otros grupos de hackers de que, como compañía, no se pagan rescates. Así, se pueden evitar futuros ataques.

Por ello, para Nieva, lo más importante sigue siendo «la prevención». «Para un ataque de ransomwareentrar en fase de detección ya no sirve de nada; ya es tarde».

Los peores presigios de McAfee ya están ocurriendo. El equipo detrás de Sodinokibi —un ransomware también conocido como REvil— ya ha advertido en foros de ciberdelincuencia que está ultimando un blog en el que colgarán la información sensible que extraigan de las empresas que no paguen su rescate.

Lo ha anunciado Unknown, el pseudónimo bajo el que se oculta una persona —o varias— en un foro ruso. En el mensaje, al que ha tenido acceso BleepingComputer, insta a los demás miembros del foro a que copien y distribuyan los documentos confidenciales que puedan filtrar a través de su blog.

De hecho, también sugiere que el equipo responsable de Sodinokibi enviará correos electrónicos automáticos a índices bursátiles, como el Nasdaq, anunciando el ataque a una de sus cotizadas. El objetivo es, de este modo, impactar en el valor de las acciones de sus víctimas.

Otro programa de ransomware, DoppelPaymer, ya tiene operativa una página web en la que los usuarios pueden acceder a los documentos filtrados de las distintas compañías afectadas. Entre ellas se encuentra, por ejemplo, Pemex, la petrolera estatal de México.

Según BleepingComputer, que ha podido contactar con el grupo responsable del programa y de la web, la página está en fase de pruebas y, de momento, se está utilizando para avergonzar a sus víctimas —las que no hayan pagado el rescate— y publicar algunos archivos robados.

También aparecen los datos de Visser, una subcontrata de Tesla y SpaceX. También ellos han confirmado este lunes una filtración de datos, como apunta TechCrunch.

La posibilidad de que los ataques de ransomware comenzasen a usarse para extorsionar a sus víctimas con la filtración de documentos confidenciales ya se ha convertido en una realidad. Otro de estos virus, conocido como Maze, lo empezó a hacer también en febrero de 2020.

Maze infectó los ordenadores de MDLab, una compañía sanitaria, y publicó 9,5 GB de datos. Los responsables del ciberataque exigieron el pago de 200 bitcoins (unos 1,6 millones de euros). 

NotiVeraz

Facebook
Twitter
LinkedIn
WhatsApp
Email
WP Twitter Auto Publish Powered By : XYZScripts.com