La nueva amenaza del ransomware: la triple extorsión

Cuando termine de leer esta frase, una organización en algún lugar del mundo habrá sido víctima de un ataque de ransomware y habrá tenido al menos algunos de sus datos corporativos cifrados. En todo el mundo, los criminales que están detrás de los ataques de ransomware atacan a una nueva organización cada 10 segundos, pero hace menos de cinco años, era cada 40. Recientemente, Colonial Pipeline, una importante empresa de combustibles de Estados Unidos fue noticia tras ser víctima de un ataque de este tipo y en 2020 se estima que el ransomware costó a las empresas de todo el mundo casi 15.000 millones de libras, una cifra que es casi un 75% superior a la de 2019.

En el Reino Unido específicamente, nuestros investigadores han identificado 22 ataques de ransomware a organizaciones este año, lo que supone un asombroso aumento del 2.414% respecto al mismo periodo de 2020. Está claro que las organizaciones deben ser más conscientes de que están en riesgo y de dónde están los riesgos.

El año pasado destacamos un nuevo enfoque conocido como «doble extorsión», que ganó popularidad durante la pandemia de Covid-19. En este caso, los hackers roban datos sensibles y amenazan con hacerlos públicos a menos que se realice un pago. Ahora estamos viendo que destacados ataques apuntan a una nueva cadena de ataque – esencialmente una expansión de la técnica de la doble extorsión, integrando una amenaza adicional y única en el proceso – y la llamamos triple extorsión.

El primer caso notable es el ataque a la clínica Vastaamo, ocurrido en octubre de 2020. Innovadora en su momento, la clínica psicoterapéutica finlandesa de 40.000 pacientes sufrió una brecha de un año de duración que culminó con un amplio robo de datos de los pacientes y un ataque de ransomware. Se exigió un rescate decente al proveedor de servicios sanitarios, pero, sorprendentemente, también se pidieron sumas menores a los pacientes, que habían recibido las peticiones de rescate individualmente por correo electrónico. En esos correos, los atacantes amenazaban con publicar las notas de las sesiones de los terapeutas. Este fue el primer ataque de este tipo dentro del panorama de los ataques de ransomware.

A mayor escala, en febrero de 2021 el grupo de ransomware REvil anunció que había añadido dos etapas a su doble esquema de extorsión: ataques DDoS y llamadas telefónicas a los socios comerciales de la víctima y a los medios de comunicación. El grupo de ransomware REvil, responsable de la distribución del ransomware Sodinokibi, opera con un modelo de negocio de ransomware como servicio (RaaS). El grupo ofrece ahora ataques DDoS y llamadas de VoIP codificadas a periodistas y colegas como un servicio gratuito para sus afiliados, con el objetivo de presionar aún más a la empresa de la víctima para que cumpla con las demandas de rescate en el plazo designado.

Parece que incluso cuando se suben a la ola del éxito, los grupos de amenazas están en una búsqueda constante de modelos de negocio más innovadores y fructíferos. Sólo podemos suponer que el pensamiento creativo y el sabio análisis del complejo escenario de los ataques de ransomware de doble extorsión han llevado al desarrollo de la tercera técnica de extorsión. Las terceras víctimas, como los clientes de la empresa, los colegas externos y los proveedores de servicios, se ven fuertemente influenciados y perjudicados por las violaciones de datos causadas por estos ataques de ransomware, incluso si sus recursos de red no son el objetivo directo. Tanto si se les pide un rescate adicional como si no, se ven impotentes ante una amenaza de este tipo y tienen mucho que perder si el incidente toma un rumbo equivocado. Estas víctimas son un objetivo natural para la extorsión y podrían estar en el radar de los grupos de ransomware a partir de ahora.

RECOMENDADO  Cómo vencer al ransomware: 6 cuestiones que hay que resolver antes de que ataque

Siempre se ha dicho que «los defensores tienen que acertar siempre, los atacantes sólo tienen que acertar una vez». Se habla mucho de la «sofisticación» de los ataques de ransomware, pero en gran parte no lo son. Las organizaciones infectadas a menudo podrían haber hecho algo al respecto, pero la retrospectiva siempre es buena y es fácil señalar con el dedo y decir que alguien podría haber hecho más.

Muchas de las recomendaciones que reciben las organizaciones después del incidente son las mismas y se centran en la prevención, la protección, la detección y la respuesta.

Pero es importante tener en cuenta que, en muchos casos, el ransomware no llega directamente a las redes, sino que viene precedido de una infección inicial; hemos visto troyanos bancarios, keyloggers y frameworks como Cobalt Strike de uso común. Los equipos de TI deben estar atentos a cualquier signo de infección en sus redes, y en la prevención de estas pre-infecciones, el software de protección de puntos finales actualizado regularmente juega un papel clave. Recomendamos que se realice una evaluación completa del compromiso cada vez que haya indicios de intrusión.

Otros vectores de infección han sido el RDP (Remote Desktop Protocol). Los actores de la amenaza identifican servidores RDP abiertos y realizan un ataque de inicio de sesión por fuerza bruta o utilizan credenciales suplantadas para obtener acceso a los servidores. Una vez en el servidor, el atacante obtiene privilegios elevados y se mueve lateralmente para desplegar el ransomware en los puntos finales de la red. También hemos visto que otras instalaciones de acceso remoto han sido atacadas y utilizadas de la misma manera. Para protegerse contra este vector, las organizaciones deben parchear las vulnerabilidades pertinentes y proteger sus servidores e instalaciones de acceso remoto con contraseñas seguras y autenticación de dos factores.

Y además de las medidas mencionadas, las organizaciones deben desplegar soluciones antiransomware específicas que supervisen constantemente los comportamientos específicos del ransomware e identifiquen el cifrado ilegítimo de archivos, de modo que se pueda prevenir una infección y ponerla en cuarentena antes de que se arraigue, y restaurar automáticamente los archivos a su estado original. Con estas protecciones, las organizaciones estarán mejor preparadas para evitar ser víctimas de intentos de extorsión dobles y ahora triples.

Contribución de Jon Niccolls, Jefe de EMEA, Respuesta a Incidentes Check Point Software