Desde que en 2019 el ransomware Maze comenzara a aplicar un nuevo modelo de doble extorsión en el que no solamente se cifraba la información de las víctimas, sino que también se robaban datos confidenciales y se amenazaba con publicarlos, muchos han sido los delincuentes que han seguido este camino. Tras varios meses viendo como se intensifican estas amenazas entre empresas de todos los tamaños, ahora vemos como algunos operadores de ransomware empiezan a abandonar el cifrado para centrarse en el robo de información.
Grandes beneficios con el robo de información
Desde hace años, el ransomware es una de las amenazas más peligrosas para todo tipo de empresas por su impacto, que puede llegar a detener por completo el funcionamiento de una compañía. Además, durante los últimos meses hemos visto como se han intensificado este tipo de ataques, lo que además de causar serios problemas a las víctimas ha llenado los bolsillos de los delincuentes con el pago de los chantajes.
Hemos de tener en cuenta que cualquier empresa u organismo oficial, sin importar su tamaño, puede ser objetivo de uno de estos ataques. Sin embargo, también es cierto que hay operadores de ransomware que se especializan en atacar a objetivos grandes, mientras que otros (normalmente afiliados que alquilan tanto el malware como el soporte a otros delincuentes) se dedican a atacar a pequeñas y medianas empresas.
Durante los últimos meses hemos visto también como aumentaba considerablemente el coste derivado de pagar uno de estos rescates y esto ha hecho que muchos delincuentes obtuvieran cantidades millonarias en poco tiempo. Especialmente en los ataques dirigidos a grandes empresas es donde los delincuentes obtienen sus mayores beneficios, y el pago de estos rescates ha aumentado debido a que al robar información confidencial ya no basta con restaurar los sistemas afectados para librarse de esta extorsión.
Por ese motivo, no es de extrañar que incluso grupos de ransomware de creciente creación como Babuk (aparecido en enero de 2021) hayan decidido recientemente liberar el código de su ransomware y centrarse exclusivamente en el robo de información para extorsionar a las víctimas amenazando con publicarla si no se atienden sus demandas.
Filtración de datos y otros métodos de extorsión
Paralelamente a estos cambios en las técnicas usadas por los operadores de ransomware vemos como aparecen webs con información relacionada con las filtraciones de datos robados en los ataques. Esto es algo que varias familias de ransomware han estado haciendo desde hace tiempo y consiste en publicar una porción (o todos los datos pasado un tiempo) de la información robada para presionar a la víctima con el pago del rescate.
El objetivo está claro, ya que además de presionar a las empresas atacadas, los delincuentes consiguen llamar la atención de las entidades reguladoras pertinentes que pueden aplicar multas elevadas según la legislación vigente por no haber permitido el robo e información de clientes y proveedores.
Esta forma de presión está funcionándoles muy bien a los delincuentes, ya que desde hace tiempo las empresas que cuentan con un plan de recuperación ante incidentes de este tipo han aumentado (aunque aún son pocas y principalmente se trata de grandes empresas) y el cifrado de la información podía ser revertido sin provocar mucha disrupción en el negocio. Al amenazar también con el filtrado de información y la consecuente pérdida de reputación y multas por parte de la agencia reguladora pertinente, son muchas las empresas que ceden al chantaje.
Por si fuera poco, los delincuentes también han recurrido a otras técnicas de extorsión que incluyen, por ejemplo, la realización de ataques DDoS a las webs de las empresas atacadas para dejarlas inactivas y presionar para que realicen el pago del chantaje lo antes posible. Incluso se han observado casos donde los atacantes llamaban a clientes y proveedores de la empresa que había sufrido el robo de datos para indicarles que sus datos ahora estaban en sus manos y que planeaban filtrarlos, intentando conseguir que estos también presionasen a la empresa.
¿Pagar o no pagar?
Cuando hablamos de ciberataques de este tipo siempre nos encontramos con casos en los que la empresa atacada no dispone de un plan de recuperación ante este tipo de incidentes o ni siquiera disponen de una copia de seguridad de los datos cifrados. En estos casos algunas empresas pueden verse abocadas al cierre, como así ha sucedido en algunas ocasiones, especialmente si hablamos de pequeñas y mediadas empresas.
Algunos podrían pensar que si los delincuentes se centran únicamente en el robo de información y dejan de lado el cifrado de información esto supondría una “buena noticia” para aquellas empresas más pequeñas. Sin embargo, debemos tener en cuenta que, de momento, este cambio en el modelo de extorsión tan solo lo ha comunicado un grupo que se centraba principalmente en grandes empresas como objetivo.
Es muy probable que aquellos delincuentes que tengan como principal objetivo a las pequeñas y medianas empresas sigan empleando el cifrado de datos como principal factor extorsionador, por lo que no debemos bajar la guardia. El problema lo vemos cuando una empresa se encuentra en la tesitura de pagar para tratar de recuperar la información privada o no pagar y cerrar el negocio.
La gran mayoría de veces se recomienda evitar pagar estos rescates, puesto que, de hacerlo, se estaría incentivando que se siguiesen realizando. Además, varias víctimas han visto como, tras pagar, no se les ha proporcionado la herramienta de descifrado o esta no ha funcionado como debería y ha corrompido la información dejándola inservible. Aquí entra en juego la “profesionalidad” de los delincuentes, y se han visto grupos que incluso proporcionan un canal de soporte para asegurarse de que el descifrado se hace de forma correcta tras pagar el rescate e incluso ofreciendo consejos para evitar que un incidente así vuelva a suceder, mientras que otros tan solo se quedan con el dinero y no proporcionan ninguna solución.
Por eso es difícil aconsejar qué hacer en cada caso, ya que lo ideal sería que las empresas contasen con medidas debidamente implementadas para evitar estos y muchos otros ciberataques. Sin embargo, en la realidad esto no es así y por eso seguimos viendo que los delincuentes consiguen nuevas víctimas a diario. Incluso las empresas de seguros hace tiempo que empezaron a ofrecer pólizas a las empresas para hacerse cargo de este tipo de incidentes, aunque algunas están empezando a replantearse esta cobertura debido al elevado número de casos y a su coste asociado.
Conclusión
No es fácil ofrecer una solución efectiva para todas aquellas empresas que se vean afectados por un caso de ransomware. No obstante, hay medidas que todas ellas pueden implementar para evitar ser las próximas víctimas de estos delincuentes, medidas que pueden ser complementadas con soluciones de seguridad capaces de detectar esta y muchas otras amenazas, eliminándolas antes de que se conviertan en un problema.