Aumento del ransomware de cuádruple extorsión y cómo protegerse

Seguro escuchó hablar del ransomware, pero ¿está al tanto de las últimas tácticas que emplean los ciberdelincuentes para presionar a la víctima para que pague?

Ya quedaron en el pasado los ataques en los que se cifraban los archivos y se enviaba un aviso exigiendo el pago de un rescate en criptomoneda a cambio de obtener la clave de cifrado para desbloquearlos. Ahora, los ciberdelincuentes emplean nuevas tácticas para aumentar la presión sobre la víctima y asegurarse de que, incluso aunque pueda recuperarse del ataque de cifrado de datos, se sienta inducida a pagar el rescate.

En este artículo, se analiza por qué son tan peligrosas estas tácticas y cómo proteger su empresa frente a ellas.

Los ataques de las bandas de ransomware han evolucionado y ahora son más sofisticados y devastadores para las organizaciones. Los términos extorsión doble, triple y cuádruple describen las tácticas en constante evolución que emplean los ciberdelincuentes para seguir extorsionando a sus víctimas, incluso si estas consiguen restaurar los datos críticos y reanudar la actividad tras el ataque inicial de cifrado de datos. Las tres primeras de estas tácticas ya son muy habituales, y muchos casos prácticos conocidos ejemplifican su uso.

• Ransomware de una extorsión: es el ransomware tradicional. Cifra los archivos de la víctima y exige el pago de un rescate para descifrarlos. En general, las víctimas no consiguen anular el cifrado que bloquea sus archivos y se ven obligadas a pagar un rescate para obtener la clave de descifrado. Esta táctica se ha debilitado ante el uso eficaz de la protección de datos, a través de tecnología y procesos de copia de seguridad bien implementados y verificados, para recuperar los sistemas y los datos cifrados. Además, gracias a una mayor cooperación entre las fuerzas de seguridad, los proveedores de tecnología y la comunidad de usuarios que comparten las claves de descifrado descubiertas en respuesta a ataques anteriores, algunas víctimas pueden descifrar sus archivos sin necesidad de pagar el rescate.

• Ransomware de doble extorsión: estos ataques están aumentando debido al éxito de la restauración de los datos cifrados a partir de las copias de seguridad y la reanudación de las operaciones empresariales sin pagar un rescate. Esta táctica se apoya en la habilidad del ciberdelincuente para extraer grandes volúmenes de datos confidenciales de la víctima antes de accionar el ataque de cifrado. Al solicitar el pago de un rescate, amenaza con divulgar públicamente estos datos si la víctima se niega a pagar. Esta estrategia puede resultar muy efectiva, ya que la divulgación de los datos puede exponer a la víctima a diversas consecuencias negativas: pérdida de la confianza de clientes y partners; daño al precio de cotización en bolsa de la empresa; exposición de información competitiva confidencial, como planes de lanzamiento de productos, ventas y marketing no anunciados; y divulgación de información embarazosa, como la incluida en mensajes privados de correo electrónico. Las empresas de sectores muy regulados también pueden enfrentarse a sanciones por incumplimiento de normativas; por ejemplo, el RGPD de la Unión Europea exige que toda empresa con clientes residentes en la UE proteja la privacidad y la accesibilidad a los datos de los clientes. La ley HIPAA impone sanciones a los proveedores de servicios de atención médica con sede en Estados Unidos que no protejan la privacidad de los datos de los pacientes.

• Ransomware de triple extorsión: en estos ataques, la amenaza de doble extorsión pasa a otro nivel. El ciberdelincuente contacta a los clientes y partners de la víctima y les notifica que la víctima tiene datos confidenciales suyos que están bajo amenaza de divulgación pública. Además, les sugieren ponerse en contacto con la víctima y exhortarla a pagar el rescate, para evitar que sufran consecuencias similares si se hacen públicos sus propios datos.

Resumen de estas tácticas por orden:

Ataque de una extorsión

• Al comienzo, para acceder, los ciberdelincuentes comprometen las defensas externas de la víctima e instalan el malware de cifrado. A menudo, lo hacen a través de un mensaje de correo electrónico con un enlace malicioso o un archivo adjunto en los que el usuario desprevenido hace clic. Este malware cifra con discreción los archivos del sistema de la víctima antes de pedir el pago del rescate en criptomoneda (o con menor frecuencia, en otro medio de pago difícil de rastrear, como las tarjetas regalo de comercios) a cambio de la clave de descifrado.

• Las versiones de ransomware más sofisticadas se pueden propagar en la red local de la víctima, cifrando otras computadoras de escritorio, portátiles y servidores. Muchas versiones buscan y cifran archivos de copias de seguridad, instantáneas y otros recursos que puedan servir para restaurar los archivos cifrados.

Ataque de doble extorsión

• Antes de lanzar el ataque de cifrado, los operadores de ransomware extraen con prudencia una gran cantidad de datos confidenciales que, en general, copian en un servidor externo en la nube que está bajo su control. Es posible que este ataque incluya el aprovechamiento de los recursos existentes, lo que se conoce como “living-off-the-land” (LOL), que consiste en usar una herramienta tecnológica que normalmente sirve para fines legítimos (copia de seguridad) para facilitar la extracción de datos de una forma que sea difícil de detectar. A continuación, se pasa a la fase de cifrado.

• La nota de rescate, que se presenta una vez que los archivos de la víctima se han bloqueado, incluye una amenaza de hacer públicos sus datos confidenciales si no paga el rescate.

Ataque de triple extorsión

• Tras ejecutar las fases del ataque de doble extorsión, el ciberdelincuente se pone en contacto con los clientes y partners de la víctima y les avisa que tiene en su poder datos confidenciales relacionados con ellos que también se divulgarían si la víctima se niega a pagar el rescate. Además, anima a estas “víctimas colaterales” a presionar a la organización para que pague el rescate y proteja así su información.

Ataque de cuádruple extorsión

• Además de las tácticas descritas en los tres tipos de ataques anteriores, en este caso la nota de rescate amenaza con dejar fuera de servicio los servidores públicos de la víctima mediante un ataque de denegación de servicio distribuido (DDoS) si no accede a pagar.

Los ataques de una, y de doble, extorsión son los más comunes en la actualidad; los de triple extorsión van en aumento. Los ataques de cuádruple extorsión son los menos frecuentes, aunque según análisis recientes de ciberseguridad adquirieron mayor popularidad porque los ciberdelincuentes buscan nuevas formas de garantizar y acelerar los pagos del rescate.

Ante el aumento de nuevas tácticas de extorsión con ransomware, cada vez es más apremiante que las empresas refuercen las defensas para prevenir los ataques de ransomware y que mejoren su capacidad para recuperarse en caso de que los ciberdelincuentes consigan eludir dichas defensas.

Hay que destacar que las bandas de ransomware son muy oportunistas: atacan a empresas de cualquier tamaño, de diferentes regiones y de todos los sectores. Sin embargo, hay sectores que son objetivos particularmente atractivos, por ejemplo, para las instituciones de atención de la salud las consecuencias son de vida o muerte si los sistemas básicos quedan fuera de servicio; las instituciones financieras están sujetas al cumplimiento de diversas normativas oficiales y del sector; las instituciones educativas se ven afectadas por presupuestos ajustados y el descuido de los estudiantes en materia de ciberseguridad; y las empresas tecnológicas enfrentan mayor daño a la reputación si quedan expuestas como víctimas de ciberdelincuencia. Pero hay ataques que logran su cometido en todos los sectores, y las pequeñas y medianas empresas representan el 75 % de estos ataques exitosos, ya que habitualmente carecen de los recursos y el personal necesario para contar con defensas de ciberseguridad y operaciones de recuperación eficaces.

Algunas investigaciones y artículos recientes resaltan el aumento de la frecuencia, el nivel de sofisticación y la escala de los ataques de ransomware:

• Según un informe de Cloudflare publicado en enero, los ataques de DDoS asociados al ransomware aumentaron un 29 % en el cuarto trimestre de 2021.

• Bandwidth.com, empresa global de comunicaciones en la nube, comunicó pérdidas de entre 9 y 12 millones de dólares ocasionadas por un ataque de DDoS. Este fue solo uno de los numerosos ataques contra empresas, y en algunos de ellos el rescate exigido fue de varios millones de dólares.

• The Register informó que la empresa de telecomunicaciones VoIP Unlimited del Reino Unido había recibido un “pedido de rescate descomunal” tras un ataque de DDoS, mientras que al proveedor canadiense VOIP.MS se le exigieron 4,2 millones de dólares de rescate después de un ataque de DDoS. La empresa tardó casi dos semanas en restaurar el servicio de atención al cliente.

• La banda de ransomware BlackCat emplea técnicas de cuádruple extorsión para presionar a las víctimas y conseguir que paguen el rescate. En el último tiempo, el grupo subió sus apuestas a 2,5 millones de dólares.

No todos los ataques de ransomware se denuncian, por lo que es difícil calcular cuánto se paga en promedio. El costo varía ampliamente según el tamaño y el tipo de organización objetivo, la cantidad de datos cifrados y el rescate exigido. Pero, en la actualidad, el total asciende a decenas de miles de millones de dólares al año.

Para disminuir el riesgo de ser víctimas de ataques de ransomware de todo tipo, las empresas deben invertir en ciberseguridad y en protección de datos de manera que puedan garantizar su capacidad para repeler los ataques y para recuperarse rápidamente si alguno prosperara.

Estos son los pasos que debe incluir todo plan integral y detallado de defensa para minimizar el riesgo de pérdida de datos y el tiempo de inactividad tras un ataque de ransomware:

• En forma regular, crear copias de seguridad de los datos. Las copias de seguridad deben estar en una ubicación segura, que no esté conectada a la red. De esta manera, podrá restaurar los datos incluso si la red se encuentra comprometida.

• Implementar medidas de seguridad, como los filtros del correo electrónico, el bloqueo de spam, la autenticación multifactor y el uso de claves de descifrado universales para reducir las posibilidades de que los mensajes de correo electrónico lleguen a las bandejas de entrada de los empleados.

• Asegurarse de que todo su software —incluidos los sistemas operativos, navegadores web y aplicaciones— está actualizado con los últimos parches de seguridad. De esta manera, evitará que los ciberdelincuentes puedan aprovechar vulnerabilidades conocidas para obtener acceso a sus sistemas.

• Usar software antivirus y antimalware para detectar y prevenir ataques de ransomware. Mantenga el software antivirus y antimalware actualizado con las últimas definiciones de virus.

• Implementar medidas de seguridad de red, como firewalls, sistemas de detección y prevención de intrusiones y segmentación de la red, para impedir que los ciberdelincuentes puedan acceder a los sistemas.

• Desplegar medidas contra los ataques de DDoS para reducir el riesgo en los servidores con acceso público.

• Capacitar a los empleados sobre el riesgo de los ataques de ransomware y mostrarles cómo evitarlos. Deben aprender a reconocer los ataques de phishing y los enlaces sospechosos y denunciar posibles ataques.

• Tener un plan de respuesta ante incidentes por si se produce un ataque de ransomware. Este plan debe incluir pasos para aislar los sistemas infectados, desconectarlos de la red y avisar a las fuerzas de seguridad. Además, es importante contar con un plan para restaurar los datos a partir de una copia de seguridad.

Acronis Cyber Protect es una solución de ciberprotección integrada que ayuda a proteger a las empresas contra todo tipo de ransomware. Combina aprendizaje automático e inteligencia artificial para detectar y bloquear los ataques de ransomware, además de opciones de recuperación en caso de que un ataque tenga éxito.

Acronis Cyber Protect detecta y neutraliza los ataques de ransomware utilizando un enfoque multicapa. Las amenazas de ransomware conocidas se identifican mediante la detección heurística y basada en firmas, y para las amenazas totalmente nuevas se emplea análisis de comportamientos y tecnologías de aprendizaje automático. La solución utiliza inteligencia artificial para controlar cambios de comportamiento que pudieran ser indicio de un ataque inminente.

Ante un ataque, Acronis Cyber Protect ofrece varias opciones para la recuperación. Por ejemplo, puede restaurar archivos o carpetas individuales que se hayan cifrado y también sistemas completos. Además, ofrece la opción de revertir los cambios que realiza el ransomware, de manera que pueda recuperarse una versión de los datos anterior al ataque.