En el transcurso de 2020, hemos visto un fuerte aumento en el uso de ransomware para robar datos, una clase innovadora de ransomware que no solo cifra los datos de una víctima, sino que también los extrae al servidor del atacante.

Los datos robados se utilizan principalmente como palanca para alentar a las víctimas a pagar el rescate. Sin embargo, existe evidencia clara que indica que los ciberdelincuentes también están utilizando los datos para llevar a cabo ataques de spearphishing contra otras compañías.

Aconsejamos a las organizaciones que denuncien los incidentes de ransomware lo antes posible. Revelar incidentes, particularmente aquellos relacionados con ransomware que se sabe que es capaz de exfiltrar datos, podría desempeñar un papel clave para ayudar a otras compañías a evitar convertirse en las próximas víctimas.

“Information is power and, in cybersecurity, it’s the power to prevent other similar events.” — Marc Barrachin and Algirde Pipikaite

Falta de divulgación

Tal como están las cosas, no existe ningún requisito legal para que las empresas divulguen un incidente de ransomware. Las organizaciones afectadas pueden simplemente resolver el problema, que puede o no implicar pagar a los actores de la amenaza, y reanudar las operaciones normales, sin informar a sus clientes, socios o al público en general del incidente.

Con el ransomware convencional, esta es una respuesta algo comprensible. Sí, los datos de la compañía han sido encriptados, pero no han sido leídos, manipulados o extraídos. Teóricamente, no se ha expuesto ninguna información de identificación personal (PII), entonces, ¿por qué la empresa debería cargar con la pérdida de reputación y la interrupción del negocio que inevitablemente conlleva la divulgación de un incidente de ransomware?

Este argumento no se sostiene cuando se trata de ransomware para robar datos. Muchos grupos de ransomware, incluidos Maze, DoppelPaymer Sodinokibi y Nemty, han comenzado a usar técnicas que les permiten extraer los datos de una víctima a un servidor remoto, donde pueden procesarse, leerse y usarse como lo consideren conveniente. Los datos robados generalmente se utilizan como palanca para incentivar los pagos de rescate, pero ahora tenemos razones para creer que también se están utilizando para llevar a cabo ataques de pesca submarina.

El robo de datos alimenta el phishing de lanza

El spear phishing es un ataque altamente dirigido en el que los ciberdelincuentes atacan a individuos específicos en organizaciones específicas para obtener acceso a información importante, como datos financieros, credenciales del personal y PII de los clientes. Los ataques de spear phishing generalmente se envían por correo electrónico. Los mensajes están cuidadosamente diseñados para alentar al destinatario a tomar una acción particular, como abrir un archivo adjunto de correo electrónico malicioso, hacer clic en una URL maliciosa o divulgar información confidencial.

Al recolectar y detallar los datos robados, los grupos de ransomware pueden aprender mucho sobre una empresa, incluida la información de contacto de clientes y proveedores, proyectos actuales, datos financieros y más. Los atacantes pueden usar esta información para desarrollar mensajes que sean muy relevantes para el objetivo de phishing, lo que agrega credibilidad al correo electrónico y aumenta las posibilidades de que el destinatario coopere. Una estafa de phishing exitosa puede ocasionar que el objetivo infecte inadvertidamente su propia red con ransomware y / u otros tipos de malware, lo que puede conducir a un mayor robo de datos y phishing, y así sucesivamente.

Empresas que permanecen en silencio para proteger su reputación.

Cuando una empresa es golpeada con ransomware, sus clientes, proveedores y socios comerciales deben estar en alerta máxima por ataques dirigidos. Lamentablemente, este no suele ser el caso. Dado que no existe un requisito legal para divulgar incidentes de ransomware (a diferencia de las infracciones de datos, que deben divulgarse), existe poca motivación para que las empresas denuncien y admitan que han sido atacadas con ransomware.

Las cifras de ID Ransomware, una herramienta gratuita que las víctimas pueden usar para identificar cepas de ransomware, indican que muchas organizaciones están más dispuestas a pagar a los piratas informáticos que comprometer su reputación al admitir un incidente.

ID Ransomware muestra que ha habido 42 envíos de Maze en los últimos 30 días. Dado que solo alrededor del 25 por ciento de las víctimas suben a ID Ransomware, el número real de incidentes de Maze es probablemente de 168. Sin embargo, el sitio web de Maze enumera solo 32 empresas afectadas por ransomware que se han negado a pagar el rescate, de las cuales solo 8 se agregaron dentro de los últimos 30 días

¿Por qué la discrepancia? Dado que Maze acepta no publicar públicamente los nombres y datos de las víctimas que pagan el rescate, la explicación más probable es que las compañías pagaron el rescate para evitar ser nombrados públicamente.

Nuestras recomendaciones

A medida que el ransomware que roba datos continúa siendo cada vez más común, es hora de comenzar a llamar a los incidentes de ransomware lo que realmente son: violaciones de datos.

Todos los eventos de ransomware deben considerarse violaciones de datos a menos que se demuestre lo contrario. Idealmente, los gobiernos deberían legislar para que los incidentes de ransomware sean tratados como infracciones y exigir a las organizaciones afectadas que emitan notificaciones de inmediato.

Además, las empresas deberían divulgar voluntariamente todos los incidentes de ransomware, incluso si no existe un requisito legal para hacerlo. Si bien las empresas pueden preferir retrasar la divulgación para evaluar las implicaciones legales de una violación e idear sus estrategias de comunicación de crisis, deben ser conscientes de que hacerlo podría poner a sus socios comerciales en un riesgo significativo.