Escenario: pagó el rescate, obtuvo la herramienta de descifrado del actor de amenazas y la usó para recuperar sus archivos ... solo para descubrir que algunos o todos todavía están encriptados. Esta es precisamente la situación en la que se encuentran algunas empresas.

Recientemente, hemos observado una nueva tendencia de los actores de amenazas que utilizan múltiples cepas de ransomware para cifrar los datos por duplicado, con el fin de complicar aún más el proceso de recuperación y aumentar sus posibilidades de pago.

En esta publicación de blog, discutimos cómo funciona el doble cifrado, las posibles motivaciones detrás de la táctica y la mejor manera para que las organizaciones afectadas se recuperen de un ataque de doble cifrado.

El método de doble extorsión al que se hace referencia en este artículo se produce cuando un solo actor de amenazas elige implementar varias variedades de ransomware en la misma red. Es importante tener en cuenta que este no es el mismo tipo de ataque de ransomware múltiple que hemos visto en el pasado, en el que una red se ve comprometida por múltiples actores de amenazas, lo que resulta en la implementación de múltiples variantes de ransomware en la misma red en ataques separados.

Cómo funciona

Ya no se contentan con la doble extorsión, algunos afiliados ahora están optando por duplicar los datos encriptados: en otras palabras, implementar más de un tipo de ransomware en la misma red. Por ejemplo, hemos visto casos de afiliados que cifran datos utilizando REvil y Netwalker, y otros casos en los que MedusaLocker y GlobeImposter se han utilizado en conjunto. En algunos casos, para demostrar que los archivos con doble cifrado se pueden recuperar cuando se paga la demanda, los afiliados han proporcionado archivos descifrados de muestra a través del portal web de un grupo cuando los archivos cifrados se les habían enviado a través del portal web de otro grupo. Evidentemente, los afiliados en estos casos tenían una relación de trabajo con ambos grupos, algo que no es nada infrecuente y que Chainalsys ha debatido previamente.

Hemos visto la estrategia de doble cifrado aplicada de dos formas:

• Cifrado en capas: los datos se cifran con Ransomware A y, a continuación, los datos cifrados se vuelven a cifrar con Ransomware B.

• Cifrado en paralelo: algunos sistemas están cifrados con Ransomware A, mientras que otros están cifrados con Ransomware B. En algunos casos, ambas cepas agregan archivos cifrados con la misma extensión exacta, lo que puede complicar aún más la recuperación.

Por qué los actores de amenazas utilizan el doble cifrado

Si bien no somos lectores de mentes y, por lo tanto, no podemos decir con certeza por qué los actores de amenazas usan el doble cifrado, existen algunas explicaciones obvias:

Frustra los esfuerzos de recuperación

Recuperarse de un ataque de ransomware habitual es un ejercicio costoso, perturbador y que requiere mucho tiempo. Los actores de amenazas pueden creer que agregar otra capa de cifrado al ya complejo proceso de recuperación puede ser la ventaja adicional necesaria para persuadir a las víctimas de que paguen por el descifrado en lugar de restaurar sus sistemas por su cuenta.

Pago aumentado

El doble cifrado significa potencialmente el doble del pago. Es probable que los actores de amenazas dependan de que las víctimas no se den cuenta de que sus datos se han cifrado dos veces. En este escenario, las víctimas pagarían para eliminar la primera capa de cifrado solo para descubrir que sus archivos están bloqueados detrás de una segunda capa de cifrado que solo se puede eliminar con un pago de rescate adicional.

Mayor probabilidad de implementación exitosa

Los actores de amenazas pueden estar usando múltiples variedades de ransomware para aumentar sus posibilidades de una implementación exitosa. En el caso de que una variante de ransomware no se ejecute correctamente o sea bloqueada por las herramientas de seguridad del objetivo, es posible que el otro ransomware aún pueda iniciarse.

Pruebas A / B

También es posible que los actores de amenazas estén utilizando el doble cifrado como una forma de prueba A / B para ver qué variante de ransomware genera más pagos de rescate. Los resultados de tales pruebas pueden determinar qué variantes de amenazas favorecen los actores en futuros ataques.

El doble cifrado hace que la recuperación sea mucho más compleja

Pagar un rescate no saca a las empresas del peligro. Incluso cuando está armado con las herramientas de los actores de amenazas, la recuperación siempre es un desafío y el doble cifrado lo hace aún más desafiante. De hecho, mucho más desafiante.

En los casos de cifrado único, existe un alto riesgo de corrupción de datos, ya sea causado por el ransomware y / o por el descifrador del actor de la amenaza. En el caso del cifrado doble, ese riesgo se duplica. Además, el descifrado es un proceso que requiere mucho tiempo. Las herramientas de los actores de amenazas generalmente no permiten que se especifique una carpeta a carpetas para el descifrado y, en su lugar, rastrean lentamente todo el sistema. En consecuencia, cuando las herramientas fallan, como sucede con frecuencia, o cuando se descubre una segunda capa de cifrado, el proceso de descifrado debe comenzar de nuevo. De manera similar, las herramientas con frecuencia requieren intervención manual, lo que requiere que cada estación de trabajo sea atendida durante el descifrado y los comandos ingresados ​​cuando sea necesario. En resumen, los respondedores de incidentes se encuentran en la necesidad de saltar entre una herramienta mal codificada y otra. Y los casos de doble cifrado duplican los problemas.

Haciendo la recuperación más simple y rápida

Como se señaló anteriormente, el doble cifrado hace que la recuperación sea aún más desafiante y, sin las herramientas adecuadas, es probable que las organizaciones experimenten un tiempo de inactividad significativamente mayor.

Para ayudar a las víctimas del ransomware de doble cifrado a recuperarse más rápido, Emsisoft proporciona un descifrador universal que ha sido diseñado específicamente para manejar incidentes de ransomware en los que están involucradas múltiples variantes. El descifrador universal puede eliminar múltiples capas de cifrado sin la necesidad de varios descifradores proporcionados por el atacante, que a menudo se implementan de manera imperfecta y, a veces, pueden corromper los datos de forma irrecuperable durante el proceso de descifrado.

El descifrador universal se creó para resolver estos y otros problemas: es más seguro que las herramientas proporcionadas por los atacantes, se puede programar, admite informes completos, evita la necesidad de realizar una copia de seguridad de los archivos cifrados y puede reducir los tiempos de recuperación hasta en un 70%. Contáctenos hoy para obtener más información sobre nuestros servicios personalizados de recuperación y asesoramiento de ransomware.