Los ciberdelincuentes se están volviendo más agresivos en su esfuerzo por maximizar la interrupción y obligar al pago de las demandas de rescate, y hay una nueva táctica de extorsión en juego.
A principios de noviembre, la famosa banda de ransomware ALPHV, también conocida como BlackCat, intentó una táctica de extorsión única en su tipo: utilizar como arma las nuevas reglas de divulgación de violaciones de datos del gobierno de EE. UU. contra una de las propias víctimas de la banda. ALPHV presentó una queja ante la Comisión de Bolsa y Valores de EE. UU. (SEC), alegando que el proveedor de préstamos digitales MeridianLink no reveló lo que el grupo de cyberdelincuentes llamó «una violación significativa que compromete los datos de los clientes y la información operativa», por lo que la banda se llevó el crédito.
«Queremos llamar su atención sobre un tema preocupante relacionado con el cumplimiento por parte de MeridianLink de las reglas de divulgación de incidentes de ciberseguridad recientemente adoptadas», escribió ALPHV. «Nos ha llamado la atención que MeridianLink no ha presentado la divulgación requerida según el Artículo 1.05 del Formulario 8-K dentro de los cuatro días hábiles estipulados, según lo exigen las nuevas reglas de la SEC».
El último esfuerzo de extorsión de ALPHV es el primer ejemplo de lo que se espera que sea una tendencia en los próximos meses ahora que las reglas han entrado en vigor. Si bien es novedosa, esta no es la única táctica agresiva utilizada por el ransomware y las bandas de extorsión.
Los piratas informáticos, típicamente conocidos por implementar ransomware, han recurrido cada vez más a tácticas de “doble extorsión”, mediante las cuales, además de cifrar los datos de la víctima, las bandas amenazan con publicar los archivos robados a menos que se pague un rescate. Algunos van más allá con “triple ataques de extorsión”, que, como su nombre indica, los piratas informáticos utilizan un enfoque triple para extorsionar a sus víctimas extendiendo amenazas y demandas de rescate a clientes, proveedores y asociados de la víctima original. Estas tácticas fueron utilizadas por los piratas informáticos detrás de los ataques masivos de gran alcance a MOVEit, que constituyen un acontecimiento clave en la tendencia hacia intentos de extorsión sin cifrado.
Si bien las definiciones ambiguas pueden no parecer el mayor problema de ciberseguridad que enfrentan las organizaciones hoy en día, la distinción entre ransomware y extorsión es importante, sobre todo porque la defensa contra estos dos tipos de ciberataques puede variar enormemente. La distinción también ayuda a los formuladores de políticas a saber hacia qué tendencia está el ransomware y si las políticas contra el ransomware están funcionando.
¿Cuál es la diferencia entre ransomware y extorsión?
El grupo de trabajo sobre ransomware describe ransomware como una “forma en evolución de delito cibernético, a través del cual los delincuentes comprometen de forma remota los sistemas informáticos y exigen un rescate a cambio de restaurar y/o no exponer datos”.
En realidad, los ataques de ransomware pueden tener un espectro de impacto. Los expertos en ransomware Allan Liska, analista de inteligencia de amenazas de Recorded Future, y Brett Callow, analista de amenazas de Emsisoft, compartieron en un análisis que esta amplia definición de ransomware puede aplicarse tanto a «estafas», descargamos el contenido de su instancia insegura de Elasticsearch con ataques de 50 dólares” hasta “ataques disruptivos basados en cifrado que amenacen la vida de los hospitales”.
«Claramente, sin embargo, son animales muy diferentes», dijeron Liska y Callow. «Uno es un pirata oportunista que roba tu entrega de Amazon, mientras que el otro es un equipo de delincuentes violentos que irrumpen en tu casa y aterrorizan a tu familia antes de llevarse todas tus posesiones».
Los investigadores dicen que existen similitudes entre los ataques de «cifrar y extorsionar» y los «ataques de sólo extorsión», como su dependencia de intermediarios que venden acceso a redes violadas. Pero también existen distinciones importantes entre los dos, particularmente en los clientes, proveedores y clientes de la víctima, cuyos propios datos confidenciales pueden quedar atrapados en ataques exclusivamente de extorsión.
“Vemos que esto se repite repetidamente, donde un actor de amenazas clasifica los datos robados para encontrar la organización más grande o más reconocida que puede encontrar y afirma haber atacado con éxito esa organización. Esta no es una táctica nueva”, dijeron Liska y Callow, citando un ejemplo de cómo una banda de ransomware declaró que había pirateado a un importante gigante tecnológico, cuando en realidad había robado datos de uno de sus proveedores de tecnología menos conocidos.
«Una cosa es evitar que un atacante cifre los archivos de su red, pero ¿cómo proteger toda su cadena de suministro de datos?» dijeron Liska y Callow. «De hecho, muchas organizaciones no están pensando en su cadena de suministro de datos… pero cada punto de esa cadena de suministro es vulnerable a un robo de datos y un ataque de extorsión».
Se necesita una mejor definición de ransomware
Si bien las autoridades han disuadido durante mucho tiempo a las organizaciones pirateadas de pagar demandas de rescate, no siempre es una decisión fácil para las empresas afectadas por los piratas informáticos.
En los ataques de cifrado y extorsión, las empresas tienen la opción de pagar el rescate para obtener una clave que descifre sus archivos. Pero cuando se paga a piratas informáticos que emplean tácticas agresivas de extorsión para eliminar sus archivos robados, no hay garantía de que los piratas informáticos realmente lo hagan.
Esto quedó demostrado en el reciente ataque de ransomware contra Caesars Entertainment, que pagó a los piratas informáticos en un intento por evitar la divulgación de datos robados. Según admitió él mismo, Caesars dijo a los reguladores que «hemos tomado medidas para garantizar que el actor no autorizado elimine los datos robados, aunque no podemos garantizar este resultado».
«De hecho, se debe asumir que no lo harán», dijeron Liska y Callow, refiriéndose a las afirmaciones de que los piratas informáticos eliminan datos robados.
“Una mejor definición de ransomware, que tenga en cuenta la distinción entre los diferentes tipos de ataques, permitirá a las organizaciones planificar y responder mejor a cualquier tipo de ataque de ransomware, ya sea que ocurra dentro de su propia red o en la de un tercero» comentarion Liska y Callow.
