De la triple extorsión a la cuádruple: el ransomware sigue avanzando

El ransomware se ha convertido en un ataque predominante y se estima que más de la mitad de las compañías que son atacadas por este tipo de malware sufren la extorsión. Pero, ¿hasta dónde puede llegar? La respuesta está en la cuádruple extorsión, que es ya una realidad. 

Como explica Raquel Puebla, analista de ciberinteligencia de la compañía, “la cuádruple extorsión es una técnica utilizada en ciberataques de ransomware cuyo objetivo consiste en maximizar la capacidad de monetización que espera el actor de amenazas responsable de la campaña”. Con este nuevo nivel de extorsión se trata de garantizar que la entidad afectada abone el pago exigido por los atacantes como rescate por la realización del ciberataque, siendo esta, de manera genérica, la finalidad última de los actores de ransomware actuales. 

Por tanto, “no se entiende como un ciberataque en sí mismo, sino una capa adicional a los ciberataques de ransomware”, añade la experta. Se denomina cuádruple extorsión o cuarta fase de extorsión debido a que tiene lugar habitualmente después de otras tres etapas que suelen acompañar a estos ciberataques. 

Las fases del ciclo de extorsión de un ciberataque de ransomware en la actualidad son las siguientes:

- Fase de cifrado de datos: en gran parte de las ocasiones implica un riesgo sobre la disponibilidad de los sistemas de la organización afectada. En este caso la extorsión consiste en forzar a las entidades a abogar por el pago del rescate con la finalidad de que puedan recuperar el acceso a la información cifrada.

- Fase de amenaza de filtrado o fuga de información: en ella los atacantes elevan el grado de extorsión al amenazar con filtrar de manera pública la información previamente obtenida durante el compromiso y proceso de cifrado, que en muchos casos deriva en la exposición de datos o información sensible que puede suponer toda clase de sanciones para la entidad afectada. Esto es lo que se conoce como doble extorsión.

- Fase de campaña de denegaciones de servicio (DDoS): impide que los usuarios puedan acceder a los recursos de la organización afectada, incrementando sus pérdidas de forma sustancial al causar indisponibilidad de servicios. Este modelo ha pasado a conocerse como triple extorsión y es muy común su utilización sobre organizaciones de comercio online. Impide la consecución de las ventas.

- Fase agresiva de acoso: los ciberdelincuentes entablan contacto con los clientes, empleados y socios comerciales de la organización afectada, así como con medios de comunicación, para comunicarles que se ha comprometido información sensible o confidencial asociada a ellos, para lo cual primero tratarán de obtener entre la información robada datos asociados a los usuarios vinculados con la compañía. 

Estas capas de extorsión anteriormente funcionan conjuntamente incrementando las pérdidas de la organización afectada por el ciberataque, presionándola y desgastándola hasta que considere que el pago exigido por los cibercriminales resulta menos costoso que subsanar el impacto mediante el cauce legal de respuesta a incidentes correspondiente. Es por ello por lo que los ciberdelincuentes continuamente tratan de idear nuevos modelos de extorsión con los que conminar a sus víctimas a realizar el pago demandado.

“Con este modelo los atacantes pretenden que sean los agentes relacionados con la organización los que promuevan que la entidad acceda a pagar la extorsión para que se elimine la filtración de datos que les afecta”, añade la analista.

Existen diversas maneras de prevenir este tipo de ciberataques y evitar daños irreversibles. Estas son las recomendaciones:

-- La detección de peticiones anómalas o de conexiones desde direcciones IP desconocidas o no geolocalizadas en el país o región de trabajo del empleado constituyen indicios de actividad sospechosa, por lo que resulta muy recomendable que todas las organizaciones establezcan actividades de monitorización sobre los accesos a cuentas, direcciones de correo y perfiles corporativos. 

-- Además, la existencia de errores gramaticales y de ortografía en los mensajes de correo que lleguen a la bandeja de correo del usuario, su procedencia por un remitente desconocido y la inclusión en ellos de enlaces a sitios web externos o ficheros adjuntos también pueden constituir señales de advertencia. 

-- En el caso de los archivos adjuntos, puede ser recomendable escanearlos en software antimalware antes de proceder a su apertura, por ejemplo, y, ante la duda, siempre es conveniente no abrirlos. 

-- Otros indicios más evidentes que se podrían observar en una etapa más tardía del ciberataque podrían consistir en el cambio inesperado en los permisos, la aparición de bloqueos al acceder a determinados recursos e incluso la aparición de una nota de rescate.