Ransomware 2.0: Los ataques son más selectivos y generan más pérdidas
- Endpoint
Los atacantes no sólo amenazan con cifrar los datos, sino también con publicar online información confidencial, lo que no sólo pone en riesgo la reputación de las empresas, sino que también las expone a demandas, una tendencia observada por Kaspersky en Ragnar Locker y Egregor.
Recomendados: Crowdstrike Falcon Complete, detección y respuesta gestionada Leer Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer |
En los últimos dos años, los ataques generalizados de ransomware, en los que los delincuentes utilizan malware para cifrar los datos y solicitan un rescate, han sido sustituidos por ataques más selectivos contra empresas y sectores concretos. En estas campañas más selectivas, los atacantes no sólo amenazan con cifrar los datos, sino también con hacer pública la información robada a la empresa. Kaspersky ha investigado a Ragnar Locker y Egregor, dos conocidas familias de ransomware que practican este nuevo método de extorsión.
Ragnar Locker fue descubierto por primera vez en 2019, pero no fue realmente conocido hasta la primera mitad de 2020 cuando atacó a grandes organizaciones estadounidenses. Sus ataques son muy selectivos y adaptados a cada víctima. Quienes se niegan a pagar ven sus datos confidenciales publicados en el "Muro de la vergüenza" de su sitio de filtraciones. Si la víctima conversa con los atacantes y luego se niega a pagar, también se publica este chat. En el mes de julio, Ragnar Locker declaró que se había unido a Maze, una de las familias de ransomware más conocidas en 2020, lo que significa que ambos colaborarán y compartirán información robada.
Más reciente es Egregor, que utiliza muchas de las mismas tácticas, y también comparte similitudes de código con Maze. Este malware se descarga mediante una brecha en la red, una vez que los datos del objetivo han sido robados, le da a la víctima 72 horas para pagar el rescate antes de que la información robada se haga pública. Si las víctimas se niegan a pagar, los atacantes publican sus nombres y los enlaces para descargar los datos confidenciales de la empresa en su sitio de filtraciones. El radio de ataque de Egregor es mucho más extenso que el de Ragnar Locker, extendiendo su alcance a Europa.
"Lo que estamos viendo ahora mismo es el crecimiento del ransomware 2.0. Los ataques se están volviendo muy selectivos y el enfoque no es sólo en la encriptación, sino que se basa en la publicación online de datos confidenciales. Hacerlo no sólo pone en riesgo la reputación de las empresas, sino que también las expone a demandas si los datos publicados violan regulaciones como la HIPAA o la GDPR. Hay más en juego que las pérdidas financieras", comenta Dmitry Bestuzhev, jefe del Equipo de Investigación y Análisis Global de América Latina (GReAT).