Ransomware: así debes proteger tus datos contra la “triple extorsión”

El ransomware es bien conocido en las redes corporativas porque plantea riesgos colosales y a menudo requiere esfuerzos de recuperación significativos y costosos. Este tipo de ataques se basan en provocar bloqueos del sistema, robo de identidad y amenazar con la pérdida de datos lo que supone un gran problema para las organizaciones que los sufren.

Parte del problema radica en que, cuando el ransomware alcanza su objetivo, cifra los archivos y se propaga por todo el sistema para maximizar el daño, lo que obliga a muchas empresas a bloquear las redes para detener la propagación provocando una pérdida de productividad innegable y, en ocasiones, con consecuencias desastrosas. Es lo que está ocurriendo precisamente en el Ayuntamiento de Sevilla. Desde que se dio la voz de alarma hace más de 48 horas, la web de la institución sevillana sigue inaccesible a pesar de que los técnicos trabajan a marchas forzadas para recuperar los sistemas.

¿Qué hacer en caso de sufrir un ataque de ransomware?

Una de las cosas a tener en cuenta al ser víctima de un ataque de ransomware es que, a día de hoy, hay multitud de cepas de ransomware que ya cuentan con una clave de descifrado. Los proveedores de seguridad y expertos trabajan continuamente en conseguir estas claves para evitar que las víctimas de estos ataques acaben pagando a los cibercriminales y así intentar evitar su lucro que es, al fin y al cabo, lo que hace que estos ataques sigan funcionando.

Y es que, tal y como apunta el último informe compartido por Barracuda Networks, Threat Spotlight Ransomware, los ciberataques de ransomware se han duplicado, impulsados por tácticas de IA generativa, con 175 ataques públicos en los últimos siete meses, afectando especialmente a la educación, el sector público y la sanidad, que han duplicado los ataques en comparación con el año pasado. 

Como ya hemos visto en alguna ocasión, los ciberdelincuentes siguen reutilizando antiguos ciberataques por lo que es importante que las empresas sean conscientes no sólo de la evolución de las amenazas, sino también de los métodos de ataque ya probados y la manera de enfrentarlos. Lo que ocurre con el ransomware es que los cibercriminales ya no se limitan a cifrar los datos y pedir un rescate, sino que, tal y como demuestra el modus operandi del grupo Lockbit 2.O, los ciberdelincuentes van más allá: una vez cifrada la información y pedido el rescate, los ciberdelincuentes amenazan con publicar los datos de forma que no solo se pone en peligro a la empresa, sino también su reputación y la privacidad de sus clientes. En el caso de Lockbit 2.0, se amenazó con hacer públicos más de 9.800 archivos que el grupo afirmaba haber robado del Ministerio de Justicia francés.

El aumento de la amenaza: llega la triple extorsión

Como vemos, el ransomware sigue aumentando, no muestra signos de desaceleración y, además, avanza hacia ataques más dañinos contra las empresas. El ransomware ahora no se limita a cifrar datos: a medida que mejora la protección contra ransomware, incluidas las estrategias de recuperación y eliminación de datos, los piratas informáticos utilizan los datos robados para seguir amenazando a las víctimas si no pagan el rescate. Tal y como resume Enrique Domínguez, Director de Estrategia en Entelgy Innotec Security: “En los últimos tiempos ha proliferado la conocida como ‘triple extorsión’ en ransomware. Consiste en que los ciberatacantes acceden a los sistemas de una organización a través de diferentes técnicas, despliegan el malware que bloquea los equipos y sistemas de la víctima, cifrándolos y exigiendo un rescate para facilitar la clave de descifrado (un pago que suele solicitarse con criptomonedas o tarjetas de crédito). Posteriormente, amenazan con publicar la información sustraída, con la consiguiente crisis de reputación por parte de la organización víctima del ataque. Después, los atacantes amenazan con un ataque de denegación de servicio (DDoS), enviando multitud de solicitudes al recurso web atacado con la intención de desbordarlo y provocar una caída de su servicio”.

Esta triple amenaza o “triple extorsión” representa un riesgo añadido para las empresas pues supone en muchos casos una violación importante de las regulaciones GDPR de la UE y las leyes de privacidad de datos. Se sabe, por ejemplo, que los grupos de ransomware Conti y REvil que figuran entre los programas maliciosos más peligrosos de los últimos años han filtrado datos de sus ataques en la Darkweb.