Hasta ahora, las bandas de ransomware han filtrado los datos robados de 2.100 empresas.

Desde 2019, las bandas de ransomware han estado filtrando datos robados de 2.103 empresas en sitios de fuga de datos de la web oscura.

Cuando comenzaron las operaciones modernas de ransomware en 2013, el objetivo del atacante era cifrar tantas empresas como fuera posible y luego exigir un rescate por un descifrador.

Desde principios de 2020, las operaciones de ransomware han comenzado a llevar a cabo una nueva táctica llamada doble extorsión.

La doble extorsión ocurre cuando las operaciones de ransomware roban archivos no cifrados antes de cifrar una red. Los atacantes luego amenazan con liberar públicamente los archivos robados en sitios de filtración de datos de la web oscura si no se paga un rescate.

Entre la amenaza de no recuperar archivos cifrados y las preocupaciones adicionales de violaciones de datos, multas gubernamentales y demandas, los actores de amenazas apuntan a la idea de que esto obligaría a las víctimas a pagar un rescate más fácilmente.

34 bandas de ransomware divulgan datos en la web oscura

Un investigador de seguridad de la web oscura conocido como DarkTracer rastreó los sitios de fuga de datos de treinta y cuatro bandas de ransomware y le dijo a BleepingComputer que ahora han filtrado datos de 2.103 organizaciones.

Las 34 bandas de ransomware seguidas por DarkTracer son Team Snatch, MAZE, Conti, NetWalker, DoppelPaymer, NEMTY, Nefilim, Sekhmet, Pysa, AKO, Sodinokibi (REvil), Ragnar_Locker, Suncrypt, DarkSide, CL0P, Avaddon, Pay2Key, Mount Cuba, RansomEXX, Everest, Ragnarok, BABUK LOCKER, Astro Team, LV, File Leaks, Marketo, N3tw0rm, Lorenz, Noname y XING LOCKER.

De estas treinta y cuatro operaciones, las cinco principales operaciones activas son Conti (338 pérdidas), Sodinokibi / REvil (222 pérdidas), DoppelPaymer (200 pérdidas), Avaddon (123 pérdidas) y Pysa (103 pérdidas).

Tres grupos que ya no están activos y tienen más pérdidas que algunos de los cinco primeros son Maze (266 pérdidas) y Egregor (206 pérdidas).

Los datos de todos los sitios de fuga de datos de bandas de ransomware se representan en el siguiente gráfico creado por DarkTracer al 4 de mayo de 2021.

Algunas de las bandas de ransomware enumeradas ya no están operativas, como NetWalker, Sekhmet, Egregor, Maze, Team Snatch o se les ha cambiado el nombre con un nuevo nombre, como NEMTY y AKO.

La industria de la extorsión de datos se ha convertido en una importante fuente de ingresos para las bandas de ransomware que le han dicho a BleepingComputer que las víctimas se preocupan más por las fugas de datos que por la pérdida de archivos cifrados.

Otros actores de amenazas están viendo esta tendencia, y en los últimos meses han comenzado a lanzar nuevos mercados de filtración de datos que existen únicamente para vender datos robados.

Si bien puede parecer mejor pagar un rescate para evitar una fuga de datos, no hay garantía de que los datos no se divulguen o vendan a otros actores de amenazas.

Por lo tanto, si sus datos son robados, lo mejor es tratarlos como una violación de datos y ser transparente al respecto hacia los afectados.