Las bandas de ransomware no siempre eliminan los datos robados cuando se les paga

Borrado de datos

Cada vez más, las bandas de ransomware no cumplen su promesa de eliminar los datos robados después de que una víctima paga un rescate.

En 2019, el grupo de ransomware Maze introdujo una nueva táctica conocida como doble extorsión, que es cuando los atacantes roban archivos no cifrados y luego amenazan con liberarlos públicamente si no se paga ningún rescate.

Ahora, no solo se extorsiona a las víctimas cifrando sus archivos, sino también por el riesgo de que sus datos se publiquen y provoquen una filtración de datos.

Esta táctica fue rápidamente adoptada por otras operaciones de ransomware, que comenzaron a configurar sitios de filtración de datos utilizados para publicar los archivos robados de las víctimas.

Como parte de esta táctica de doble extorsión, la mayoría de las operaciones de ransomware requieren que la víctima pague un único rescate que proporcionará tanto un descifrador para sus archivos cifrados como la promesa de no compartir ni eliminar los archivos robados.

Algunas operaciones de ransomware, como AKO / Ranzy, requieren dos pagos de rescate, uno para el descifrador y otro para no publicar los datos robados.

Índice()

    Pandillas de ransomware que no cumplen su promesa

    En Informe de ransomware Coveware Q3 2020 Publicado hoy, nos enteramos de que algunas bandas de ransomware no cumplen su promesa de eliminar los datos robados después de que se paga un rescate.

    Según el nuevo informe, algunos grupos están revelando datos robados después de pagar un rescate, utilizando datos falsos como prueba de eliminación o incluso extorsionando a una víctima nuevamente utilizando los mismos datos que se pagaron por no ser liberados.

    • Caminante de redes: Datos publicados de empresas que habían pagado para no filtrar

    • Mespinosis: Datos publicados de empresas que habían pagado para no filtrar

    • Cuentas: Los archivos falsos se muestran como prueba de eliminación

    Maze, Sekhmet y Egregor, que parecen estar relacionados, también han sido mencionados por tener problemas para mantener los datos en secreto después de recibir el pago. En una conversación con BleepingComputer, el CEO de Coveware, Bill Siegel, explicó que a medida que Maze crecía, sus operaciones se desorganizaban y los datos de la víctima se publicaban incorrectamente en el sitio de filtración de datos.

    Siegel también le dijo a BleepingComputer que Conti usó sitios para compartir archivos para compartir evidencia de los datos robados con las víctimas. Cuando carga datos en estos sitios, también se generan enlaces de eliminación que permiten que cualquier persona con el enlace elimine los datos cargados.

    Según Siegel, Conti proporcionó a las víctimas enlaces de eliminación falsos después de pagar un rescate que contenía datos ficticios y no datos reales de la víctima. Estos enlaces estaban destinados a engañar a la víctima para que pensara que sus datos habían sido eliminados, cuando en realidad Conti continuó conservando los datos.

    A diferencia de un descifrador de ransomware, que un actor de amenazas no puede eliminar una vez dado, no hay forma de que una víctima sepa con certeza si una operación de ransomware está eliminando datos robados después de que se haya realizado un pago de rescate. .

    Debido a esto, Coveware le dijo a BleepingComputer que no tiene sentido pagar un rescate ya que no hay forma de saber con certeza que no se usará para extorsionarlo más en el futuro.

    Teniendo esto en cuenta, Coveware les dice a las víctimas que esperen lo siguiente si deciden pagar, para que sus datos no se divulguen:

    • Los datos no se borrarán de forma creíble. Las víctimas deben asumir que se entregará a otros actores de la amenaza, se venderá o se mantendrá para un segundo o futuro intento de extorsión.

    • La custodia de los datos robados estaba en manos de varias partes y no estaba protegida. Incluso si el actor de la amenaza elimina un volumen de datos después de un pago, otras partes que tuvieron acceso a él pueden haber hecho copias para que la víctima pueda ser extorsionada en el futuro.

    • Sin embargo, los datos pueden publicarse por error o intencionalmente antes de que una víctima pueda siquiera responder a un intento de extorsión.

    Las empresas deben asumir automáticamente que sus datos se han compartido entre múltiples actores de amenazas y que se utilizarán o divulgarán de alguna manera en el futuro, independientemente de si pagaron.

    En cambio, las empresas deben tratar el ataque como una violación de datos e informar adecuadamente a todos los clientes, empleados y socios comerciales que sus datos han sido robados según lo exige la ley.

    Esto les da a las empresas una mejor visión de cómo tratar de hacer lo correcto y les da a quienes han estado expuestos la capacidad de monitorear y proteger sus cuentas contra el fraude.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir