Diario Informe

Los mercados de fuga de datos apuntan a apoderarse de la economía de la extorsión

Los ciberdelincuentes están adoptando la extorsión del robo de datos mediante la creación de mercados de la web oscura que existen únicamente para vender datos robados.

Mucho antes de que las bandas de ransomware comenzaran a extorsionar a las víctimas mediante el uso de datos robados, otras amenazas ya habían utilizado esta práctica.

Un hacker muy conocido y muy publicitado que llevó a cabo esta práctica fue The Dark Overlord, que robó datos y exigió rescates a Disney, Netflix y compañías de seguros.

El grupo Maze Ransomware revolucionó las operaciones de ransomware en 2019 al adoptar una estrategia de doble extorsión. Usando sitios de filtración de datos de ransomware, Maze advirtió a las víctimas que revelarían públicamente los datos robados si las víctimas no pagaban un rescate.

Otras bandas adoptaron rápidamente esta táctica de extorsión.

Algunos actores de amenazas le dijeron a BleepingComputer que la práctica de robar datos y amenazar con liberarlos a menudo genera más rescates que la pérdida de archivos cifrados.

Puede ver este cambio en las tácticas con el reciente anuncio de ransomware Babuk de que ya no cifraría los dispositivos y pasando exclusivamente a la extorsión por robo de datos.

Índice de contenidos
  1. El auge de los mercados de datos robados
    1. Mercado de fugas oscuras
    2. Mercado de Marketo
    3. El mercado de Lorenz
    4. Mercado de fugas de archivos
  2. Pagar el rescate significa tirar el dinero

El auge de los mercados de datos robados

Con las infracciones que ocurren casi todos los días y los gobiernos emitiendo fuertes multas por exponer información personal, los actores de amenazas ahora están capitalizando estos temores mediante el uso de mercados dedicados que venden datos robados.

Si bien los mercados de la web oscura para productos ilícitos no son nuevos y se han utilizado para vender datos robados en el pasado, no fueron diseñados únicamente para la extorsión por robo de datos.

Recientemente, BleepingComputer identificó tres nuevos mercados llamados Marketo, File Leaks y Lorenz creados para vender datos a otras amenazas o a las propias víctimas. Además, existe un mercado llamado 'Mercado de fugas oscuras' que parece haber sido creado en 2019.

Mercado de fugas oscuras

El más antiguo de estos mercados es Dark Leak Market, que vende datos robados desde 2019.

Los datos vendidos en este sitio oscilan entre $ 100 y $ 9,000 y se recopilaron de sitios de filtración de datos de pandillas de ransomware y foros de piratería, como RaidForums.

Mercado de fugas oscuras
Mercado de fugas oscuras

Utilizando la plataforma de inteligencia DarkBeast de KELA, BleepingComputer encontró una publicación de Unknown por REvil Ransomware que confirma que los datos están siendo revendidos por otras filtraciones de datos.

Mensaje desconocido de REvil Ransomware llamando al sitio una estafa
Mensaje desconocido de REvil Ransomware llamando al sitio una estafa

Mercado de Marketo

El mes pasado, los actores de amenazas lanzaron un nuevo mercado llamado Marketo, y el propietario se puso en contacto con periodistas e investigadores de seguridad para promocionar el sitio.

"Nos gustaría presentar el nuevo mercado de Marketo, que pronto se convertirá en el mejor lugar para encontrar, comprar y vender cualquier información sobre cualquier empresa", escribió un actor de amenazas detrás de Marketo a BleepingComputer.

Marketo filtró el mercado de datos
Marketo filtró el mercado de datos

Cuando se les preguntó si estos datos fueron robados como parte de sus ataques u otros, dijeron: "Es un mercado para personas que tienen información a la venta, no pirateamos empresas".

También afirmaron estar en contra del ransomware y no estar afiliados a "aquellos que bloquean redes y extorsionan fondos".

Si bien la mayoría de los datos que se encuentran en el sitio no parecen estar asociados con ataques de ransomware conocidos, eso no significa que no estén alojando datos de este tipo de ataques.

BleepingComputer fue alertado recientemente por alguien en la industria de la ciberseguridad automotriz que vio datos en Marketo para un concesionario que se sabe que ha sufrido recientemente un ataque de ransomware.

El mercado de Lorenz

El mercado de Lorenz también se lanzó el mes pasado y actualmente enumera los datos de 11 víctimas. No se sabe que ninguna de estas víctimas esté asociada con ataques o infracciones de ransomware recientes.

Mercado de Lorenz
Mercado de Lorenz

Como señaló KELA en BleepingComputer, Lorenz se destaca de los demás en que no solo vende datos robados, sino lo que parece ser acceso a las redes internas de la víctima.

Lorenz vende acceso a redes de víctimas
Lorenz vende acceso a redes de víctimas

Este acceso a la red vendido podría indicar que los datos provienen de las operaciones de piratería del operador de Lorenz.

Mercado de fugas de archivos

File Leaks Market se lanzó en abril de 2021 y descarga todos los datos robados al mismo tiempo, diciéndoles a las víctimas que se comuniquen con ellos para pagar y eliminarlos.

El mercado de File leaks es el más pequeño de los sitios, con dos víctimas de Italia y una de India.

Mercado de fugas de archivos
Mercado de fugas de archivos

Pagar el rescate significa tirar el dinero

Como informamos en noviembre, las víctimas nunca deben pagar un rescate por los datos robados, ya que no hay garantía de que sus datos se borren y no se vendan a otras amenazas.

La firma de comercio de ransomware Coveware le dijo a BleepingComputer que los ciberdelincuentes no pueden cumplir sus promesas después de pagar un rescate.

En algunos casos, las víctimas que pagaron fueron posteriormente extorsionadas nuevamente utilizando los mismos datos o, de lo contrario, los actores de la amenaza filtraron los datos.

Además, como lo demuestra el Dark Leak Market, una vez que se filtran los datos, no hay forma de contenerlos, ya que se propagan entre diferentes foros de piratería y sitios frecuentados por amenazas.

Teniendo esto en cuenta, Coveware les dice a las víctimas que siempre esperen lo siguiente si deciden pagar a una banda de ransomware para evitar que los datos se filtren:

  • Los datos no se borrarán de forma creíble. Las víctimas deben asumir que se entregará a otros actores de amenazas, que se venderá o se mantendrá para un segundo o futuro intento de extorsión.

  • La custodia de los datos robados estaba en manos de varias partes y no estaba protegida. Incluso si el actor de la amenaza elimina un volumen de datos después de un pago, otras partes que tuvieron acceso a él pueden haber hecho copias para poder extorsionar a la víctima en el futuro.

  • Los datos se pueden publicar por error o intencionalmente antes de que una víctima pueda siquiera responder a un intento de extorsión.

En cambio, las víctimas de robo de datos siempre deben tratar un ataque como una violación de datos y divulgar adecuadamente la violación a todos los clientes, empleados y socios comerciales para evitar que los datos robados los dañen.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings