Recientemente, en las operaciones del ransomware Conti se empezó a utilizar la táctica de la “doble extorsión”, la cual consiste en un sitio de exposición de datos como parte de su estrategia de extorsión para obligar a las víctimas a pagar un rescate, o enfrentar la humillación pública. Como hemos visto en los recientes ataques de ransomware, […]
Recientemente, en las operaciones del ransomware Conti se empezó a utilizar la táctica de la “doble extorsión”, la cual consiste en un sitio de exposición de datos como parte de su estrategia de extorsión para obligar a las víctimas a pagar un rescate, o enfrentar la humillación pública.
Como hemos visto en los recientes ataques de ransomware, las víctimas han sido, en su mayoría, grandes empresas que pueden costear un rescate de archivos por una alta suma de dinero. Por ejemplo, Garmin recientemente decidió pagar a los ciberatacantes luego de ser víctima de un ataque de este tipo. De hecho, estudios afirman que el 70% de las grandes corporaciones han pagado por obtener sus datos de regreso.
Las víctimas pueden ser de cualquier sector o industria, por ende, el espectro de acción que tienen los ciberdelincuentes es muy grande, siendo este tipo de ataques un blanco atractivo.
Debido a estos factores, y para poner más presión al asunto, las operaciones del ransomware As a Service (RaaS) Conti implementaron a su estrategia de ataque la táctica de la doble extorsión.
El sitio de brechas tiene 26 filtraciones expuestas hasta este momento.
Pero esta técnica no es nueva, previamente DoppelPaymer la utilizó imitandola del ransomware Maze, y así entre otros ransomware.
¿Qué significa? Que un ataque de ransomware puede traer consigo una brecha de datos, como un 2×1, si no se aborda de manera correcta.
Las operaciones de ransomware que han utilizado esta técnica son Ako, Avaddon, Clop, CryLock, DoppelPaymer, Maze, MountLocker, Nemty, Nephilim, Netwalker, Pysa/Mespinoza, Ragnar Locker, REvil, Sekhmet, Snatch, y Snake.
Revisa recientes ataques de ransomware acá
Los atacantes utilizan la clásica puerta de entrada: Correos electrónicos de phishing, con enlaces maliciosos que buscan infectar a los empleados de la entidad objetivo con TrickBot y Emotet. Luego, este bot comienza a propagarse lateralmente dentro de la red, crea credenciales de administrador y finalmente se implementa el ransomware.
Descubierta por investigadores de seguridad de NVISO Labs, esta banda de malware, a la que llamaron Epic Manchego , ha estado activa desde junio y se dirige a empresas de todo el mundo con correos electrónicos de phishing que contienen un documento de Excel malicioso.
Los ataques de ransomware saltaron al conocimiento del gran público con el secuestro masivo de datos de importantes empresas en 2017, cuando una variante de este malware conocida como WannaCry puso en jaque a compañías como Telefónica.