Ransomware de doble extorsión y cifrado

Una técnica muy recurrente es la doble extorsión en los ataques de ransomware, donde los ciberdelincuentes demandan dos pagos: Uno para desencriptar los archivos y otro para borrar la información robada de sus servidores.

¿Cómo funciona?

Es una técnica que utilizan cada vez más los atacantes de ransomware. Básicamente es una carga útil de malware roba la información de texto sin formato de una víctima antes de iniciar su rutina de cifrado, luego encriptan los archivos y se produce la estafa.

Al hacerlo, los actores de ransomware esperan atrapar a todas sus víctimas para que paguen. Las copias de seguridad pueden ayudar a negar la necesidad de una utilidad de descifrado, según la lógica, pero no significan casi nada después del robo de datos.

Algunos han decidido crear una nueva infraestructura de ataque. Por ejemplo el grupo MAZE. Estos atacantes crearon su propio sitio web de filtraciones de datos para publicar los datos de las víctimas que se negaron a pagar.

El grupo también formó un cartel con otras bandas de ransomware, un acuerdo que incluía el uso compartido de su sitio web de filtraciones de datos como un beneficio central. (La experiencia de los atacantes con el uso del aparato de doble cifrado de Maze también ayudó a otros actores como el equipo de LockBit a registrar su propio sitio web).

Otros han optado por convertir en arma la doble extorsión en aras de repetir las demandas de rescate. Todo lo que esto requiere es que los equipos de cripto-malware no respeten cuando una víctima paga un rescate. Esos actores de amenazas pueden regresar cuando lo deseen en el futuro y emitir una demanda de rescate por los mismos datos.

¿Qué es el cifrado doble?

La doble extorsión no es la única técnica nueva que utiliza dos de algo para remodelar el flujo de un ataque de ransomware. También lo es el doble cifrado, una táctica en la que los agentes malintencionados cifran los datos de las víctimas con dos (o más) cepas de ransomware.

Emsisoft advirtió por primera vez sobre la amenaza del doble cifrado a mediados de mayo. Este ataque suele adoptar una de dos formas.

En el primer tipo, conocido como cifrado en capas, un actor malintencionado cifra los datos de una víctima con una cepa de ransomware. Luego, el atacante vuelve a encriptar esa información encriptada utilizando una muestra de ransomware diferente.

En el segundo tipo, denominado cifrado en paralelo, el atacante utiliza una cepa de ransomware para cifrar algunos sistemas y otra muestra de ransomware para cifrar otros sistemas.

El doble cifrado es como una doble extorsión en dos sentidos. En primer lugar, su objetivo es maximizar la cantidad de dinero que los atacantes pueden recaudar mediante una infección «única». Varias cargas útiles requieren que las víctimas paguen por múltiples utilidades de descifrado, lo que aumenta el costo general de un ataque de ransomware.

Los atacantes de ransomware entienden esto. Bajo el modelo de doble cifrado, pueden trabajar juntos para compartir los beneficios de una empresa que esté dispuesta a pagar. O pueden combinar varias de sus cepas de ransomware en un solo ataque.

Los equipos de Cryptomalware también pueden aprovechar el doble cifrado para expandir los tipos de opciones que están disponibles para sus afiliados. De hecho, los desarrolladores pueden crear nuevos niveles en sus programas de afiliados que permitan a los posibles atacantes encadenar dos o más cargas útiles de malware, por ejemplo. Cuando están disponibles bajo una plataforma establecida de ransomware como servicio, tales ofertas llevarían a que incluso más dinero terminara en los bolsillos de los actores de ransomware.

En segundo lugar, el doble cifrado dificulta la recuperación. Si una víctima elige pagar el rescate, los ataques podrían enviar una utilidad de descifrado para cada cepa de ransomware involucrada. El problema es que los atacantes tienen la responsabilidad de describir adecuadamente cómo utilizar las utilidades de descifrado para recuperar todos sus datos. Si los atacantes usaran encriptación lado a lado, por ejemplo, necesitarían instruir a la víctima sobre qué desencriptador usar para qué sistema. Con el cifrado en capas, tendrían que especificar qué utilidades de descifrado utilizar primero.