This post is also available in: Português Español
Método de extorsión dificulta defensas de las víctimas, ahorra recursos a los crackers y aumenta sus ganancias.
Un ransomwarebásicamente funciona de la siguiente manera: se ataca un sistema en particular, sus usuarios pierden el acceso a él y reciben mensajes de crackers diciendo que deben pagar para poder usarlo nuevamente. Es decir, es esencialmente un secuestro de archivos.
En algunos casos, las víctimas pagan y todo vuelve a la normalidad. Pero hay cientos de situaciones en las que, incluso pagando las cantidades exigidas por los ciberdelincuentes, no se recupera el acceso, algo completamente posible cuando se trata de estafadores, cuya ética es obviamente cuestionable.
El problema es que ahora los crackers están experimentando con un nuevo tipo de ataque que, en lugar de cifrar los datos, los destruye por completo. El objetivo es eliminar cualquier posibilidad de que las víctimas puedan recuperar sus datos si no pagan el rescate.
Esto sería desastroso para cualquier persona que sufra un ataque de ransomware porque, si bien a veces es posible recuperar archivos cifrados sin pagar un rescate, la amenaza de que los servidores se dañen por completo, si no se realiza el pago, puede hacer que más víctimas se rindan.
Como surgió
La destrucción de datos está vinculada a Exmatter, una herramienta de exfiltración de .NET que alguna vez se usó como parte de los ataques de ransomware BlackMatter, que ahora puede estar operando con el nombre deBlackCat.
En ataques de ransomware anteriores, Exmatter se utilizó para capturar tipos de archivos específicos de directorios seleccionados y cargarlos en servidores controlados por atacantes. Esto se hace antes de que el ransomware se ejecute en sistemas comprometidos y los archivos se cifren, y los atacantes exigen el pago de la clave de liberación.
Sin embargo, el análisis de la nueva muestra de Exmatter utilizada como parte de un ataque BlackCat sugiere que, en lugar de cifrar archivos, la herramienta de exfiltración se utiliza para corromper y destruir archivos.
¿Por qué destruir?
Ya se están considerando algunas razones. Una es que la amenaza de destruir datos en lugar de cifrarlos puede ser un incentivo adicional para que las víctimas de ataques paguen.
Omitir el paso de encriptación de datos hace que el proceso sea más rápido y elimina el riesgo de no recibir el pago completo, o de que la víctima encuentre otras formas de desencriptar los archivos.
Además, desarrollar un malware destructivo es relativamente más fácil que diseñar ransomware. Por lo tanto, el uso de ataques de destrucción de datos puede consumir menos recursos y tiempo, lo que brinda a los atacantes mayores ganancias a costos más bajos.
Por lo tanto, la tendencia es que los crackers probablemente continúen experimentando con la exfiltración y destrucción de datos, algo que aún permite la entrada de nuevos ciberdelincuentes, ya que es posible trabajar con profesionales menos capacitados.
Cómo escapar
Hay acciones que las empresas pueden tomar para ayudar a que sus redes sean más sólidas y seguras de los ataques de ransomware. Algunos pasos pueden ser más simples, mientras que otros requieren un poco más de organización.
Los pasos a seguir incluyen la aplicación de parches de seguridad y actualizaciones de manera oportuna para evitar que los piratas informáticos aprovechen las vulnerabilidades conocidas y lancen ataques, así como garantizar que la autenticación de múltiples factores se implemente en toda la red para ayudar a proteger a los usuarios.
Un escenario con una protección más efectiva es la contratación de empresas especializadas, como OSTEC, que ofrecen soluciones personalizadas de acuerdo a las demandas de cada empresa.
Fuente: ZDNet.