Hacer copias de seguridad no es suficiente si los chantajistas publican tus datos

Los creadores de ransomware parecen seguir una nueva tendencia: publicar los datos de las empresas que se niegan a pagar.

Las copias de seguridad han sido una de las medidas de protección más efectivas y arduas contra el ransomware cifrado. Pero ahora parece que los ciberdelincuentes comienzan a fijarse en aquellos que confían en las copias de seguridad. Los creadores de varios programas de ransomware, ante la negativa de las víctimas a realizar el pago del rescate, han comenzado a compartir sus datos online.

La publicación de datos convierte la amenaza en realidad

Las amenazas de divulgación de información confidencial no son nada nuevo. Por ejemplo, en el 2016, el grupo detrás del cryptoware que infectó el sistema Ferroviario Municipal de San Francisco intentó utilizar este truco. Pero jamás cumplieron sus amenazas.

Maze fue el primero

A diferencia de sus antecesores, el grupo responsable del ransomware Maze sí cumplió sus amenazas a finales del 2019, y en más de una ocasión. En noviembre, cuando Allied Universal se negó a pagar, los cibercriminales filtraron online 700 MB de sus datos internos, incluyendo contratos, acuerdos de resolución, certificados digitales, etc. Los chantajistas dijeron que habían publicado tan solo el 10 % de lo que habían robado y amenazaron con publicar el resto si la víctima no cooperaba.

En diciembre, los responsables de Maze crearon un sitio web que usaron para publicar los nombres de las empresas atacadas, las fechas de infección, las cantidades robadas, las direcciones IP y los nombres de los servidores infectados. También cargaron allí algunos documentos. A fines de ese mismo mes, se publicaron online 2 GB de archivos que al parecer habían sido robados a la ciudad de Pensacola, Florida. Los chantajistas afirmaron que habían publicado la información para demostrar que no estaban alardeando.

En enero, los creadores de Maze subieron 9,5 GB de datos de Medical Diagnostic Laboratories y 14,1 GB de documentos del fabricante de cables Southwire, que anteriormente había demandado a los chantajistas por la filtración de información confidencial. La demanda hizo que el sitio web de Maze cerrara, pero no tardará en volver.

Los siguientes fueron Sodinokibi, Nemty, BitPyLock

Después aparecieron otros ciberdelincuentes. El grupo que estaba detrás del ransomware Sodinokibi, empleado para atacar a la empresa financiera internacional Travelex en Nochevieja, señaló que su intención era publicar los datos pertenecientes a los clientes de la empresa a principios de enero. Los ciberdelincuentes dijeron tener más de 5GB de información, incluyendo fechas de nacimiento, números de seguridad social e información sobre tarjetas bancarias.

En cuanto a Travelex, la empresa asegura que no ha visto pruebas de dicha filtración y por ello se niega a pagar. Por su parte, los delincuentes señalan que la empresa ha accedido a negociar.

El 11 de enero, el mismo grupo subió enlaces a aproximadamente 337 MB de datos en un foro de hackers y señalaron que los datos pertenecían a la empresa Artech Information Systems, que se había negado a pagar el rescate. Los ciberdelincuentes dijeron que los datos subidos únicamente representaban una fracción de lo que habían robado y afimaron que su cometido era vender el resto, no publicarlo, a menos que las víctimas cumplieran.

Los creadores del malware Nemty serían los siguientes en comunicar sus planes para publicar los datos confidenciales de quienes no les habían pagado. Dijeron que su cometido era crear un blog donde publicarían por partes los documentos internos de las víctimas que se habían negado a cumplir con sus exigencias.

Los operadores del ransomware BitPyLock  su sumaron a la tendencia al añadir en la nota de rescate la promesa de que divulgarían los datos confidenciales de sus víctimas. A pesar de que no lo han hecho aún, también cabe la posibilidad de que BitPyLock haya robado información.

No se trata de un simple ransomware

Las funciones avanzadas añadidas a los programas de ransomware no son nada nuevo. Por ejemplo, en el 2016 el troyano Shade instalaba herramientas de administración remota, en lugar de cifrar los archivos, si descubría que se había topado con un equipo destinado a la contabilidad. CryptXXX cifró archivos y robó Bitcoin y las credenciales de inicio de sesión de las víctimas. El grupo responsable de RAA equipó algunas versiones del malware con el troyano Pony, cuyo objetivo eran las credenciales de inicio de sesión.  La capacidad de robo de datos del ransomware no debería sorprendernos, especialmente ahora que las empresas reconocen la necesidad de crear copias de seguridad de su información.

Es preocupante que las copias de seguridad no ofrezcan una defensa contra estos ataques. Si tus equipos se infectan, no existe modo alguno de evitar las pérdidas, que no se limitarán necesariamente al pago de un rescate, pues los chantajistas no ofrecen ninguna garantía. La única manera de protegerse es impedir que el malware penetre en tus sistemas.

Cómo protegerte contra el ransomware

Aún queda por descubrir si esta nueva tendencia de ransomware es efectiva o acabará por extinguirse. Por el momento estos ataques están en alza, por lo que necesitas mantenerte protegido. Esto no solo implica evitar el daño en la reputación y la divulgación de los secretos comerciales, ya que, si permites que alguien robe los datos personales de un cliente, tendrás que pagar multas muy elevadas. Por tanto, te ofrecemos algunos consejos:

  • Fomenta una mejor concienciación sobre la seguridad de la información. Si tu personal cuenta con la información necesaria, será menos probable que se convierta en víctima de phishing y de otras técnicas de ingeniería social. Nosotros contamos con una plataforma de aprendizaje, Kaspersky Automated Security Awareness Platform, diseñada para empleados con diversos intereses o diferentes niveles de carga de trabajo y de acceso a información confidencial.
  • Actualiza cuanto antes tus sistemas operativos y tu software, sobre todo en aquellos equipos en los que se hayan identificado vulnerabilidades que permitan el acceso y el control no autorizados de tu sistema.
  • Utiliza una solución de protección especializada dedicada a combatir el ransomware. Por ejemplo, puedes descargar sin coste alguno nuestro Kaspersky Anti-Ransomware Tool.
Consejos