Las tácticas y técnicas utilizadas por los grupos de ransomware para presionar a sus víctimas para que paguen un rescate van más allá de simplemente amenazar con publicar datos en línea o venderlos a otros, según reveló una nueva perspectiva del equipo de respuesta rápida de Sophos.
“Se han visto casos en los que los atacantes envían correos electrónicos o llaman por teléfono a los empleados de la víctima, los llaman por su nombre y comparten los datos personales que han robado, como medidas disciplinarias o información del pasaporte, con el objetivo de asustarlos para que exijan a su empleador pagar el rescate”, dijo Mackenzie de Sophos.
“Este tipo de comportamiento muestra cómo el ransomware ha pasado de ser un ataque puramente técnico, dirigido a sistemas y datos, a uno que también se dirige a las personas”.
Robar y filtrar datos sigue siendo la táctica más frecuente; de hecho, es más seguro asumir que si ha sufrido un ataque de ransomware, también está a punto de sufrir una violación importante de datos. Sin embargo, hay algunas señales de que las pandillas de ransomware ahora están filtrando específicamente los datos que tienen el potencial de causar el mayor daño. Una investigación reciente sobre un ataque de Conti a una empresa de logística de transporte descubrió que los datos robados incluían detalles de investigaciones activas de accidentes de tráfico, incluidos los nombres de los conductores e incluso las muertes.
La segunda táctica más común actualmente en uso es enviar correos electrónicos y llamar a los empleados de la organización víctima y amenazar con revelar su información personal, una técnica favorecida por Conti, Maze, REvil y SunCrypt.
En relación con esto, la tercera táctica más popular consiste en ponerse en contacto con personas u organizaciones cuyos datos están en manos de la víctima para asustarlos y exhortarlos a pagar para proteger su información; tanto Cl0p como REvil han adoptado este enfoque con entusiasmo.
La cuarta táctica más común observada es silenciar a las víctimas advirtiéndoles que no contacten a las autoridades y, cada vez más, a los medios. Mackenzie dijo que esto probablemente evitaría que las víctimas busquen ayuda que les permita evitar pagar el rescate, pero también porque en los últimos meses, muchas pandillas se han preocupado más por su imagen.
A principios de octubre, frustrados por la filtración de sus negociaciones con la víctima JVCKenwood, la pandilla Conti que pedía de rescate es de 8.5 millones de dólares dijo que en el futuro interrumpiría las negociaciones con las víctimas si las capturas de pantalla de sus negociaciones llegaban a los medios o investigadores a través de VirusTotal, y filtrarían sus datos de todos modos.
Una técnica más reciente que está ganando popularidad rápidamente es reclutar miembros de la organización objetivo para permitir ataques de ransomware a otros a cambio de una parte de las ganancias. En un caso examinado por Sophos, el equipo de LockBit 2.0 publicó un anuncio junto con su demanda de rescate, buscando personas que los ayudaran a violar a los proveedores y socios externos de la víctima.
Algunas de las otras tácticas de presión comunes que ahora se emplean podrían considerarse medidas un tanto punitivas diseñadas para aumentar la probabilidad de pagos de rescate al causar frustraciones adicionales. Estos incluyen restablecer las contraseñas de administrador de dominio para impedir que el personal de TI legítimo inicie sesión para solucionar el problema, eliminar las copias de seguridad conectadas que puedan encontrar, lanzar ataques de denegación de servicio distribuido (DDoS) en los sitios web del objetivo e incluso inmovilizar todas las impresoras de la oficina continuamente. imprimir copias de la nota de rescate.
Segun Informe de Tendencias de Ransomware de Veeam 2022, que son el resultado de una encuesta realizada en enero de 2022 a 1000 líderes de TI de más de 16 países en APJ, EMEA y las Américas, donde todos los encuestados sufrieron al menos un ciberataque en 2021, el 73% de las organizaciones, atacadas con ‘ransomware’ fueron atacadas más de dos veces en un año.
En la mayoría, el 44% de las infecciones de ransomware, entraron a través de correos electrónicos, enlaces y sitios web de phishing.
Otros puntos de entrada comunes para el ransomware ha continuado siendo los tradicionales; parches o paquetes de software infectados (41 %), credenciales comprometidas (35 %), amenazas internas (32 %) y vulnerabilidades de día cero o “críticas” (26%). Un total del 1% de las empresas ni siquiera ha podido identificar el punto de entrada de los ataques de ransomware.
De acuerdo con estudio realizado por Sophos, el costo total promedio de recuperación de un ataque de ransomware se ha más que duplicado en un año, aumentando de $761 106 en 2020 a $1,85 millones de dólares en 2021. El rescate promedio pagado es de $170 404. Los hallazgos globales también muestran que solo el 8% de las organizaciones lograron recuperar todos sus datos después de pagar un rescate, y el 29% no recuperó más de la mitad de sus datos.
El hecho de que los ciber delincuentes ya no limitan sus ataques al cifrado de archivos que a menudo se pueden restaurar a partir de copias de seguridad o la dolorosa restauración de los sistemas, muestra lo importante que es para las empresas adoptar un enfoque de seguridad de defensa en profundidad, que combine la seguridad avanzada apoyada con inteligencia artificial, la prevención que permita identificar tempranamente vulnerabilidades y brechas, ademas de la educación y la concienciación de los empleados.
Itech Cyber Protection: Es la solución todo en uno que integra la protección de datos y ciberseguridad, permitiendo realizar copias de seguridad y restauración, recuperación ante desastres, identificación de vulnerabilidades, prevención de exploits, malware y ransomware basado en IA, herramientas de seguridad avanzada, gestión y control de dispositivos, sincronización y uso compartido de archivos, asistencia remota, supervisión y creación de informes.
Fuente: https://www.computerweekly.com/news/252508752/How-ransomware-crews-pile-on-the-pressure-to-get-victims-to-pay