En 2019, la organización de ransomware Maze fue la primera en utilizar ataques de doble extorsión. Desde entonces, un número creciente de bandas de ransomware han adoptado esta táctica. Una investigación publicada en 2021 por Group-IB, afirma que el número de empresas que han visto expuestos sus datos en un sitio de filtración de datos ha aumentado un 935%, lo que demuestra que estos peligros no son infundados.

En la actualidad, más de 16 bandas de ransomware diferentes utilizan activamente esta estrategia para coaccionar a sus víctimas. Los investigadores creen que el mercado afiliado de ransomware como servicio (RaaS) es el culpable del enorme crecimiento de la industria del ransomware.

Ahora que la “doble extorsión” se está convirtiendo en una de las tácticas más utilizadas por los ciberdelincuentes para conseguir que sus víctimas paguen, ¿qué medidas está adoptando su empresa?

¿Por qué se ha vuelto tan popular la doble extorsión?

Tradicionalmente, un ransomware es un programa malicioso que cifra una serie de datos en secreto mediante el cifrado de clave pública RSA y luego amenaza con borrar dichos datos si la víctima no paga el rescate exigido.

En la práctica conocida como “doble extorsión”, las bandas de ransomware no sólo roban los datos pertenecientes a una empresa, sino que también amenazan con hacer público el material robado para aumentar la presión ejercida sobre la empresa para que pague un rescate.

A raíz de los catastróficos ataques de ransomware WannaCry y NotPetya de 2017, las empresas han reforzado sus ciberdefensas. Se presta mayor atención a las copias de seguridad y a los procedimientos de restauración, de modo que, aunque se pierdan los archivos, las empresas siguen teniendo copias de sus datos y pueden recuperarlos sin dificultad.

Sin embargo, en un esfuerzo por adaptar sus tácticas, estos ladrones que operan en la red han modificado sus estrategias. Grupos como REvil (alias Sodinokibi) han empezado a monetizar los datos robados subastándolos en la darkweb para presionar aún más a sus víctimas. En lugar de limitarse a cifrar los archivos, el ransomware de doble extorsión primero roba el contenido antes de proceder a cifrarlo. Esto implica que la información puede publicarse en Internet o venderse a quien haga la oferta más alta si la empresa se niega a pagar el rescate. De este modo, las copias de seguridad y los procedimientos de recuperación de datos pierden toda su utilidad.

Un incidente de doble extorsión

El equipo DFIR de CYREBRO fue llamado para investigar un caso en el que un atacante externo accedió a los datos de acceso de un usuario interno de la red de un hospital. Este sofisticado atacante consiguió hacerse con los datos de acceso del usuario gracias a un fallo en los protocolos de correo electrónico de dicho usuario, enmascarando al atacante como un usuario legítimo.

El atacante se conectó a la red VPN de la organización utilizando las credenciales robadas y fue capaz de elevar sus privilegios y acceder al núcleo de la organización, el controlador de dominio. A partir de ahí, el atacante pudo robar archivos de bases de datos y otra información confidencial y privada de la organización.

Tras el volcado de la base de datos, el hacker utilizó un ransomware para cifrar los datos de los servidores y exigió a la empresa el pago de 1,2 millones de dólares. Utilizando la doble extorsión, el atacante esperaba que la amenaza de divulgar la información PHI (Información de Salud Protegida) del hospital presionara a la organización para que pagara el rescate.

La opción de restaurar el sistema a su estado anterior al cifrado no era posible, ya que el atacante también podía acceder a los servidores de copia de seguridad y cifrarlos. A través de un EDR y otras herramientas de seguridad que la empresa había instalado, el equipo de CYREBRO fue capaz de recabar pruebas y detectar toda la actividad sospechosa, asegurando la depuración de la red y permitiendo la contención. La decisión del cliente fue no pagar el rescate y prefirió limpiar su red. Afortunadamente, la rápida reacción de CYREBRO y su equipo experto en IR impidieron gran parte de la filtración de los datos que el atacante planeaba filtrar y sólo una pequeña parte de los datos quedó expuesta.

Popularidad y eficacia de la doble extorsión

En un reciente estudio de investigación denominado “El estado del ransomware en 2022”,  más de 5000 expertos en TI y dirigentes de pequeñas, medianas y grandes empresas, fueron encuestados en relación con el ransomware. De los encuestados, más de 900 compartieron información específica sobre el pago de rescates.

Los resultados de la encuesta mostraron que el ransomware afectaba al 66% de las empresas, un aumento considerable frente al 37% registrado en 2020. Además, la cantidad pagada en concepto de rescate también ha aumentado, en parte debido al crecimiento del número de víctimas y al uso de la doble extorsión como táctica eficaz. Además, las tácticas de doble extorsión se han convertido en una práctica habitual en las campañas de ransomware empresarial.

Casos recientes de gran repercusión relacionados con la doble extorsión

En mayo de 2021, la banda de ransomware DarkSide comprometió los sistemas informáticos de la sucursal norteamericana del mayorista de productos químicos Brenntag, lo que provocó la pérdida de unos 150 gigabytes de datos corporativos.

Según los informes, los hackers exigieron el pago de un rescate de 7,5 millones de dólares, pero la empresa química consiguió rebajar esta cantidad a 4,4 millones, que supuestamente pagó a DarkSide el 14 de mayo para evitar que los datos robados se hicieran públicos.

Otro ejemplo destacado de doble extorsión es el del fabricante de ordenadores Acer. La organización de hackers REvil, responsable también de un ataque contra la empresa de cambio de divisas Travelex, con sede en Londres, lanzó un ataque contra el fabricante de ordenadores Acer en mayo de 2021. La petición de rescate de 50 millones de dólares fue, con diferencia, la más alta jamás registrada. Además, los hackers utilizaron un fallo del servidor Microsoft Exchange para acceder a los datos de Acer y publicar fotos de documentos financieros y hojas de cálculo de vital importancia.

Datos expuestos incluso después del pago

Como ha quedado patente en el incidente de Acer y muchas otras organizaciones, incluso las empresas que han pagado el rescate exigido para proteger sus datos han visto cómo éstos se hacían públicos.

El grupo ruso de ransomware-como-servicio conocido como Conti Ransomware Gang, es uno de los que se está ganando una reputación cada vez peor. Están dando pruebas fraudulentas de que los archivos han sido borrados y publicando filtraciones de los datos en su sitio web, Conti News, a pesar de haber recibido el dinero del rescate de sus víctimas.

Esta es una de las razones por las que se están ganando una reputación tan nefasta. Esto también perjudica al ransomware como modelo de negocio para las organizaciones maliciosas; si las empresas no pueden garantizar que sus datos no serán liberados, ¿qué sentido tiene pagar el rescate? Aunque el ransomware en sí es una actividad ilegal, se consideraba y se sigue considerando un negocio lucrativo basado en la confianza entre la organización comprometida y el atacante malicioso. Si esta confianza deja de ser viable, el modelo de negocio se viene abajo.

Cómo proteger a su organización de la doble y triple extorsión

Al igual que la doble extorsión, los ataques de ransomware de triple extorsión también van en aumento. A medida que aumentan los pagos por ransomware, los delincuentes lanzan nuevos ataques para conseguir más dinero. En la triple extorsión, los atacantes exigen dinero a la empresa comprometida y a cualquier persona perjudicada por la filtración de los datos.

Prevenir las intrusiones

Cualquier ataque de ransomware estándar, incluido un ataque de ransomware de doble extorsión, utilizará las mismas tácticas descritas anteriormente para obtener acceso a su red. Entre las medidas esenciales que pueden tomarse para evitar el acceso inicial, se encuentran la formación del personal en materia de seguridad, la aplicación de restricciones a las contraseñas y la autenticación de multi-factor, la aplicación rutinaria de parches a las vulnerabilidades conocidas y la protección de los puertos RDP y VPN. Adquirir un sistema de detección de ransomware y un firewall de aplicaciones web es otra opción que conviene considerar.

Asegurar que todos los datos estén cifrados y respaldados

Si un atacante consigue vulnerar las defensas de su red, tener una copia de seguridad reciente de sus datos almacenada sin conexión puede protegerle de la primera fase de un ataque de ransomware, que es la recuperación de sus archivos. Cifrar sus datos es otra forma de defenderse contra un ataque de doble extorsión, ya que los hace inaccesibles para los grupos de ransomware en caso de que los roben y los utilicen para filtrarlos.

Reflexiones finales

En resumen, la prevención puede mitigar el riesgo asociado a los ataques de ransomware, especialmente los ataques de doble y triple extorsión. Por ello, es esencial establecer una estrategia de resiliencia frente al ransomware que abarque todos los aspectos de la protección, como la prevención, la preparación y la reacción en caso de ataque.