Una familia de ransomware ha comenzado una nueva táctica de no solo exigir un rescate por un descifrador, sino también exigir un segundo rescate para no publicar archivos robados en un ataque.
Durante años, los operadores de ransomware han afirmado que roban datos antes de encriptar la red de una empresa y luego amenazan con liberar los datos si una víctima no paga. Sin embargo, no fue hasta noviembre de 2019 que los operadores de ransomware Maze realmente siguieron con esta amenaza y lanzaron archivos robados públicamente.
Desde entonces, casi todas las familias de ransomware dirigidas a la red como Maze, Sodinokibi, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza y Netwalker han adoptado esta práctica y han creado sitios de "filtraciones" donde publican los datos robados de las víctimas que no pagan.
El ransomware Ako ahora exige dos rescates
En un nuevo sitio de fugas creado por los operadores de Ako Ransomware, los actores de la amenaza indican que algunas compañías deben pagar un monto por el rescate (por el descifrador) y una cantidad separada para eliminar archivos robados. Como ejemplo, Ako ha publicado los datos de una de sus víctimas y declaró que recibieron un pago de $ 350,000 por el descifrador, pero de todos modos publicó los archivos después de no recibir un pago para eliminar los archivos robados.
Datos publicados en el sitio de fuga de Ako
(Redactado por BleepingComputer)
Uno de los operadores de ransomware Ako le dijo a BleepingComputer que esta táctica de doble extorsión solo se usa en ciertas víctimas, dependiendo del tamaño de la empresa y el tipo de datos que fueron robados.
"La empresa con grandes ingresos se asusta cuando hablamos de archivos robados. Por lo tanto, su motivación para otras empresas es lo que necesitan pagar", dijeron los operadores de Ako a BleepingComputer. Esta segunda demanda de extorsión oscila entre $ 100,000 y un máximo de $ 2,000,000, que está por encima del precio de descifrado del ransomware.
Cuando se nos preguntó si algunas víctimas pagaron por eliminar datos pero no pagaron por un descifrador, nos dijeron que las organizaciones de atención médica con datos confidenciales habían tomado esta ruta.
"Sí, algunas organizaciones médicas de EE. UU. (datos de pacientes, SSN y otros)", nos dijeron los actores de la amenaza. BleepingComputer no ha podido verificar si esto es cierto.
Los ataques de ransomware son violaciones de datos
Robar archivos sin cifrar durante un ataque se ha convertido en una táctica estándar utilizada por casi todas las familias activas de ransomware dirigidas a empresas. En muchos casos, los datos robados incluyen números de seguridad social, tarjetas de identificación, registros médicos, cartas de terminación, documentos contables y secretos comerciales. Estos datos robados pueden conducir a un daño financiero y de reputación significativo para una víctima. Sin embargo, para los empleados, podría ser aún peor ya que enfrentan el robo de identidad debido a que se divulga su información privada.
Por esta razón, todos los ataques de ransomware deben tratarse como violaciones de datos, los empleados deben estar informados y las agencias gubernamentales deben ser notificadas. Si bien algunas compañías como Magellan Health y ExecuPharm han presentado notificaciones de violación de datos, la mayoría de las víctimas fingen que el ataque nunca ocurrió o niegan que se hayan robado los datos.
No olvides Compartir...
0 Comentarios