Las pandillas de ransomware se están volviendo cada vez más asertivas y agresivas en sus enfoques hacia las víctimas, recurriendo a tácticas de alta presión que incluyen campañas de acoso dirigido para extorsionar dinero, incluso de aquellos que han prestado atención a la prevención de ransomware y mantienen copias de seguridad de sus datos.
Esto es según un informe publicado hoy por el departamento de inteligencia de amenazas y respuesta a incidentes de la Unidad 42 de Palo Alto Networks. Los datos, que se extrajeron solo de los casos a los que respondió la Unidad 42, por lo que de ninguna manera es una evaluación completa o totalmente precisa de los volúmenes de actividad, encontraron que las pandillas de ransomware usaron el acoso como táctica 20 veces más el año pasado que en 2021. .
Por lo general, el acoso en un caso de ransomware está dirigido a un individuo específico, a menudo en un rol de liderazgo en una organización víctima o sus clientes. Implica una serie de llamadas telefónicas y correos electrónicos cada vez más agresivos para presionarlos a pagar un rescate, o presionar a los clientes para que presionen a aquellos que están autorizados a pagar un rescate para que lo hagan. También puede implicar que los ciberdelincuentes difundan el ataque en las redes sociales o se comuniquen con los periodistas de tecnología.
Esto se suma a las técnicas de extorsión en capas existentes, que además del cifrado de datos incluye la filtración y la filtración de datos (observadas en el 70 % de los ataques el año pasado, un aumento del 30 % en 2021) y los ataques distribuidos de denegación de servicio (DDoS), observados en alrededor de 2% de los incidentes de ransomware. Estas tendencias, denominadas doble y triple extorsión, se han consolidado desde 2020.
“Los grupos de ransomware y extorsión están obligando a sus víctimas a entrar en una olla a presión, con el objetivo final de aumentar sus posibilidades de que les paguen”, dijo Wendi Whitmore, vicepresidenta sénior y directora de la Unidad 42 de Palo Alto Networks.
“El acoso ha estado involucrado en uno de cada cinco casos de ransomware que hemos investigado recientemente, lo que demuestra hasta dónde están dispuestos a llegar estos grupos para coaccionar un día de pago. Muchos van tan lejos como para aprovechar la información de los clientes que ha sido robada para acosarlos y tratar de obligar a la organización a pagar”.
“Los grupos de extorsión y ransomware están obligando a sus víctimas a entrar en una olla a presión, con el objetivo final de aumentar sus posibilidades de que les paguen”
Wendi Whitmore, Unidad 42, Palo Alto Networks
Los investigadores de Unit 42 se unen a un número creciente de voces que creen que estas tendencias demuestran cómo las copias de seguridad, consideradas durante mucho tiempo como la piedra angular de cualquier estrategia de prevención de ransomware medio decente, ya no son efectivas para protegerse contra el impacto, en sí mismas.
Si bien mantener copias de seguridad actualizadas, fuera de línea y probadas regularmente sigue siendo una salvaguardia vital, Unit 42 descubrió que las técnicas de doble y triple extorsión se han vuelto tan efectivas que las pandillas de ransomware aún pueden obligar a sus víctimas a pagar incluso si los datos están respaldados. y protegido, y se minimiza la interrupción operativa.
A menudo, dijeron, la mera amenaza de que los datos confidenciales se expongan públicamente, el consiguiente daño a la reputación y la pérdida de confianza, y la amenaza de multas por parte de los reguladores, nada de lo cual puede evitarse mediante el mantenimiento de copias de seguridad, es suficiente para obligar a una víctima a retroceder. abajo.
De hecho, Unit 42 dijo que había trabajado en una serie de incidentes en los que las víctimas inicialmente se negaron a aceptar la idea de pagar un rescate porque sus copias de seguridad estaban en buen estado, pero luego fueron objeto de un acoso tan intenso que los costos resultantes excedieron el ransomware. demanda. Los negociadores de LockBit utilizaron esta posibilidad como una amenaza cuando intentaron extorsionar a Royal Mail a principios de este año, aunque el servicio postal finalmente se mantuvo firme.
Si aún no lo han hecho, Unit 42 recomienda a los líderes de seguridad que preparen un libro de jugadas mejorado para hacer frente a campañas de extorsión más sofisticadas.
Dicho libro de jugadas debe incluir el establecimiento de un plan integral de respuesta a incidentes y los correspondientes protocolos de comunicación de crisis, estableciendo una cadena de mando en la que las partes interesadas deben participar y quién está facultado para hacer qué, por ejemplo, quién negocia, quién está autorizado para firmar. en un pago si llegara a eso, y así sucesivamente.
El plan también debe cubrir lo que los empleados deben hacer, o evitar hacer, si son objeto de acoso por teléfono o correo electrónico durante un incidente. Se debe brindar capacitación sobre el acoso al personal para equiparlo mejor en este sentido.
Los líderes de seguridad también deben asegurarse de poder realizar evaluaciones de compromiso post mortem para validar que se eliminen las puertas traseras u otros indicadores de compromiso (IoC), como tareas o trabajos programados, para que los ataques posteriores sean menos probables.
Los investigadores de la Unidad 42 dijeron que en los próximos nueve meses, probablemente veremos un aumento en la extorsión vinculada a amenazas internas, intentos de extorsión por motivos políticos y el uso de ransomware y extorsión para distraer la atención de los ataques destinados a comprometer la cadena de suministro de la víctima, o, en el caso de empresas tecnológicas, su código fuente. El equipo también predijo que veremos un “gran compromiso de ransomware en la nube” en un futuro próximo.
