La doble extorsión es una táctica utilizada por los atacantes de ransomware en la que no solo cifran los datos, sino que también amenazan con filtrarlos. Esta guía explora cómo funciona la doble extorsión, sus implicaciones para las víctimas y las estrategias de prevención.
Descubra la importancia de las copias de seguridad de datos y la planificación de la respuesta ante incidentes. Comprender la doble extorsión es fundamental para que las organizaciones protejan su información confidencial.
La doble extorsión pone de relieve la creciente sofisticación de las amenazas cibernéticas, lo que destaca la necesidad de un enfoque holístico de la ciberseguridad que abarque defensas sólidas contra el ransomware, una protección de datos vigilante , y respuesta ante incidentes.
Breve descripción general de la doble extorsión
La doble extorsión es una sofisticada táctica de amenaza cibernética que ha transformado el panorama de los ataques de ransomware en los últimos años. Esta estrategia maliciosa implica que los ciberdelincuentes no solo cifran los datos de la víctima, sino que también roban información confidencial antes del cifrado, reteniéndola efectivamente como rehén. Si la víctima se niega a pagar el rescate para descifrar sus datos, los atacantes amenazan con publicar o vender la información robada, lo que amplía lo que está en juego y las consecuencias del ataque.
La doble extorsión surgió por primera vez como una tendencia notable en el panorama del ransomware alrededor de 2019, con la aparición de cepas notables como Maze y REvil. Estos grupos de ciberdelincuentes reconocieron el inmenso valor de los datos que estaban comprometiendo y comenzaron a exigir rescates adicionales, normalmente en criptomonedas, bajo la amenaza de exponer estos datos. Este enfoque innovador aumentó significativamente la presión financiera sobre las víctimas y las hizo más propensas a cumplir con las demandas de extorsión.
Hoy en día, los ataques de doble extorsión se han vuelto alarmantemente frecuentes. Los ciberdelincuentes los utilizan para atacar a una amplia gama de organizaciones, desde pequeñas empresas hasta grandes corporaciones e incluso instituciones gubernamentales. Los datos robados suelen incluir información confidencial de clientes, propiedad intelectual y documentos internos confidenciales, lo que hace que las posibles consecuencias de su divulgación sean aún más graves.
Para defenderse de los ataques de doble extorsión, las organizaciones deben adoptar una estrategia integral de ciberseguridad que incluya una sólida detección y prevención de amenazas, copias de seguridad periódicas de los datos y formación sobre cómo reconocer los intentos de phishing y un plan de respuesta a incidentes (IRP) bien definido.
Comprender cómo funciona la doble extorsión
La doble extorsión es una técnica de ciberataque compleja e insidiosa que combina el robo de datos con las tácticas tradicionales del ransomware. Desde un punto de vista técnico, el proceso implica varias etapas distintas:
Acceso inicial y reconocimiento
Los atacantes utilizan diversos métodos, como correos electrónicos de phishing, explotación de vulnerabilidades de software o robo de credenciales para obtener acceso inicial a la red de la víctima. Una vez dentro, realizan un reconocimiento para identificar objetivos de alto valor y localizar repositorios de datos confidenciales.
Técnicas de exfiltración de datos
Los atacantes emplean técnicas avanzadas, como la inyección de SQL, la inclusión remota de archivos o el abuso de herramientas legítimas, para extraer datos confidenciales de la red de la víctima. Pueden emplear compresión, cifrado u ofuscación de datos para evadir la detección.
Clasificación y extracción de datos
Mediante scripts automatizados o procesos manuales, los atacantes clasifican y extraen información confidencial. Estos datos pueden incluir información de identificación personal (PII), registros financieros, propiedad intelectual o documentos confidenciales. Los atacantes pueden emplear técnicas de análisis e indexación de datos para localizar de manera eficiente los datos valiosos.
Almacenamiento temporal y ocultación de datos
Los datos exfiltrados se almacenan en áreas ocultas o menos supervisadas de la red para evitar su detección. Los atacantes pueden utilizar el cifrado o la esteganografía para ocultar la presencia de los datos robados y mantener un perfil bajo.
Cifrado de datos con algoritmos robustos
Tras la exfiltración, los atacantes activan el componente de ransomware. Emplean algoritmos de cifrado robustos, como AES-256, para cifrar archivos y sistemas críticos dentro de la red de la víctima. Este cifrado suele ser asimétrico, con una clave pública para el cifrado y una clave privada en poder del atacante para el descifrado.
Nota de rescate y demanda de criptomonedas
Los atacantes envían una nota de rescate, a menudo en forma de archivo de texto o imagen, a los sistemas de la víctima. Esta nota contiene detalles sobre la demanda de rescate, las instrucciones de pago y una fecha límite. Los atacantes suelen exigir el pago en criptomonedas como Bitcoin o Monero para mantener el anonimato.
Notificación de doble extorsión
En un ataque de doble extorsión, además de la nota de rescate tradicional, los atacantes informan a la víctima de que han sustraído datos confidenciales. Esta notificación hace hincapié en las consecuencias del incumplimiento. Los atacantes pueden proporcionar pruebas del robo de datos, como listas de archivos o fragmentos, para validar sus afirmaciones.
Amenazas de exposición de datos
Los atacantes amenazan con publicar los datos robados en Internet o en foros clandestinos si no se paga el rescate en el plazo especificado. Esta amenaza añade una presión significativa sobre la víctima para que cumpla con las demandas de rescate, ya que la exposición de los datos puede acarrear consecuencias legales, multas reglamentarias y daños a la reputación.
Verificación del pago y comunicación
Para facilitar el seguimiento del pago y el descifrado, los atacantes proporcionan una dirección de monedero Bitcoin única para que la víctima envíe el rescate. Tras recibir el pago, lo verifican en la cadena de bloques y se comunican con la víctima a través de canales cifrados.
Entrega de la clave de descifrado
Una vez verificado el pago, los atacantes entregan la clave de descifrado a la víctima. Esta clave es necesaria para descifrar los archivos y sistemas que se cifraron durante la fase del ransomware. Los atacantes pueden proporcionar herramientas de descifrado o instrucciones sobre cómo utilizar la clave.
Limpieza posterior al ataque
Tras recibir el rescate, los atacantes pueden eliminar su presencia de la red de la víctima, borrando cualquier herramienta, puerta trasera o rastro del ataque. Sin embargo, no hay garantía de que no vuelvan para realizar nuevas extorsiones o ataques.
Respuesta y mitigación
Las organizaciones que se enfrentan a un ataque de doble extorsión deben tomar decisiones críticas sobre si pagar el rescate o buscar alternativas. También deben denunciar el incidente a las fuerzas del orden e iniciar los procedimientos de respuesta a incidentes, incluida la restauración del sistema y el refuerzo de las medidas de seguridad para prevenir futuros ataques.
Mejore su inteligencia sobre amenazas
Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.
Más informaciónExplorando los casos de uso de la doble extorsión
Los ataques de doble extorsión se han convertido en una amenaza inquietante en el panorama de la ciberseguridad, lo que ha llevado a las empresas a reforzar sus defensas para mitigar los riesgos asociados a esta táctica insidiosa. A continuación se presentan algunos casos de uso reales de la doble extorsión, su importancia y las medidas que están tomando las empresas para protegerse contra estos riesgos:
El ataque del ransomware Maze
Maze Los operadores de ransomware fueron pioneros en la técnica de la doble extorsión. Se dirigían a empresas, encriptaban sus datos y luego amenazaban con publicar información confidencial en Internet a menos que se pagara un rescate.
- Importancia – Este ataque atrajo una gran atención y dio a conocer la doble extorsión, poniendo de relieve las posibles consecuencias del incumplimiento.
- Medidas de seguridad – Desde entonces, las empresas han aumentado su interés por la ciberseguridad, adoptando estrategias de copia de seguridad integrales, supervisando las fugas de datos y mejorando la capacidad de respuesta ante incidentes para contrarrestar amenazas similares a las de Maze.
El grupo de ransomware REvil
REvil es conocido por sus agresivas tácticas de doble extorsión. En una ocasión, atacaron a un destacado bufete de abogados, robaron datos confidenciales de clientes y amenazaron con divulgarlos.
- Importancia – Este ataque demostró que incluso sectores que no suelen asociarse con altos riesgos de ciberseguridad, como los servicios jurídicos, son vulnerables a la doble extorsión. Puso de relieve la necesidad de adoptar medidas integrales de ciberseguridad en todos los sectores.
- Medidas de seguridad – Los bufetes de abogados y empresas similares están invirtiendo cada vez más en formación sobre ciberseguridad para sus empleados, adoptando la autenticación multifactorial (MFA) y mejorando la seguridad de los puntos finales para protegerse contra ataques del tipo REvil.
La campaña de ransomware Ragnar Locker
Ragnar Locker se dirigió a grandes organizaciones, especialmente del sector sanitario. Cifraron archivos y robaron datos de pacientes, exigiendo un cuantioso rescate.
- Importancia – El sector sanitario ya se encontraba bajo presión debido a la pandemia de COVID-19, y estos ataques agotaron aún más los recursos, lo que suscitó preocupación por la privacidad de los pacientes y la seguridad de las infraestructuras sanitarias críticas.
- Medidas de seguridad – Las organizaciones sanitarias han reforzado su postura en materia de ciberseguridad mejorando la segmentación de la red, implementando controles de acceso robustos y realizando evaluaciones periódicas de ciberseguridad para frustrar los intentos de doble extorsión.
El ataque DarkTequila
DarkTequila era un troyano bancario que evolucionó para incluir componentes de ransomware y robo de datos. Los atacantes se dirigieron a instituciones financieras y redes corporativas, cifrando archivos y sustrayendo datos confidenciales.
- Importancia – Este ataque demostró la capacidad de adaptación de los ciberdelincuentes, que evolucionan sus tácticas con el tiempo. Las instituciones financieras, en particular, tuvieron que hacer frente a la creciente amenaza de la doble extorsión.
- Medidas de seguridad – Las instituciones financieras están implementando plataformas para compartir información sobre amenazas, mejorando los programas de formación de los empleados y realizando simulacros para prepararse ante posibles ataques de doble extorsión.
Grupo de ransomware Cl0p
El grupo Cl0p atacó a varias organizaciones, incluidas universidades. Cifraron archivos y amenazaron con filtrar en Internet datos confidenciales de investigaciones académicas.
- Importancia – Los ataques a instituciones educativas ponen de relieve el amplio alcance de los objetivos de la doble extorsión. En este caso, la posible pérdida de valiosos datos de investigación fue motivo de gran preocupación.
- Medidas de seguridad – Las universidades y las instituciones de investigación están reforzando sus defensas de ciberseguridad con un filtrado de correo electrónico mejorado, cifrado de datos y planes de respuesta ante incidentes para proteger su propiedad intelectual de ataques similares a los de Cl0p.
Para protegerse contra los riesgos de la doble extorsión, las empresas están tomando varias medidas proactivas:
- Estrategias de copia de seguridad integrales – Es fundamental realizar copias de seguridad periódicas de los datos aisladas de la red. Garantizan que las organizaciones puedan recuperar sus datos sin tener que pagar un rescate.
- Formación de los empleados – La formación en materia de ciberseguridad ayuda a los empleados a reconocer los intentos de phishing y otras tácticas de ingeniería social utilizadas en los ataques de doble extorsión.
- Seguridad de los puntos finales – Las soluciones robustas de seguridad de los puntos finalesson esenciales para detectar y prevenir infecciones de malware.
- Controles de acceso – La implementación del principio del privilegio mínimo (PoLP) garantiza que los usuarios tengan el nivel mínimo de acceso necesario para sus funciones.
- Planes de respuesta ante incidentes – Contar con planes de respuesta ante incidentes bien definidos permite a las empresas responder de manera eficaz a los ataques de doble extorsión, minimizando su impacto.
- Intercambio de información sobre amenazas – Colaborar con otros miembros del sector y compartir información sobre amenazas puede ayudar a las empresas a mantenerse informadas sobre las amenazas emergentes y las técnicas de ataque.
Conclusión
Los ataques de doble extorsión, en los que los ciberdelincuentes no solo cifran los datos, sino que también amenazan con filtrar información confidencial a menos que se pague un rescate, han aumentado los riesgos en el panorama actual de amenazas. Estos ataques aprovechan el temor de las organizaciones a las filtraciones de datos y al deterioro de su reputación, lo que obliga a muchas de ellas a pagar rescates incluso cuando disponen de copias de seguridad.
Los casos reales de doble extorsión subrayan la importancia crítica de la ciberseguridad para las empresas de todos los sectores. A medida que los atacantes perfeccionan continuamente sus tácticas, las organizaciones deben permanecer alerta, adaptar sus medidas de seguridad y adoptar una postura proactiva para proteger sus datos, su reputación y sus resultados.
Preguntas frecuentes sobre la doble extorsión
El ransomware de doble extorsión se produce cuando los atacantes cifran sus datos y roban copias de ellos antes del cifrado. Amenazarán con hacer pública su información confidencial si no paga el rescate. Esto les da una ventaja adicional, ya que, aunque tenga copias de seguridad para restaurar los archivos cifrados, pueden seguir exponiendo los datos robados. Es mucho más peligroso que los ataques de ransomware tradicionales.
En primer lugar, los atacantes obtienen acceso a su red a través de correos electrónicos de phishing o vulnerabilidades. Dedican tiempo a moverse por sus sistemas para encontrar datos valiosos. Antes de cifrar nada, extraen los archivos confidenciales y los transfieren a sus propios servidores.
A continuación, despliegan el ransomware para cifrar sus archivos y dejan una nota de rescate. Si no paga, publican los datos robados en la dark web.
El ataque sigue siete etapas principales. La primera etapa es la identificación y el reconocimiento de la víctima. La segunda etapa consiste en obtener acceso a su infraestructura a través de RDP o phishing. La tercera etapa consiste en establecer herramientas de acceso remoto como CobaltStrike.
La cuarta etapa es el escaneo de la red para mapear sus sistemas. La quinta etapa es el movimiento lateral a través de su red. La sexta etapa es la exfiltración de datos y la séptima etapa es el cifrado y las demandas de rescate.
No, las copias de seguridad por sí solas no pueden defenderse contra los ataques de doble extorsión. Si bien las copias de seguridad le ayudan a restaurar los archivos cifrados, no protegen contra el robo de datos. Los atacantes se han adaptado para contrarrestar las estrategias de copia de seguridad robando primero los datos.
Necesita un enfoque de seguridad de múltiples capas. Utilice cortafuegos, seguridad de correo electrónico y herramientas de detección de puntos finales para detener el acceso inicial. Implemente la segmentación de la red para limitar el movimiento de los atacantes. Implemente herramientas contra la exfiltración de datos que supervisen el tráfico saliente. Forme a los empleados para que identifiquen los intentos de phishing.
Utilice la autenticación multifactorial y los controles de acceso. También son fundamentales las auditorías de seguridad y las evaluaciones de vulnerabilidad periódicas. Supervise continuamente el tráfico de la red en busca de actividades sospechosas.
Los principales objetivos son los servicios sanitarios, la industria manufacturera y los servicios financieros. Los atacantes se centran en organizaciones con datos valiosos, como los hospitales, porque tienen poca tolerancia al tiempo de inactividad. Roban información de identificación personal, historiales médicos, números de la Seguridad Social y datos financieros.
Las bases de datos de clientes, el código fuente propietario y las comunicaciones internas también son objetivos. Los atacantes prefieren organizaciones que puedan permitirse pagar grandes rescates.
Utilice el cifrado de datos para proteger la información confidencial, incluso si es robada. Implemente herramientas de prevención de pérdida de datos para detectar transferencias no autorizadas. Implemente soluciones de detección y respuesta en los puntos finales. Cree planes de respuesta a incidentes para una rápida contención. Utilice la segmentación de la red para limitar los daños.
Es esencial realizar pruebas de copia de seguridad periódicas y almacenar los datos de forma segura fuera de las instalaciones. Supervise continuamente los indicadores de compromiso. No pague rescates, ya que no hay garantía de que los atacantes cumplan su palabra
