Hace unos años veíamos como se iniciaba una nueva ola y tendencia en los ataques de ransomware. En los ataques a la Ciudad de Pensacola y la sinagoga de New Jersey no sólo se habían cifrado los datos, sino que se había exfiltrado y los atacantes estaban pidiendo un rescate por no hacerlos públicos.
El impacto de este tipo de ataques va más allá del cifrado y la necesidad de recuperar backups sino que ponen a las empresas en el peligro de sufrir pérdidas económicas y de reputación relevantes derivadas de demandas, litigios e incumplimiento de regulaciones.
En los últimos años vemos como esta tendencia ha ido más allá e incluso algunas organizaciones han decidido pagar a los atacantes para evitar sanciones o litigios.
La publicación de datos de empresas por los activistas DDoSecrets
Los activistas conocidos como “Distributed Denia lof Secrets” DDoSecrets publicaron en su web más de 1 terabyte de datos sensibles que fueron exfiltrados en ataques de ransomware y han sido recogidos de sitios de la “dark web”. Estos datos incluyen más de 750.000 emails y documentos de diferentes compañías. Adicionalmente este grupo de activistas por la transparencia está ofreciendo de forma privada cantidades masivas de datos de empresas a un conjunto seleccionado de periodistas e investigadores académicos. Los datos mencionados provienen de empresas de diferentes sectores como el financiero, farmacéutico, energía, fabricación, retail, software, inmobiliario.
Según DDoSecrets, si existe información, datos técnicos, especificaciones y otros tipos de documentos de una compañía de cualquier sector que puedan acelerar el progreso de una determinada industria o hacer más segura la vida de la gente, tienen el deber de hacer disponible esta información a periodistas y personas del mundo académico, de manera que sepan la forma opaca en la que operan típicamente estas compañías.
1.2 GB de datos publicados de la Agencia de Protección Medioambiental Escocesa
La Agencia de Protección Mediambiental Escocesa (SEPA; Scottish Environment Protection Agency) confirmó que, tras negarse a pagar un rescate, un grupo organizado de hackers publicó 1.2 GB de datos extraídos como resultado de un ataque de ransomware. Según la agencia se robaron al menos 4.000 ficheros que incluían información personal de los trabajadores, información de compras, documentos de proyectos en curso, e información relativa a planes corporativos de la agencia.
Datos publicados tras exfiltraciones en empresas de gestión financiera y patrimonial
A finales del año 2020, se encontraron datos robados de diferentes empresas de gestión financiera y patrimonial publicados en sitios operados por bandas de ransomware Sodinokibi y NetWalker. La forma de operar es la que ya hemos comentado, primero se roban los datos confidenciales de estas organizaciones para posteriormente pedir un rescate por no publicar estos datos. Estos datos contienen ficheros de empleados, auditorías, documentos financieros, datos de nóminas, archivos de clientes y todo tipo de información confidencial. Incluso la banda criminal de Sodinokibi subasta estos datos en diferentes foros en la Dark Web.
Ataques dirigidos a ejecutivos para extraer información confidencial
Bandas de ransomware están priorizando entre sus objetivos equipos o dispositivos de altos ejecutivos de compañías para obtener información sensible que pueden utilizar posteriormente para extorsionar a las compañías y obtener jugosos rescates. Según ZDNet, descubrieron esta táctica tras hablar con una compañía que había pagado un rescate multi-millonario a la banda de ransomware Clop. Tras varias llamadas, descubrieron que éste no era un caso aislado.
Este grupo se centra en extraer ficheros e emails de directivos que puedan ser útiles para amenazarles y poner a la Dirección de la compañía bajo presión con el objetivo de conseguir un rescate. Los ataques de ransomware van normalmente a por las “joyas de la corona” o aquellos datos que más valor tienen para la compañía, por lo que no es de extrañar que tarde o temprano centrasen sus objetivos en el colectivo de directivos de las compañías.
El 27% de las organizaciones decide pagar el rescate
Según una encuesta realizada por el fabricante de seguridad Crowdstrike, entre todas las organizaciones atacadas por un ransomware, un 27% decide pagar el rescate, siendo la media 1.1M USD. Muchas deciden hacer el pago para evitar multas por incumplimiento de regulaciones, o enfrentarse a litigios y demandas millonarias o simplemente para evitar mayores escándalos que puedan dañar seriamente su reputación.
Por ejemplo, el Hospital Universitario de New Jersey pagó 670K USD a la banda de ransomware SunCrypt para prevenir la publicación de 240 GB de datos robados incluyendo datos de pacientes. Después de que publicasen 48.000 documentos pertenecientes al hospital, un representante del mismo contactó con los atacantes vía su portal de pago en la dark web para negociar el cese de nuevas publicaciones de datos de pacientes.
¿Pagar o no pagar el rescate?
Por supuesto, el FBI desaconseja completamente pagar un rescate, en parte porque no garantiza que la organización vuelva a tener acceso a sus datos o estos sean publicados. Además, anima a los atacantes a aumentar sus acciones contra otras organizaciones y seguir lucrándose con la extorsión. En cualquier caso, el FBI comprende que cuando las empresas no son capaces de seguir con sus funciones evaluarán todas las opciones para proteger a sus accionistas, empleados y clientes. Por otro lado, se levanta la polémica de si pagar un rescate puede violar leyes de financiación de actividades terroristas o blanqueo de capitales.
El cifrado de datos como medio para protegerse de una ataque de ransomware
El cifrado de datos protege la información allí donde esta se mueva. Si los datos han sido cifrados, estos serán inaccesibles o inútiles para los cibercriminales. Los datos podrán ser recifrados por el malware, pero si son extraídos, no podrán publicarse como está sucediendo en los últimos ataques donde se extraen datos en claro y se extorsiona con la potencial publicación de los mismos.
Las organizaciones, no sólo deben tener en cuenta una solución de cifrado tradicional para protegerse de estos ataques, sino una que permita tener un control de acceso e identidad, y posibilite restringir los permisos de acceso (Ver, editar, imprimir, etc.).
¿Cómo puede ayudar SealPath a prevenir los efectos de un ataque de ransmoware?
Con una solución de seguridad centrada en los datos como SealPath:
- Los datos permanecerán protegidos en reposo, en tránsito y en uso.
- Es posible limitar los permisos de acceso, de forma que si un documento es compartido con un tercero, este podrá abrirlo y trabajar con el documento sin necesidad de desprotegerlo, con lo cuál las copias permanecen cifradas allí donde se compartan.
- Es posible controlar la identidad de las personas que pueden acceder a un determinado fichero. De este modo, si una identidad ha podido verse comprometida es posible revocar el acceso a los documentos a la misma.
SealPath ofrece además una auditoría completa de accesos a la información protegida, por lo que se podrá ver la actividad de los usuarios sobre la documentación sensible de la organización. Si quiere saber más, haga click a continuación, y verá las funcionalidades de la solución de protección de datos de SealPath.
No espere a tener que hacerse la pregunta de si merece la pena o no pagar el rescate, ponga antes los medios para tener sus datos seguros y bajo control en cualquier ubicación y a salvo de posibles ataques de ransomware. Contacte aquí con nuestro equipo y te asesoraremos lo antes posible.
