ransomware

Cinco señales de que el ransomware se está volviendo una industria

Con un sitio web que parece representar a un proveedor de servicios online, DarkSide Leaks nos hace preguntarnos cuáles serán los próximos trucos de relaciones públicas de los cibercriminales.

Roman Dedenok
19 Abr 2021

La banda de ransomware DarkSide acaba de crear DarkSide Leaks, un sitio web de aspecto profesional que podría ser de un proveedor de servicios online. No satisfechos con las innovadoras tácticas que emplean para presionar a las víctimas, también están utilizando técnicas de marketing tradicionales. A continuación, te damos los cinco mejores ejemplos de cómo una banda hace la transformación de grupo criminal clandestino a empresa.

1. Contacto con los medios

Las empresas legítimas siempre proporcionan algún tipo de centro de prensa o zona de medios y los cibercriminales de DarkSide no iban a ser menos. Publican noticias sobre próximas filtraciones y dejan que los periodistas hagan preguntas en su centro de prensa.

Centro de prensa de DarkSide Leaks

Al menos, eso dicen. En realidad, el objetivo de DarkSide es hacer el mayor ruido online posible. Más atención de los medios implica un mayor miedo a DarkSide, lo que podría significar que las próximas víctimas decidan pagar en lugar de causar problemas.

2. Asociaciones con empresas de descifrado

Los extorsionistas de DarkSide buscan socios entre empresas proveedoras de servicios legítimos de descifrado de datos. El motivo aparente es que algunas víctimas no tienen sus propios departamentos de seguridad de la información, por lo que dependen de expertos externos para descifrar sus datos. DarkSide ofrece a estos expertos soporte técnico y descuentos proporcionales a la cantidad de trabajo que realicen.

Anuncio de búsqueda de socios

El truco aquí está claro. Los criminales no buscan víctimas que no puedan descifrar sus datos, buscan grandes ganancias de dinero. Las empresas que son propiedad del Estado pueden tener prohibido negociar con extorsionistas, pero tienen la libertad de colaborar con empresas que proporcionen servicios de descifrado. En estos casos estas actúan como intermediarios que pretenden restaurar los datos, sin embargo, lo que hacen es pagar a los criminales y quedarse con el cambio. Esto podrá ser legal, pero es colusión criminal.

3. Donaciones a organizaciones benéficas

Los extorsionistas realizan donaciones a organizaciones benéficas y las publican en DarkSide Leaks. ¿Por qué lo hacen? Pues parece que el fin es persuadir a quienes son reacios a pagar el rescate con el pretexto de que parte de ese dinero será destinado a una buena causa.

Beneficiencia

Aquí hay otro truco: en algunos países entre los que se incluyen los Estados Unidos, se prohíbe que las organizaciones benéficas acepten dinero proveniente de fuentes ilegales. Por lo tanto, realmente estos pagos no les llegarían.

4. Analítica empresarial

En un primer momento, solo los criminales y algunos expertos en seguridad de la información podían ver la información robada que los operadores del ransomware publicaban generalmente en foros de cibercriminales. Ahora, algunos cibercriminales han añadido datos y análisis de mercado y buscan una ventaja entre los contactos de la empresa, clientes, socios y la competencia antes de filtrar la información robada. Después, pueden enviar enlaces a los archivos robados directamente a las partes interesadas. De nuevo, la meta principal es causar el mayor daño posible al objetivo para incentivar el pago e intimidar a futuras víctimas.

Carta a las partes interesadas

5. Declaración de principios morales

DarkSide Leaks incluye una declaración de principios éticos similar a la que las empresas reales suelen incluir en sus sitios web. En esa sección, los cibercriminales afirman, por ejemplo, que nunca atacarían a empresas médicas, funerarias, instituciones educativas, agencias gubernamentales u organizaciones sin ánimo de lucro. En este caso, no estamos seguros de cuál es su objetivo. ¿Se supone que la víctima debería pensar: “Parece que tienen principios, tengo que pagarles”?

Una declaración de principios éticos Pero, como podemos ver en un reciente incidente que involucra la información de una escuela, esto es mentira. Técnicamente, el objetivo no fue una institución educativa, pero los delincuentes amenazaron con publicar la información de la escuela.

¿Qué hacer?

Está claro que los cibercriminales tienen recursos para invertir en análisis de mercado, en colaboraciones profesionales y en organizaciones benéficas, por lo que la forma de vencerlos es cortándoles su fuente de ingresos. Esto significa:

No pagar el rescate. Es una decisión arriesgada con posibles consecuencias, pero es la opción correcta. Consulta el reciente post de Eugene Kaspersky sobre por qué nunca debes ceder con el pago.
Instala una solución de seguridad de confianza en todos los dispositivos conectados para detener cualquier ataque de ransomware antes de que comience.

Análisis y respuesta rápida ante un ciberataque

Bloquear la amenaza no es suficiente: tienes que entender y reconstruir toda la cadena de infección.

Privacidad y niños

Cinco señales de que el ransomware se está volviendo una industria

1. Contacto con los medios

2. Asociaciones con empresas de descifrado

3. Donaciones a organizaciones benéficas

4. Analítica empresarial

5. Declaración de principios morales

¿Qué hacer?

El ataque a MOVEit y sus consecuencias

Así blanquean los ciberdelincuentes las criptomonedas

Análisis y respuesta rápida ante un ciberataque

Consejos

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Nueve hábitos online que deberías cambiar

6 consejos para conseguir trabajo en la industria de la ciberseguridad (y tener éxito)

Suscríbete para recibir nuevas publicaciones en tu buzón

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia