ransomware
En los últimos años, los ciberdelincuentes han cambiado de táctica considerablemente. Hasta hace unos pocos años, solían enviar troyanos en masa y esperaban en silencio a que alguien pagara, sabiendo muy bien que la mayoría de los objetivos ignorarían la demanda. Ahora parecen haber adoptado una estrategia diferente, volviéndose más centrados en el cliente, por así decirlo.
Los atacantes han pasado de infecciones masivas a infecciones dirigidas, sin duda reduciendo su área de cobertura y, por lo tanto, aumentando su determinación para no dejar escapar a nadie. Ahora, cada objetivo representa un gran premio y los ciberdelincuentes están buscando fuentes que puedan ejercer una gran influencia. Por ejemplo, este correo electrónico reciente que encontramos mientras investigábamos al grupo de ciberdelincuentes conocido como Darkside.
El mensaje de los chantajistas
El meollo del asunto
En resumen, el correo electrónico afirma que unos atacantes han infectado una organización que ofrece sus servicios de fotografía a escuelas y que, por tanto, almacena datos de estudiantes y empleados de estos centros. También afirma que las autoridades federales han prohibido a la organización pagar el rescate, aparentemente obligando a los ciberdelincuentes a llevar la negociación más allá.
Los juegos mentales de grupo Darkside
Los ciberdelincuentes se dirigían directamente a las escuelas cuyos datos de los estudiantes se habían visto comprometidos y que buscaban iniciar tantas acciones colectivas como fuera posible contra la empresa afectada. En sus comunicaciones, animaban a los centros a preparar comunicados de prensa y ponerse en contacto con los padres de los estudiantes para explicarles la situación. De lo contrario, no podrían “garantizar” que los datos de la escuela, incluidos los datos personales de los niños, no terminaran en la dark web. También enfatizaban que los datos incluían fotografías e información sobre los empleados que podrían ayudar a los pedófilos a crearse pases escolares falsos, poniendo así a los niños en mayor riesgo.
Por lo tanto, los atacantes amenazaron no solo con arruinar la reputación de la víctima, sino también con influir en sus clientes y socios para causar daños adicionales a través de ramificaciones legales potencialmente devastadoras.
Cómo actuar
Es importante comprender que, en realidad, satisfacer las demandas de los ciberdelincuentes no hará desaparecer el problema, ya que, como dijo recientemente Eugene Kaspersky, es imposible saber si realmente han eliminado los datos robados.
Por ello, aconsejamos a todas las organizaciones y empresas, pero especialmente a las que almacenan datos de socios o clientes, que se preparen con antelación para un posible ataque, para ello deben:
- Explicar la naturaleza de la amenaza a todos los empleados y formarlos para que reconozcan las acciones de los intrusos.
- Equipar todas los ordenadores y dispositivos con soluciones de seguridad de confianza que puedan derrotar a los troyanos de ransomware.
- Realizar un seguimiento de las actualizaciones de software disponibles e instalarlas con regularidad (los ataques de ransomware a través de vulnerabilidades han resultado especialmente destructivos en los últimos tiempos).
