{"id":21070,"date":"2020-02-12T16:05:59","date_gmt":"2020-02-12T14:05:59","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=21070"},"modified":"2020-02-12T16:06:28","modified_gmt":"2020-02-12T14:06:28","slug":"ransomware-data-disclosure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/ransomware-data-disclosure\/21070\/","title":{"rendered":"Hacer copias de seguridad no es suficiente si los chantajistas publican tus datos"},"content":{"rendered":"

Las copias de seguridad han sido una de las medidas de protecci\u00f3n m\u00e1s efectivas y arduas contra el ransomware<\/em> cifrado. Pero ahora parece que los ciberdelincuentes comienzan a fijarse en aquellos que conf\u00edan en las copias de seguridad. Los creadores de varios programas de ransomware<\/em>, ante la negativa de las v\u00edctimas a realizar el pago del rescate, han comenzado a compartir sus datos online<\/em>.<\/p>\n

La publicaci\u00f3n de datos convierte la amenaza en realidad<\/h3>\n

Las amenazas de divulgaci\u00f3n de informaci\u00f3n confidencial no son nada nuevo. Por ejemplo, en el 2016, el grupo detr\u00e1s del cryptoware<\/em> que infect\u00f3 el sistema Ferroviario Municipal de San Francisco<\/a> intent\u00f3 utilizar este truco. Pero jam\u00e1s cumplieron sus amenazas.<\/p>\n

Maze fue el primero<\/h3>\n

A diferencia de sus antecesores, el grupo responsable del ransomware<\/em> Maze s\u00ed cumpli\u00f3 sus amenazas a finales del 2019, y en m\u00e1s de una ocasi\u00f3n. En noviembre, cuando Allied Universal se neg\u00f3 a pagar, los cibercriminales filtraron online 700 MB de sus datos <\/a>internos<\/u>, incluyendo contratos, acuerdos de resoluci\u00f3n, certificados digitales, etc. Los chantajistas dijeron que hab\u00edan publicado tan solo el 10 % de lo que hab\u00edan robado y amenazaron con publicar el resto si la v\u00edctima no cooperaba.<\/p>\n

En diciembre, los responsables de Maze crearon un sitio web<\/a> que usaron para publicar los nombres de las empresas atacadas, las fechas de infecci\u00f3n, las cantidades robadas, las direcciones IP y los nombres de los servidores infectados. Tambi\u00e9n cargaron all\u00ed algunos documentos. A fines de ese mismo mes, se publicaron online<\/em> 2 GB de archivos que al parecer hab\u00edan sido robados a la ciudad de Pensacola<\/a>, Florida. Los chantajistas afirmaron que hab\u00edan publicado la informaci\u00f3n para demostrar que no estaban alardeando.<\/p>\n

En enero, los creadores de Maze subieron<\/a> 9,5 GB de datos de Medical Diagnostic Laboratories y 14,1 GB de documentos del fabricante de cables Southwire, que anteriormente hab\u00eda demandado a los chantajistas por la filtraci\u00f3n de informaci\u00f3n confidencial. La demanda hizo que el sitio web de Maze cerrara, pero no tardar\u00e1 en volver.<\/p>\n

Los siguientes fueron Sodinokibi, Nemty, BitPyLock<\/h3>\n

Despu\u00e9s aparecieron otros ciberdelincuentes. El grupo que estaba detr\u00e1s del ransomware<\/em> Sodinokibi, empleado para atacar a la empresa financiera internacional Travelex en Nochevieja, se\u00f1al\u00f3 que su intenci\u00f3n era publicar los datos pertenecientes a los clientes de la empresa a principios de enero<\/a>. Los ciberdelincuentes dijeron tener m\u00e1s de 5GB de informaci\u00f3n, incluyendo fechas de nacimiento, n\u00fameros de seguridad social e informaci\u00f3n sobre tarjetas bancarias.<\/p>\n

En cuanto a Travelex, la empresa asegura que no ha visto pruebas de dicha filtraci\u00f3n y por ello se niega a pagar. Por su parte, los delincuentes se\u00f1alan que la empresa ha accedido a negociar.<\/p>\n

El 11 de enero, el mismo grupo subi\u00f3<\/a> enlaces a aproximadamente 337 MB de datos en un foro de hackers<\/em> y se\u00f1alaron que los datos pertenec\u00edan a la empresa Artech Information Systems, que se hab\u00eda negado a pagar el rescate. Los ciberdelincuentes dijeron que los datos subidos \u00fanicamente representaban una fracci\u00f3n de lo que hab\u00edan robado y afimaron que su cometido era vender el resto, no publicarlo, a menos que las v\u00edctimas cumplieran.<\/p>\n

Los creadores del malware<\/em> Nemty ser\u00edan los siguientes en comunicar<\/a> sus planes para publicar los datos confidenciales de quienes no les hab\u00edan pagado. Dijeron que su cometido era crear un blog<\/em> donde publicar\u00edan por partes los documentos internos de las v\u00edctimas que se hab\u00edan negado a cumplir con sus exigencias.<\/p>\n

Los operadores del ransomware<\/em> BitPyLock\u00a0 su sumaron a la tendencia<\/a> al a\u00f1adir en la nota de rescate la promesa de que divulgar\u00edan los datos confidenciales de sus v\u00edctimas. A pesar de que no lo han hecho a\u00fan, tambi\u00e9n cabe la posibilidad de que BitPyLock haya robado informaci\u00f3n.<\/p>\n

No se trata de un simple ransomware<\/em><\/h3>\n

Las funciones avanzadas a\u00f1adidas a los programas de ransomware<\/em> no son nada nuevo. Por ejemplo, en el 2016 el troyano Shade instalaba herramientas de administraci\u00f3n remota<\/a>, en lugar de cifrar los archivos, si descubr\u00eda que se hab\u00eda topado con un equipo destinado a la contabilidad. CryptXXX cifr\u00f3 archivos y rob\u00f3 Bitcoin y las credenciales de inicio de sesi\u00f3n de las v\u00edctimas<\/a>. El grupo responsable de RAA equip\u00f3 algunas versiones del malware<\/em> con el troyano Pony<\/a>, cuyo objetivo eran las credenciales de inicio de sesi\u00f3n.\u00a0 La capacidad de robo de datos del ransomware<\/em> no deber\u00eda sorprendernos, especialmente ahora que las empresas reconocen la necesidad de crear copias de seguridad de su informaci\u00f3n.<\/p>\n

Es preocupante que las copias de seguridad no ofrezcan una defensa contra estos ataques. Si tus equipos se infectan, no existe modo alguno de evitar las p\u00e9rdidas, que no se limitar\u00e1n necesariamente al pago de un rescate, pues los chantajistas no ofrecen ninguna garant\u00eda. La \u00fanica manera de protegerse es impedir que el malware<\/em> penetre en tus sistemas.<\/p>\n

C\u00f3mo protegerte contra el ransomware<\/em><\/h3>\n

A\u00fan queda por descubrir si esta nueva tendencia de ransomware<\/em> es efectiva o acabar\u00e1 por extinguirse. Por el momento estos ataques est\u00e1n en alza, por lo que necesitas mantenerte protegido. Esto no solo implica evitar el da\u00f1o en la reputaci\u00f3n y la divulgaci\u00f3n de los secretos comerciales, ya que, si permites que alguien robe los datos personales de un cliente, tendr\u00e1s que pagar multas muy elevadas. Por tanto, te ofrecemos algunos consejos:<\/p>\n