Pandillas de ransomware que filtran información financiera confidencial para extorsionar a las organizaciones

Los atacantes amenazarán con divulgar datos confidenciales que podrían afectar el precio de las acciones de una empresa para presionarlos a pagar el rescate, dice el FBI.

Imagen: Getty Images / iStockphoto

Los operadores de ransomware se rebajarán a cualquier táctica necesaria para intentar obligar a sus víctimas a aceptar las demandas de rescate. Una táctica popular es la doble extorsión en la que los atacantes amenazan con publicar los datos robados a menos que se pague el rescate. Ahora, algunas bandas criminales han ideado un giro en ese tipo de táctica. En un nuevo informe publicado el lunes, el FBI advierte sobre ataques en los que los grupos de ransomware filtrarán información confidencial que podría afectar el precio de las acciones de una empresa si el rescate no se paga.

VER: Infografía: las 5 fases de un ataque de ransomware (TechRepublic)

Antes de lanzar un ataque real, los operadores de ransomware investigarán a la víctima prevista para encontrar información pública y no pública que puedan aprovechar. Dicha información podría incluir detalles sobre fusiones o adquisiciones inminentes y otras acciones comerciales o financieras sensibles.

A menos que el rescate se pague después del ataque, los delincuentes amenazan con filtrar esta información públicamente, lo que afecta el precio de las acciones o genera una reacción violenta entre los inversores.

“No es inusual que los atacantes sepan cuánto efectivo tiene disponible, cuánto seguro tiene e incluso si está involucrado en una fusión o adquisición, ya que revisan los documentos financieros antes de liberar el malware de cifrado”, dijo KnowBe4 Security Awareness Abogado Erich Kron. “En algunos casos, estos grupos esperarán hasta un fin de semana festivo cuando es probable que la dotación de personal sea escasa y los tiempos de reacción se vean más lentos por la gente que abandona la ciudad o no está disponible”.

VER: Los piratas informáticos mejoran en su trabajo, pero la gente mejora en la prevención (TechRepublic)

En su informe, el FBI describió algunos incidentes reales de ransomware en los que los atacantes utilizaron o amenazaron con utilizar esta táctica.

En 2020, un operador de ransomware publicó una nota en un foro de piratería ruso instando a los piratas informáticos a utilizar la bolsa de valores NASDAQ para extorsionar a las empresas públicas. Un par de meses después, un atacante de ransomware que negociaba con una víctima les envió la siguiente advertencia: “También hemos notado que tienen existencias. Si no nos contratan para la negociación, filtraremos sus datos al nasdaq y veremos qué va (sic) sucederá con sus acciones “.

También en 2020, al menos tres empresas públicas en los EE. UU. Involucradas en fusiones y adquisiciones se vieron afectadas por ataques de ransomware mientras realizaban conversaciones para concretar los detalles. Para dos de estas empresas, las conversaciones fueron privadas.

En noviembre de 2020, un análisis de un troyano de acceso remoto denominado Pyxie RAT, que a menudo precede a un ataque de ransomware, encontró varias palabras clave en una búsqueda de la red de una víctima. Estas palabras incluían 10-q1, 10-sb2, n-csr3, nasdaq, marketwired y newswire.

En abril de 2021, los operadores de ransomware de Darkside publicaron una actualización en su sitio de blogs con una táctica diseñada para dañar el precio de las acciones de una empresa. La publicación decía: “Ahora nuestro equipo y socios cifran muchas empresas que cotizan en NASDAQ y otras bolsas de valores. Si la empresa se niega a pagar, estamos listos para proporcionar información antes de la publicación, para que sea posible ganar en el precio rebajado de las acciones. Escríbanos en ‘Contáctenos’ y le proporcionaremos información detallada. “

VER: Ataque de ransomware: por qué una pequeña empresa pagó el rescate de 150.000 dólares (TechRepublic)

La decisión de pagar el rescate es una decisión difícil que toda organización victimizada debe tomar. En su informe, el FBI reiteró que no recomienda pagar el rescate, ya que al hacerlo fomenta este tipo de delincuentes y no garantiza que los archivos cifrados serán descifrados. Sin embargo, sea cual sea la decisión que tome una organización, el FBI aún alienta a las víctimas a reportar cualquier incidente a la policía.

Además, para proteger a su organización de los ataques de ransomware en primer lugar, el FBI ofrece los siguientes consejos:

  • Realice una copia de seguridad de sus datos críticos y mantenga las copias de seguridad fuera de línea.
  • Asegúrese de que las copias de seguridad de sus datos críticos estén almacenadas en la nube o en un dispositivo externo.
  • Asegúrese de que sus copias de seguridad sean seguras y de que los datos no se puedan modificar ni eliminar del origen de los datos originales.
  • Instale y actualice software antivirus y antimalware en todos los sistemas y hosts.
  • Utilice únicamente redes seguras y evite las redes Wi-Fi públicas y no seguras.
  • Configure la autenticación de dos factores para todas las credenciales de la cuenta. Además, use aplicaciones de autenticación en lugar de verificación de correo electrónico para frustrar a los atacantes que ponen en peligro las cuentas de correo electrónico.
  • Nunca haga clic en archivos adjuntos o enlaces inesperados o no solicitados en correos electrónicos.
  • Habilite el acceso con privilegios mínimos para archivos, directorios y recursos compartidos de red.

“Las organizaciones, especialmente aquellas que están atravesando momentos delicados como aquellos en torno a una fusión o adquisición, deben enfocarse en prevenir estos ataques tratando con los vectores de ataque más comunes para ransomware, correos electrónicos de phishing y portales de acceso remoto”, dijo Kron. “Capacitar a los usuarios y probarlos con ataques de phishing simulados, lo que les permite ser más competentes para detectar e informar estos ataques, es un método clave para reducir el riesgo de infección, al igual que garantizar que los portales de acceso remoto sean monitoreados para detectar ataques de fuerza bruta y que requieran múltiples -factor de autenticación para los inicios de sesión de cualquier usuario “.

Ver también

  • Los atacantes de ransomware ahora están usando tácticas de extorsión triple (TechRepublic)
  • Ataque SolarWinds: los expertos en ciberseguridad comparten las lecciones aprendidas y cómo proteger su negocio (TechRepublic)
  • Cómo prevenir otro ataque de ransomware Colonial Pipeline (TechRepublic)
  • La tecnología de ciberseguridad no mejora: ¿cómo se puede solucionar? (TechRepublic)
  • Política de protección contra robo de identidad (TechRepublic Premium)
  • Ciberseguridad y guerra cibernética: más cobertura de lectura obligada (TechRepublic en Flipboard)
  • Leave a Comment