Contenido
Cuando se trata de ataques de ransomware, algunos datos son más valiosos para los grupos de ransomware que otros. Un nuevo estudio de investigación de Rapid7, Puntos débiles: tendencias de divulgación de datos de ransomwareproporciona información sobre los datos que valoran los grupos de ransomware y cómo utilizan los datos para ejercer presión.
Los ataques de doble extorsión han aumentado en los últimos años. Los ataques de ransomware tradicionales cifran los datos en los sistemas atacados para extorsionar a empresas y particulares. El aumento de las contramedidas, incluido el uso de copias de seguridad, ha reducido la eficacia de los ataques de ransomware tradicionales.
Si hay copias de seguridad de datos disponibles, las empresas podrían usarlas para restaurar los datos sin tener que pagar un rescate. Sin un apalancamiento adicional, los grupos de ransomware se quedarían con las manos vacías después del ataque.
Los ataques de doble extorsión combinan la etapa de encriptación con otra etapa, que ocurre antes de que se encripten los datos. Los grupos analizan archivos y documentos en la red atacada para robar datos. Los datos aún se mantienen como rehenes, ya que están encriptados en la segunda etapa, pero los datos robados pueden usarse como palanca en las negociaciones de ransomware. Los grupos de ransomware pueden amenazar con divulgar los datos al público o venderlos a las partes interesadas. Si las negociaciones fallan, los datos pueden venderse en la dark web.
Los estudios de ransomware se publican con frecuencia. Hemos cubierto dos aquí en Ghacks solo en los últimos dos meses. El primero, confirma que los ataques de ransomware y los pagos de rescate están aumentando. La segunda, que el pago del rescate es marginal en comparación con los costos generales de los ataques de ransomware.
Divulgación de datos de ransomware
Rapid7 analizó 161 divulgaciones de datos entre abril de 2020 y febrero de 2022. Muchos ataques de ransomware ocurren en el transcurso de días, semanas o incluso meses. El lapso de tiempo les da a los atacantes tiempo para recopilar y filtrar datos de redes comprometidas antes de ejecutar tareas de cifrado.
Algunos datos son más valiosos para los grupos de ransomware que otros. Los datos que pueden usarse como palanca, por ejemplo, archivos de pacientes, documentos financieros o archivos de propiedad intelectual, son más valiosos en promedio que otros tipos de datos que los atacantes pueden descubrir durante los ataques.
Los grupos de ransomware utilizan los datos extraídos de varias formas. Además de los usos obvios para obtener un acceso aún más profundo a la red de la organización, los datos extraídos también pueden usarse como palanca o venderse en los mercados de la web oscura si fallan las negociaciones de ransomware.
El tiempo adicional que los atacantes pasan en una red brinda a las organizaciones la oportunidad de detectar el compromiso antes de que los datos estén completamente encriptados.
Las divulgaciones de datos de ransomware ocurren en dos etapas:
- Etapa 1: se presenta a la organización una muestra de los datos robados; esto se hace para mejorar la credibilidad y como palanca, ya que más divulgaciones de datos pueden resultar perjudiciales para la organización. Los datos se proporcionan a la organización solo por lo general, pero también pueden publicarse públicamente en Internet.
- Etapa 2: Los datos se venden o publican, si las negociaciones con la víctima fueron infructuosas.
Rapid7 señala en el análisis que las divulgaciones de datos son indicadores de tendencias generales de ransomware. Los investigadores de la compañía pudieron determinar lo siguiente con base en el análisis de las 161 revelaciones de datos:
- Tipos más comunes de atacantes de datos revelados
- Cómo difieren las divulgaciones de datos entre industrias y grupos de actores de amenazas.
- Cuota de mercado actual de ransomware entre los actores de amenazas.
Conjuntos de datos en divulgaciones de datos de ransomware
No todos los datos tienen la misma importancia para las organizaciones, y la divulgación de datos puede diferir mucho entre sectores. Lo que más se pensó después fueron los datos de clientes y pacientes en ataques a servicios financieros, información financiera y contable en ataques de atención médica y farmacéutica, y PII y recursos humanos de empleados en servicios financieros.
En particular, los datos de propiedad intelectual se utilizaron en el 43% de las divulgaciones farmacéuticas. Para todas las industrias, la información financiera y contable fue la que más se utilizó, seguida de los datos de clientes y pacientes, y los datos de PII y recursos humanos de los empleados.
Las divulgaciones de datos de clientes dominaron el sector de servicios financieros, seguidas por los datos de RRHH y PII de los empleados, y los documentos financieros y contables internos. El enfoque en los datos de los clientes sugiere que los datos de los clientes suelen ser más valiosos para los grupos de ransomware que otros tipos de datos. Rapid7 sugiere que la amenaza de divulgar datos de clientes suele ser poderosa, ya que podría afectar la percepción pública de la organización.
Los archivos financieros y contables internos se divulgaron principalmente en el sector de la salud y la industria farmacéutica, y no en las divulgaciones del sector financiero. Los datos de clientes y pacientes se divulgaron en más del 50% de todos los casos, pero no tanto como en los servicios financieros.
La alta frecuencia con la que los datos de clientes y pacientes aparecen en estas divulgaciones sugiere que los atacantes pretenden ejercer una mayor presión sobre las víctimas con: a) las consecuencias legales y reglamentarias más graves de las filtraciones de datos de pacientes para hospitales y otros proveedores de atención médica y; b) la mayor utilidad de los conjuntos de datos de pacientes más detallados y granulares para los delincuentes por robo de identidad y otras formas de fraude.
Las divulgaciones del sector farmacéutico tuvieron una alta frecuencia de archivos de propiedad intelectual. Las compañías farmacéuticas «dependen en gran medida de grandes inversiones en propiedad intelectual», lo que hace que estos datos sean valiosos para los actores de amenazas. Las divulgaciones de propiedad intelectual se incluyeron en solo el 12 % de las divulgaciones de todas las muestras.
Tendencias de grupos de actores de amenazas
Los grupos de actores de amenazas utilizan diferentes estrategias cuando se trata de ataques de doble extorsión. Algunas de las diferencias pueden explicarse por los datos que los atacantes descubrieron durante los ataques. Si un determinado tipo de datos no se encuentra o no se puede filtrar, es posible que se hayan utilizado otros datos como palanca.
Los cuatro grupos principales del análisis utilizaron diferentes tipos de datos en las divulgaciones. Los datos de finanzas y cuentas fueron divulgados al 100 % por el grupo Darkside, pero solo el 30 % de las veces por CI0p. Del mismo modo, Darkside reveló datos de ventas y marketing, y de Pii y recursos humanos de los empleados el 67 % de las veces, mientras que otros grupos solo el 27 % o el 30 % de las veces.
Recomendaciones y sugerencias de Rapid7
Cada vez más organizaciones utilizan copias de seguridad para contrarrestar los ataques tradicionales de ransomware. Las copias de seguridad ayudan, pero no son 100% efectivas por sí solas cuando se trata de ataques de doble extorsión. Para contrarrestar los ataques de doble distorsión, Rapdi7 sugiere que las organizaciones utilicen el cifrado de archivos, segmenten las redes de la empresa y hagan que «cualquier archivo sea ilegible para ojos no autorizados».
El informe puede ayudar a las organizaciones a determinar los activos de alta prioridad para protegerlos mejor contra posibles ataques de ransomware.
Las organizaciones, finalmente, también pueden usar los hallazgos del informe en la preparación para «anticipar qué tipos de
es más probable que aparezcan los archivos».
Ahora usted: ¿cómo protege sus sistemas contra ataques de ransomware? (a través de rapdi7)