EquipoContacto

Ransomware

GuillermoGuillermo

En sus inicios los ransomware eran distribuidos por cibercriminales de manera oportunista, sin tener en cuenta la naturaleza del objetivo ni su identidad. Fue a partir de 2016 cuando esta tendencia cambió, con la llegada de “SamSam” y se empezó a utilizar como una herramienta para extorsionar a empresas e instituciones y no tanto al usuario promedio.

Este malware tiene como objetivo cifrar los archivos del sistema infectado, haciendo que sea inaccesible totalmente. A diferencia de otros malware que imposibilitan el acceso a los archivos, este sí que permite recuperarlos, siempre y cuando se tenga acceso a la clave de descifrado, clave que el adversario da a cambio del pago del rescate. Este tipo de actuación es conocida como doble extorsión, es decir: se produce un primer nivel de presión por la exfiltración de información sensible y otro nivel por el cifrado de los archivos.

A día de hoy, el ransomware es el tipo de malware con mayor impacto para todos los sectores, siendo la herramienta preferida de los grandes grupos criminales organizados (OCGs), destacando aquellos que forman parte del “Big Game Hunting” como Cl0p, LockBit, ALPHV… etc. Este término se refiere a aquellos ataques que se realizan contra organizaciones multinacionales o nacionales de alto nivel, ya sean agencias gubernamentales, hospitales, instituciones financieras o corporaciones multinacionales.

Si bien hay diferentes tipos de ransomware según el efecto que produce en el sistema comprometido, el más comúnmente empleado por los adversarios es el ransomware de cifrado o “Encrypting Ransomware”, identificado en bajo T1486 dentro de la táctica “Actions on Objectives”, en el marco MITRE ATT&CK.

Triple Extorsión:

Añadiendo aún más complejidad a este fenómeno, surgieron técnicas conocidas como “triple extorsión”. En estas, el adversario también se “enfoca” en terceros, como clientes de la víctima, proveedores de servicios y socios comerciales que resultan afectados de manera indirecta por los ataques. Los adverasrios intensifican la presión sobre la víctima original al ponerse en contacto directamente con estas entidades o incluso llevando a cabo ataques disruptivos de denegación de servicio distribuido (DDoS) durante las negociaciones de rescate. Grupos como DarkSide o REvil fueron algunos de los pioneros que empezaron a llevar a cabo estas estrategias.

Bibliografía
Pirámide del dolorAnterior

Pirámide del dolor

Secure Access Service Edge
Siguiente

Secure Access Service Edge