Ransomware y otras formas de extorsión cibernética son eficaces para los malos. Aprenda por qué, y cómo no caer presa de los extorsionadores digitales.
El término extorsión fue acuñado hace más de 700 años, lo que, en sí mismo, habla del poder de permanencia del crimen. También parece que Internet y el estilo de vida digital de hoy en día conducen al éxito de la extorsión.
Los autores Rick Holland, Mark Tibbs, Simon Tame y Michael Marriott, investigadores de Digital Shadows, en la presentación de su trabajo Ransomware and Other Cyber Extortion: La prevención y mitigación de ataques cada vez más dirigidos (PDF) afirma que la extorsión ha abrazado el nuevo y valiente mundo digital y, si el aumento de la frecuencia de casos reportados es un indicio de ello, es una feliz combinación para los chicos malos.
VER: Ransomware 2.0 está a la vuelta de la esquina y es una amenaza masiva para la empresa.
Los investigadores entonces miran los diferentes tipos de extorsión cibernética. Estos son crímenes que:
- amenazan con desencadenar un ataque de denegación de servicio distribuida (DDoS);
- liberar datos potencialmente perjudiciales para el público; y
- usar el software de rescate para mantener los datos de la víctima como rehenes.
Definición de la extorsión
El sitio web de FindLaw define la extorsión como: «La obtención de propiedad o dinero por casi cualquier tipo de fuerza, amenaza de violencia, daño a la propiedad, daño a la reputación o acción desfavorable del gobierno. Aunque generalmente se considera como una forma de robo o hurto, la extorsión difiere del robo en que la amenaza en cuestión no representa un peligro físico inminente para la víctima».
Más información sobre ciberseguridad
La extorsión puede tener lugar por teléfono, correo postal, texto, correo electrónico, computadora o dispositivo de comunicación inalámbrica. Algo interesante a tener en cuenta es que si el comercio interestatal se utiliza en la extorsión, se convierte en un delito federal, mientras que cuando la extorsión se comete dentro de los límites de un estado se considera un delito grave.
Tres tipos de extorsión cibernética
Los autores del artículo examinan cada uno de los tres tipos de extorsión cibernética: Extorsión basada en DDoS, liberación y extorsión de datos comprometidos, y software de rescate.
Extorsión basada en DDoS
Los ataques DDoS, en general, se dirigen a empresas que tienen sitios web críticos para el negocio, donde la denegación de servicio tendrá un efecto significativo en la capacidad operativa de la empresa (impacto en los flujos de ingresos.
«Un actor particularmente conocido en este espacio es DD4BC, un grupo que estuvo activo entre julio de 2014 y enero de 2019», escriben los autores del artículo. «Su proceso de tres etapas fue típico y es usado por la mayoría de los actores de extorsión basados en DDoS.»
Los pasos incluyen:
- enviar un correo electrónico, en el que se solicita una suma de dinero, a una empresa u organización objetivo;
- exigir a las víctimas que paguen un rescate, normalmente en Bitcoins, para evitar la amenaza de un ataque DDoS sostenido; y
- en algunos casos, como cuando se dirige a los proveedores de alojamiento, el actor de la amenaza añade una presión adicional al utilizar como amenaza la publicidad negativa asociada con el tiempo de inactividad del servicio.
VER: El FBI advierte sobre el aumento de los casos de extorsión por DDoS (ZDNet)
Compromiso con la divulgación de datos y la extorsión
La amenaza de divulgar al público información potencialmente dañina sobre una persona u organización no es nueva. Sin embargo, la facilidad con la que se están robando los datos significa que hay un tesoro de datos entre los que los extorsionistas digitales pueden elegir.
Holland, Tibbs, Tame y Marriott mencionan que un grupo llamado Rex Mundi ha tenido éxito en la obtención de datos confidenciales y ha amenazado con divulgarlos a menos que se cumplan sus demandas. Una de las más famosas extorsiones cibernéticas del grupo fue contra Domino’s Pizza en junio de 2014 en Europa. El escritor colaborador de ZDNet Liam Tung escribe que Rex Mundi tuvo acceso a más de medio millón de registros de clientes y exigió 30.000 euros (40.000 euros estadounidenses) o la información personal se publicaría en línea.
Ransomware
Ransomware es, con diferencia, el jugador más eficaz y dañino de los tres. En cuanto a por qué, los autores del documento afirman que «Ransomware es una amenaza en constante evolución que requiere algo más que conciencia para ser abordada. Requiere una combinación de controles técnicos y de procesos, así como la participación de todos los empleados, ejecutivos y equipos de seguridad de TI».
Ransomware es cualquier software malicioso (malware) que restringe el acceso al sistema informático que ha infectado. Ransomware puede impedir el acceso a archivos, aplicaciones y al sistema operativo. Una vez que los datos de la víctima y/o el ordenador están bajo el control del extorsionista, el código malicioso instalado exige digitalmente a la víctima la restitución financiera para recuperar el control del ordenador.
VER: Infografía: Las 5 fases de un ataque de ransomware
Una preocupación que no se menciona con frecuencia es la falta de garantías de que el atacante finalmente liberará los recursos afectados.
Los autores del artículo destacan los siguientes cinco tipos de programas de rescate de gran éxito: Locky, Cerber, CryptoWall, SamSam y CryptXXX. Su éxito se atribuye a la inclusión de nuevas técnicas para entregar el malware, para encriptar los recursos de la víctima y para garantizar el anonimato en el proceso de pago.
Dirigirse a víctimas específicas
Como todo el malware, la parte difícil es conseguir que la víctima haga algo para que el código malicioso pueda ser instalado. Los atacantes que tratan con el software de rescate ahora están tomando prestada una página de otros desarrolladores de malware y se dirigen a individuos y organizaciones específicas; esto permite a los atacantes afinar su contacto inicial con la víctima para que parezca lo más oficial posible. Estos son algunos ejemplos.
- Locky entrega a través de correos electrónicos de spam que pretenden incluir facturas relevantes para la organización objetivo.
- SamSam distribuye a través de servidores de aplicaciones JBoss vulnerables y de cara al público, y al igual que el phishing submarino es uno de los enfoques más dirigidos a la entrega de software de rescate.
- CryptoWall entrega a través de correos electrónicos de phishing submarino altamente dirigidos que incluyen el nombre, el título del puesto y la información relevante para el puesto de trabajo del destinatario.
Cómo evitar la extorsión cibernética
La DDoS y la extorsión por liberación de datos son difíciles de mitigar después de que el ataque está en marcha. Los autores sugieren que «El conocimiento avanzado de las demandas típicas de un actor de amenazas y sus capacidades es valioso para las organizaciones que necesitan tomar decisiones complejas si se les presenta un escenario de este tipo».
Los autores señalan que la resolución de las amenazas del software de rescate es más compleja. El mejor consejo ofrecido por Holland, Tibbs, Tame y Marriott es entender cómo se instala el ransomware y eliminar esas vías:
- sensibilizar al personal sobre la forma en que se producen los ataques con programas de rescate e introducir controles técnicos y de procedimiento para prevenir la infección; y
- el desarrollo de procedimientos de planificación del software de rescate en caso de infección y la garantía de que las copias de seguridad se mantienen y están separadas de la red.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves