Hoy en día, el ransomware se alza hoy en día como una de las principales ciberamenazas, un malware cuyo nombre proviene de las palabras inglesas "ransom" (rescate) y "ware" (software), y que comienza infectando un dispositivo y cifrando los datos que contiene los archivos del usuario... una vez que los archivos están cifrados, el acceso a ellos queda bloqueado y la víctima recibe una notificación exigiendo el pago de un rescate para recuperar el acceso.
Eso resume, a grandes rasgos, el funcionamiento del ransomware... pero han ido surgiendo nuevas variantes de esa idea, cada una más peligrosa que la anterior. Y, hoy en día, destaca especialmente en ese aspecto el ransomware de doble extorsión.
¿Qué es?
Se llame de 'doble extorsión' porque es una forma de chantaje en la que la víctima es obligada a pagar dos veces. Esta modalidad de ciberataque no sólo usa el malware para encriptar los datos de las víctimas (y exige un pago para proporcionar la clave de descifrado), sino que también los envía al atacante, que luego amenaza con publicar la información robada si no se paga un segundo rescate.
La existencia de esta ciberamenaza conlleva riesgos significativos: interrupción de operaciones, pérdida de datos sensibles... y daño a la reputación, según el contenido de la información publicada.
¿Cómo funciona?
Un ataque de ransomware de doble extorsión sigue un proceso metódico:
- Intrusión: El ransomware se introduce en el sistema a través de vulnerabilidades de seguridad, correos electrónicos de phishing o descargas maliciosas.
- Escaneo y encriptación: Una vez dentro, el malware escanea y cifra todos los archivos importantes del sistema.
- Exfiltración de datos: Los datos son exportados a través de Internet y copiados por los atacantes.
- Primera extorsión: La víctima recibe una nota de rescate exigiendo un pago para descifrar los archivos.
- Segunda extorsión: Si el rescate no es pagado o si los atacantes desean más dinero, amenazan con divulgar la información robada.
Evolución y tipos
Aunque la doble extorsión existe desde 2013, fue en 2019 cuando ganó notoriedad, después de una serie de ataques del grupo de cibercriminales TA2101 utilizando el ransomware Maze. En 2021, el mayor proveedor de combustible en la costa este de Estados Unidos, Colonial Pipeline, fue atacado por el grupo DarkSide, generando el pago de un rescate de 4,4 millones de dólares (luego, parcialmente recuperado).
La doble extorsión ha llevado a la creación de variantes aún más agresivas, como el ransomware de triple y cuádruple extorsión. En estos casos, además de cifrar y amenazar con divulgar los datos, los atacantes pueden lanzar ataques DDoS y contactar a clientes o socios comerciales de la víctima para aumentar la presión.
Prevención
Para prevenir estos ataques, es crucial implementar medidas de seguridad robustas:
- Mantener software y sistemas operativos actualizados.
- Realizar copias de seguridad regulares y almacenarlas de forma segura.
- Educar a los empleados sobre los riesgos del phishing y otras tácticas de ingeniería social.
Imagen | Marcos Merino mediante IA
En Genbeta | Somos el eslabón débil: tres de cada cuatro brechas de datos se debe a que los humanos caemos en engaños, no a 'bugs'
Ver 0 comentarios