Las tácticas y técnicas utilizadas por las bandas de ransomware para presionar a sus víctimas para que paguen un rescate van más allá de simplemente amenazar con publicar datos en línea o venderlos a otros, según reveló una nueva información del equipo de Respuesta Rápida de Sophos.
Los investigadores de Sophos quieren resaltar el cambio en las técnicas de presión de ransomware desde el cifrado de datos únicamente a otros puntos débiles. Peter Mackenzie, director de respuesta a incidentes en Sophos, dijo que cada vez es más común que las bandas de ransomware complementen sus demandas con medidas de extorsión adicionales porque muchas organizaciones han mejorado mucho en la realización de copias de seguridad y la protección de sus datos.
“El equipo de respuesta rápida de Sophos ha visto casos en los que los atacantes envían correos electrónicos o llaman por teléfono a los empleados de una víctima, llamándolos por su nombre y compartiendo datos personales que han robado, como acciones disciplinarias o información de pasaporte, con el objetivo de asustarlos para que exijan su el empleador paga el rescate ”, dijo Mackenzie.
“Este tipo de comportamiento muestra cómo el ransomware ha pasado de ser un ataque puramente técnico, dirigido a sistemas y datos, a uno que también está dirigido a personas”.
Robar y filtrar datos sigue siendo la táctica más frecuente por cierto margen; de hecho, es más seguro asumir que si ha sufrido un ataque de ransomware, también está a punto de sufrir una importante violación de datos. Sin embargo, hay algunas señales de que las bandas de ransomware ahora están exfiltrando específicamente los datos que tienen el potencial de causar el mayor daño. Una investigación reciente de Sophos sobre un ataque de Conti a una empresa de logística de transporte descubrió que los datos robados incluían detalles de investigaciones activas de accidentes de tráfico, incluidos nombres de conductores e incluso muertes.
La segunda táctica más común actualmente en uso es enviar un correo electrónico y llamar a los empleados de la organización víctima y amenazar con revelar su información personal, una técnica favorecida por Conti, Maze, REvil y SunCrypt.
Vinculado a esto, la tercera táctica más popular consiste en ponerse en contacto con personas u organizaciones cuyos detalles están en poder de la víctima para asustarlos y exhortarlos a que paguen para proteger su información; tanto Cl0p como REvil han adoptado este enfoque con entusiasmo.
La cuarta táctica más común observada por Sophos es silenciar a las víctimas advirtiéndoles que no se pongan en contacto con las autoridades y, cada vez más, con los medios de comunicación. Mackenzie dijo que esto probablemente evitaría que las víctimas busquen ayuda que les permita pagar el rescate, pero también porque en los últimos meses, muchas pandillas se han preocupado más por su imagen.
A principios de octubre, frustrada por la filtración de sus negociaciones con la víctima JVCKenwood, la pandilla Conti dijo que en el futuro interrumpiría las negociaciones con las víctimas si las capturas de pantalla de sus negociaciones llegaban a los medios o investigadores a través de VirusTotal, y filtrarían sus datos. de todas formas.
Una técnica más reciente que está ganando popularidad rápidamente es reclutar personas con información privilegiada en la organización objetivo para permitir ataques de ransomware a otros a cambio de una parte de las ganancias. En un caso examinado por Sophos, el equipo de LockBit 2.0 publicó un anuncio junto con su demanda de rescate, buscando personas que los ayudaran a violar los proveedores y socios externos de la víctima.
Algunas de las otras tácticas de presión comunes que se emplean ahora podrían considerarse medidas un tanto punitivas diseñadas para aumentar la probabilidad de pago de rescates al causar frustraciones adicionales. Estos incluyen restablecer las contraseñas de administrador de dominio para impedir que el personal de TI legítimo inicie sesión para solucionar el problema, eliminar las copias de seguridad conectadas que puedan encontrar, lanzar ataques distribuidos de denegación de servicio (DDoS) en los sitios web del objetivo e incluso inmovilizar todas las impresoras de la oficina continuamente imprimir copias de la nota de rescate.
“El hecho de que los operadores de ransomware ya no limiten sus ataques a cifrar archivos que los objetivos a menudo pueden restaurar a partir de copias de seguridad, muestra lo importante que es para los defensores adoptar un enfoque de seguridad de defensa en profundidad”, dijo Mackenzie. “Este enfoque debe combinar seguridad avanzada con educación y concienciación de los empleados”.