What is Double Extortion Ransomware?

Originalmente, el ransomware utilizaba la amenaza de la pérdida de datos para inspirar a sus víctimas a pagar una petición de rescate. Lo logró cifrando los datos en los sistemas de una organización y luego exigiendo un rescate para proporcionar la clave de descifrado.

Sin embargo, la eficacia de esta técnica está limitada por el hecho de que algunas organizaciones pueden restaurar sus datos a partir de copias de seguridad sin pagar el rescate. El ransomware de doble extorsión está diseñado para superar este obstáculo y aumentar la probabilidad de que los atacantes reciban un pago.

Solicite una demostración Ransomware Prevention CISO Guide

¿Cómo funciona?

Una buena copia de seguridad de los datos puede derrotar al ransomware tradicional. Si una organización tiene otra copia de sus datos, no necesita pagar por una clave de descifrado para restaurarla.

El ransomware de doble extorsión supera este reto combinando el robo de datos con su cifrado. Al robar los datos y amenazar con filtrarlos si no se paga un rescate, el operador del ransomware puede extorsionar con éxito los rescates incluso si una organización tiene copias de seguridad y podría recuperarse de otro modo sin pagar.

Secuencia de ataque del ransomware de doble extorsión

El ransomware de doble extorsión añade etapas adicionales a la cadena de ataque de una infección de ransomware , y probablemente incluya los siguientes pasos:

  • Acceso inicial: El malware obtiene el acceso inicial a la red corporativa, probablemente a través de una estación de trabajo de usuario.
  • Movimiento lateral: El malware se desplaza a través de la red corporativa hacia un objetivo de mayor valor, como un servidor de base de datos.
  • Exfiltración de datos: El ransomware exfiltra información sensible al atacante antes de realizar operaciones de cifrado muy visibles.
  • Datos cifrados: El malware cifra los archivos de los sistemas infectados.
  • Demanda de rescate: El ransomware exige un rescate para desencriptar los archivos o eliminar los datos robados.

Riesgos e impactos potenciales

Una infección exitosa de ransomware puede ser extremadamente dañina para una organización. Algunos de los impactos más comunes incluyen los siguientes:

  • Pérdidas financieras: El ransomware de doble extorsión conlleva varios costes potenciales para la empresa. Además del costo de remediar el incidente, la empresa puede perder ventas durante el ataque y es posible que deba pagar sanciones legales y reglamentarias.
  • Daños a la reputación: Un ataque exitoso de ransomware puede causar daños a la reputación y la marca de una organización. La falta de protección de los datos de los clientes y la posibilidad de que se interrumpan los servicios debido al ataque puede provocar la pérdida de clientes u obligar a la empresa a pagar una indemnización a los clientes afectados.
  • Pérdida de datos: Algunas formas de ransomware de doble extorsión cifran los datos además de robarlos. Incluso si una organización paga el rescate o tiene copias de seguridad, es posible que no se recuperen todos los datos.
  • Sanciones reglamentarias: Un grupo de ransomware que roba datos sensibles es una violación de datos denunciable. Como resultado, una organización puede estar obligada a pagar sanciones reglamentarias.

Ejemplos de ransomware de doble extorsión

Muchos grupos de ransomware han adoptado la metodología de la doble extorsión. Algunos de los más conocidos son:

  • Laberinto: El grupo de ransomware Maze surgió en 2020 y fue pionero en los ataques de ransomware de doble extorsión.
  • REvil: REvil es un grupo de ransomware como servicio (RaaS) que se detectó por primera vez en 2019.
  • Lado oscuro: DarkSide es un grupo de RaaS que surgió en 2020 y es famoso por el hackeo de Colonial Pipeline.
  • Materia negra: BlackMatter surgió en 2021 y pretende suceder a los grupos REvil y DarkSide, que ya no funcionan.
  • LockBit: LockBit surgió en 2019 y es un RaaS que utiliza malware autopropagable en sus ataques.

Cómo prevenir los ataques de ransomware de doble extorsión

Algunas de las mejores prácticas de ciberseguridad para proteger a la organización contra los ataques de ransomware son las siguientes:

  • Formación sobre concienciación en ciberseguridad: Muchas variantes de ransomware utilizan ataques de ingeniería social, como el phishing, para acceder a la red de una organización. Capacitar a los empleados para que identifiquen estas amenazas y respondan adecuadamente reduce el riesgo de un incidente.
  • Copias de seguridad de los datos: Aunque el ransomware de doble extorsión incorpora el robo de datos, también puede cifrar datos valiosos. Las copias de seguridad de datos permiten a una organización restaurar sus datos sin necesidad de cifrarlos.
  • Parcheado: Algunas variantes de ransomware aprovechan la vulnerabilidad del software para acceder a los ordenadores e infectarlos. La aplicación inmediata de parches y actualizaciones puede ayudar a cerrar estos intervalos de seguridad antes de que puedan ser explotados.
  • Autenticación de usuario fuerte: RDP y otros protocolos de acceso remoto se utilizan habitualmente para infectar sistemas corporativos con ransomware. El despliegue de una autenticación fuerte -incluida la autenticación de múltiples factores (MFA) - puede ayudar a evitar que los atacantes utilicen credenciales comprometidas para distribuir malware.
  • Segmentación de la red: Los grupos de ransomware necesitarán a menudo moverse lateralmente a través de la red de una organización desde el punto de infección inicial hasta los sistemas de alto valor. La segmentación de la red -que divide la red en secciones aisladas- puede ayudar a detectar y prevenir este movimiento lateral.
  • Soluciones Anti-Ransomware: El cifrado de archivos del ransomware crea un patrón de actividad distintivo en un ordenador, y muchas variantes tienen firmas conocidas. Las soluciones antiransomware pueden identificar y bloquear o remediar las infecciones de ransomware antes de que causen daños significativos a la empresa.
  • inteligencia sobre amenazas: El conocimiento de las últimas campañas de ataque de ransomware tiene un valor incalculable para protegerse contra ellas. La integración de las fuentes de inteligencia sobre amenazas con las soluciones de ciberseguridad les permite identificar y bloquear con mayor precisión los ataques de ransomware.

Evite ataques de ransomware con Check Point

Los ataques de ransomware de doble extorsión suponen una importante amenaza para las empresas, ya que pueden anular las copias de seguridad como defensa contra el ransomware. Para saber más sobre la defensa contra esta amenaza, consulte la Guía del CISO para la prevención del ransomware.

El ransomware es una de las muchas ciberamenazas a las que se enfrentan las organizaciones, tal y como se detalla en el Informe sobre ciberseguridad deCheck Point. Check Point Harmony Endpoint ofrece una sólida protección contra el ransomware y otras amenazas de seguridad de terminales. Para saber más sobre la gestión de la amenaza que supone la seguridad de terminales para su empresa, inscríbase en una demostración gratuita.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.