Algunas bandas de ciberdelincuentes están utilizando ransonware para atacar los equipos informático de los altos directivos de las empresas y obtener beneficios por medio de la extorsión. Esta tendencia, cada vez más extendida, pone a las empresas contra las cuerdas y, en algunos casos, las víctimas prefieren pagar el rescate para no ver sus datos y archivos filtrados públicamente. Todo por evitar repercusiones negativas en su productividad y hasta problemas de reputación.
Estas prácticas de robo de información y posterior extorsión se refinaron y aumentaron en 2020, debido, entre otros factores, a la pandemia de la COVID-19, que obligó a muchas organizaciones a adoptar el teletrabajo como medida, debilitando así sus sistemas de seguridad y dejando expuestas a las empresas ante los hackers. Sin embargo, parece que ahora los grupos de ciberdelincuentes están dando prioridad a los altos cargos como víctimas de sus ataques, ya que estos suponen una fuente de mayores ingresos e información valiosa que los objetivos más pequeños.
Este hecho fue descubierto por ZDNet al contactar por teléfono con una empresa que pagó un rescate multimillonario a la banda de ransomware Clop para evitar represalias. Cuando hablaron con otras organizaciones víctimas de este grupo, comprobaron que no se trataba de un hecho aislado, sino de una tendencia que Clop había estado explotando en los últimos meses.
La evolución lógica de la ciberdelincuencia
El modus operandi de estos ciberdelincuentes es robar archivos confidenciales que, posteriormente, cifran para impedir su recuperación. Las empresas afectadas reciben una nota de rescate que les informa de su situación y les exige un pago a cambio de una clave de descifrado para poder liberar los datos arrebatados. En algunos casos, estos grupos amenazan con filtrar los datos públicamente si no reciben el dinero correspondiente, dejando así al descubierto información delicada que podría beneficiar a su competencia e incluso perjudicar su imagen.
No obstante, las autoridades recomiendan no hacer caso a estas demandas ya que, probablemente, pagar no garantice la liberación de los datos, sino que puede animar a los criminales a exigir todavía más. Además, en ocasiones, se trata de «falsos secuestros», ya que afirman haber obtenido más información de la que tienen en realidad para amedrentar a su víctima con el fin de que acabe cediendo.
ZDNet quiso conocer la opinión de varios expertos sobre el asunto y la mayoría coincidieron en que se trata de una evolución lógica en las actividades de estos grupos organizados que no les sorprende. Por lo tanto, es una práctica que, seguramente, no sea exclusiva de Clop.
Cibercriminales más ambiciosos y agresivos
Para Stefan Tanase, especialista en inteligencia cibernética de CSIS, “el ransomware se aplica generalmente a las ‘joyas de la corona’ del negocio al que se dirigen”. Por lo general, tienen como objetivos los servidores de archivos o bases de datos con el propósito de filtrar información. Por eso, “tiene sentido que vayan tras las máquinas de altos cargos para que el impacto generado sea el mayor posible”.
Según Brett Callow, analista de amenazas de la firma de ciberseguridad Emsisoft, “este tipo de chantajes puede ser el modus operandi de un afiliado de Clop en particular, pero también podría funcionar del mismo modo para otros grupos de ransomware. En los últimos años, estas tácticas se han vuelto cada vez más extremas con el objetivo de revelar los ‘trapos sucios’ de las empresas”.
Por otro lado, Allan Liska, arquitecto de seguridad senior de Recorded Future, le aseguró a ZDNet que solo han visto esta táctica con los ataques de Clop, pero no descartan que otros actores de ransomware también la adopten para garantizar el pago de los rescates. Además, agregó que “también se han probado otras técnicas como el REvil, que amenaza con enviar por correo electrónico detalles del ataque a las bolsas de valores”.
Por último, Bill Siegel, SEO y cofundador de la compañía se seguridad Coveware, afirma, como mencionamos antes, que no todas las extorsiones realizadas por estos grupos son tan peligrosas como ellos tratan de hacer creer a sus víctimas. Señala que nunca se han encontrado «con un caso en el que los datos robados muestren evidencia de malversación corporativa o personal. En su mayor parte, es solo una táctica atemorizante para aumentar la probabilidad de pago».
