asd

redaccion@diariodigitalis.com

Nueva táctica de ransomware: eliminar los datos de sus víctimas en lugar de cifrarlos

Una investigación conjunta de las compañías de ciberseguridad Cyderes y Stairwell han descubierto que algunos ciberdelincuentes están empleando una nueva táctica en sus campañas de ransomware que puede resultar demoledora. Esta consiste en eliminar los archivos de sus archivos de sus víctimas en vez de cifrarlos, lo que reduce significativamente las posibilidades de recuperarlos sin pagar el rescate.

El ingenio de los actores de amenazas no deja de sorprendernos. En los últimos años, han perfeccionado sus modelos de negocio (Ransomware-as-a-service) y sus técnicas de extorsión (doble, triple e incluso cuádruple) para obtener beneficios. Algunas bandas criminales han optado por métodos bastante novedosos para presionar a sus víctimas, como, por ejemplo, robar los datos de sus empleados o clientes para provocar un conflicto interno en las compañías, o amenazar con revelar su identidad si no pagan.

Por si todo esto no fuera suficiente, ahora Cyderes y Stairwell han revelado que algunos piratas informáticos están optando por eliminar y corromper los archivos en los equipos de sus víctimas, después de copiarlos a servidores controlados por ellos.

BlackCat es el principal sospechoso

De momento, los hallazgos de ambas compañías apuntan al BlackCat, también llamado ALPHV, como uno de los grupos que están siguiendo este modus operandi. Y es que descubrieron que Exmatter, una herramienta de fuga de datos, fue utilizada en un ataque al que respondieron los analistas de seguridad.

Los primeros registros de dicha organización criminal datan de diciembre de 2021, por lo que es relativamente reciente, pero, en ese tiempo, ha conseguido destacar como una de las más peligrosas en la actualidad. No obstante, como apunta Stairwell, es posible que BlackCat no sea un grupo nuevo, sino que se trate de un perro ya conocido -gato en este caso- con distinto collar.

“La destrucción de datos está vinculada a Exmatter, una herramienta de exfiltración de .NET que se utilizó anteriormente como parte de los ataques de ransomware BlackMatter. Se sospecha ampliamente que BlackCat es un cambio de marca de BlackMatter, que a su vez era un cambio de marca de Darkside, la operación de ransomware detrás del ataque Colonial Pipeline,” explica la compañía en su publicación.

Id bootcamps Banner

Según los investigadores, Exmatter estaría siendo utilizada por estos ciberdelincuentes para dañar los archivos de sus víctimas. Para ello, la herramienta copia archivos con ciertas extensiones ubicados en carpetas específicas de sus equipos y los carga en los servidores de los atacantes. Una vez que se han hecho con los datos, gracias a una clase denominada Eraser, el ransomware sobrescribe los archivos por otros, en vez de cifrarlos, dejándolos completamente inutilizables.

¿Por qué borrar los datos en lugar de cifrarlos?

Existen varias razones por las que a los ciberdelincuentes podría beneficiarles más eliminar los datos que, simplemente, cifrarlos. En primer lugar, al copiar los datos en sus servidores y borrarlos en los equipos de sus víctimas, los actores de amenazas serían los únicos que contarían de los archivos originales.

Como sabemos, algunas plataformas, como No More Ransom, ofrecen soluciones de descifrado gratuitas a los afectados por este tipo de incidentes, pero eliminando o corrompiendo los datos en los ordenadores de las víctimas, los piratas informáticos también eliminan esa posibilidad de la ecuación. De esta forma, consiguen presionar más a sus objetivos, ya que pagar el rescate se convierte en la única opción viable para recuperar sus datos.

Por otro lado, cifrar los datos supone una tarea más compleja que eliminarlos, que implica menos tiempo y recursos, a la vez, que garantiza una mayor tasa de éxito. Además, esto podría suponer más ganancias para el creador del software malicioso, ya que obtendría el 100% del pago del rescate y no tendría que pagar un porcentaje a los desarrolladores u otras figuras habituales de RaaS, como el negociador.

“Con una copia tan robusta de los datos recopilados de la empresa víctima, cifrar los mismos archivos en el disco se convierte en una tarea redundante y de mucho desarrollo en comparación con la destrucción de datos. La creación de ransomware robusto y estable es un proceso mucho más intensivo en desarrollo que la creación de malware diseñado para corromper los archivos, alquilar un servidor grande para recibir archivos exfiltrados y devolverlos después del pago,” asegura Stairwell.

Por estos motivos y por desgracia, es bastante posible que esta tendencia continúe expandiéndose entre las distintas bandas de ransomware. Así que, si esta estrategia acaba consolidándose, ya no habrá más opciones que tener la capacidad de detectar y frenar este tipo de amenazas antes de que sea demasiado tarde.

Imagen de AnnyksPhotography en Pixabay

Artículos Relacionados

Suscríbete a nuestra newsletter


(Obligatorio)

También te puede gustar

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Suscríbete a nuestra newsletter