En los últimos años, los cibercriminales han cambiado de táctica considerablemente. Hasta hace apenas unos años, era común que enviaran troyanos en masa y esperaban en silencio a que alguien pagara, sabiendo muy bien que la mayoría de los objetivos ignorarían la exigencia. Ahora parecen haber adoptado una estrategia diferente, volviéndose más centrados en el cliente, por así decirlo.
Los atacantes han pasado de infecciones masivas a infecciones dirigidas, lo que sin duda reduce su área de cobertura y, por lo tanto, aumenta su determinación para no dejar escapar a nadie. Ahora bien, cada objetivo representa una gran recompensa, por lo que los cibercriminales están buscando otras maneras para alcanzar su objetivo. Un ejemplo es este correo electrónico reciente que encontramos mientras investigábamos al grupo de cibercriminales conocido como Darkside.
El meollo del asunto
En resumen, el correo electrónico afirma que unos atacantes infectaron una organización que ofrece sus servicios de fotografía a escuelas y que, por tanto, almacena datos de los estudiantes y los empleados de estos centros. También afirma que las autoridades federales prohibieron a la organización pagar el rescate, aparentemente obligando a los cibercriminales a ejercer más presión.
Los juegos mentales de Darkside
Los cibercriminales se dirigían directamente a las escuelas cuyos datos de los estudiantes se habían visto comprometidos y que buscaban iniciar tantas acciones colectivas como fuera posible contra la empresa afectada. En sus comunicaciones, instaban a las escuelas a preparar comunicados de prensa y ponerse en contacto con los padres de los estudiantes para explicarles la situación. De lo contrario, no podrían “garantizar” que los datos de la escuela, incluidos los datos personales de los niños, no terminaran en la dark web. También enfatizaban que los datos incluían fotografías e información sobre los empleados, las cuales podrían ayudar a los pedófilos a crearse pases escolares falsos, poniendo así a los niños en mayor riesgo.
Por lo tanto, los atacantes amenazaron no solo con arruinar la reputación de la víctima, sino también con influir en sus clientes y socios para causar daños adicionales a través de ramificaciones legales potencialmente devastadoras.
¿Qué puedes hacer?
Es importante comprender que, en realidad, satisfacer las demandas de los cibercriminales no acabará con el problema, ya que, como dijo recientemente Eugene Kaspersky, es imposible saber si realmente han eliminado los datos robados.
Por este motivo aconsejamos a todas las organizaciones y empresas, pero especialmente a las que almacenan datos de socios o clientes, que se preparen con antelación para un posible ataque:
- Explicando la naturaleza de la amenaza a todos los empleados y apacitándolos para que reconozcan las acciones de los intrusos.
- Equipando todas las computadoras y dispositivos con soluciones de seguridad de confianza que puedan derrotar a los troyanos de ransomware.
- Realizado un seguimiento de las actualizaciones de software disponibles e instalarlas con regularidad (los ataques de ransomware a través de vulnerabilidades han resultado especialmente destructivos en los últimos tiempos).