{"id":17077,"date":"2020-02-14T09:17:38","date_gmt":"2020-02-14T15:17:38","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=17077"},"modified":"2020-05-04T10:29:57","modified_gmt":"2020-05-04T16:29:57","slug":"ransomware-data-disclosure","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ransomware-data-disclosure\/17077\/","title":{"rendered":"Ransomware: cuando las copias de seguridad ya no son suficientes"},"content":{"rendered":"

La creaci\u00f3n de copias de seguridad<\/a><\/strong> ha sido una de las medidas de protecci\u00f3n m\u00e1s efectivas y arduas que se tienen contra el ransomware<\/em> de cifrado<\/strong>. Ahora, los cibercriminales parecen haberse fijado en aquellos que conf\u00edan en las copias de seguridad. Los cibercriminales responsables de crear varios programas de ransomware<\/em>, ante la negativa de pago de un rescate, han optado por filtrar en l\u00ednea los datos confidenciales<\/strong> de sus v\u00edctimas.<\/p>\n

La publicaci\u00f3n de datos confidenciales en l\u00ednea es una forma de cumplir una amenaza<\/strong><\/h2>\n

Las amenazas de divulgaci\u00f3n de informaci\u00f3n confidencial<\/strong> no son asunto nuevo. Por ejemplo, en 2016, el grupo detr\u00e1s del cryptoware<\/a><\/em><\/strong> que infect\u00f3 el sistema Ferroviario Municipal de San Francisco intent\u00f3 valerse de ese truco. Pero jam\u00e1s cumplieron sus amenazas.<\/p>\n

Maze fue el primero<\/strong><\/h3>\n

A diferencia de sus antecesores, el grupo cibercriminal responsable del ransomware<\/em> Maze<\/strong> s\u00ed cumpli\u00f3 sus amenazas a finales de 2019, y en m\u00e1s de una ocasi\u00f3n. En noviembre, cuando Allied Universal se rehus\u00f3 a pagar un rescate, los cibercriminales filtraron en l\u00ednea 700MB de datos<\/a><\/strong>, incluyendo contratos, convenios de terminaci\u00f3n, certificados digitales, entre otros. Los chantajistas dijeron que hab\u00edan publicado solamente el 10% de lo que hab\u00eda robado y amenazaron con publicar el resto de la informaci\u00f3n confidencial si la v\u00edctima no cooperaba.<\/p>\n

En diciembre, los cibercriminales a cargo de Maze crearon un sitio web<\/a><\/strong> que usaron para publicar los nombres de las empresas atacadas, las fechas de infecci\u00f3n, las cantidades robadas, las direcciones IP y nombres de los servidores infectados. Tambi\u00e9n cargaron all\u00ed algunos documentos confidenciales. A fines de ese mes, se publicaron online<\/em> 2GB de archivos, que al parecer hab\u00edan sido robados a la ciudad de Pensacola<\/a><\/strong><\/u>, Florida. Los chantajistas afirmaron que hab\u00edan publicado la informaci\u00f3n para probar que no estaban alardeando.<\/p>\n

En enero, los cibercriminales responsables de Maze subieron 9.5GB de datos robados<\/a> <\/strong>de Medical Diagnostic Laboratories y 14.1GB de documentos del fabricante de cables Southwire, quienes anteriormente hab\u00edan demandado a los chantajistas por la filtraci\u00f3n de informaci\u00f3n confidencial. La demanda hizo que el sitio web de Maze cerrara, pero no tardar\u00e1 en volver.<\/p>\n

Y ahora vienen Sodinokibi, Nemty, BitPyLock<\/strong><\/h3>\n

Despu\u00e9s aparecieron otros cibercriminales. El grupo detr\u00e1s del ransomware<\/em> Sodinokibi<\/strong>, usado para atacar la empresa financiera internacional Travelex en v\u00edsperas de A\u00f1o Nuevo, se\u00f1al\u00f3 que su intenci\u00f3n era publicar los datos confidenciales<\/a><\/strong><\/u> pertenecientes a los clientes de la empresa a inicios de enero. Los cibercriminales dijeron tener m\u00e1s de 5GB de informaci\u00f3n privada, incluyendo fechas de nacimiento, n\u00fameros de seguridad social e informaci\u00f3n sobre tarjetas bancarias.<\/p>\n

En cuanto a Travelex, la empresa asegura que no ha visto pruebas de dicha filtraci\u00f3n de datos online<\/em><\/a><\/strong> y por ello se niega a pagar un rescate. Por su parte, los cibercriminales se\u00f1alan que la empresa ha accedido a negociar a fin de evitar la filtraci\u00f3n de datos confidenciales.<\/p>\n

El 11 de enero, el mismo grupo subi\u00f3 enlaces<\/a><\/u> <\/strong>para aproximadamente 337MB de datos confidenciales a un foro de mensajes para hackers<\/em>, y se\u00f1alaron que los datos pertenec\u00edan a la empresa Artech Information Systems, la cual se hab\u00eda rehusado a pagar el rescate. Los cibercriminales dijeron que los datos confidenciales filtrados<\/strong> \u00fanicamente representaban una fracci\u00f3n de lo que hab\u00edan robado. Dijeron que su cometido era vender el resto, no publicarlo, a menos que las v\u00edctimas cumplieran con el pago de un rescate.<\/p>\n

Los creadores del malware<\/em> Nemty ser\u00edan los siguientes en comunicar sus planes<\/a><\/u> <\/strong>para publicar los datos confidenciales de quienes no pagaron. Dijeron que su cometido era crear un blog<\/em> donde publicar\u00edan por partes los documentos internos de las v\u00edctimas que se hayan negado a cumplir con sus exigencias.<\/p>\n

Los operadores del ransomware<\/em> BitPyLock\u00a0 su sumaron a la tendencia cibercriminal<\/a><\/strong> al a\u00f1adir en la nota de rescate la promesa de que divulgar\u00edan los datos confidenciales de sus v\u00edctimas. Pese a que no lo han hecho a\u00fan, tambi\u00e9n cabe la posibilidad de que BitPyLock haya robado informaci\u00f3n confidencial.<\/p>\n

No se trata de un simple ransomware<\/em><\/strong><\/h2>\n

No son ninguna novedad las funciones avanzadas a\u00f1adidas a los programas de ransomware<\/em>. Por ejemplo, en 2016, el troyano Shade instalaba herramientas de administraci\u00f3n remota<\/a><\/strong>, en lugar de cifrar los archivos, si descubr\u00eda que se hab\u00eda topado con una m\u00e1quina dedicada a llevar la contabilidad. CryptXXX cifr\u00f3 archivos, rob\u00f3 Bitcoins y las credenciales de inicio de sesi\u00f3n de las v\u00edctimas<\/a><\/strong>. El grupo responsable de RAA equip\u00f3 algunas versiones del malware<\/em> con el troyano Pony<\/a><\/strong>,<\/strong> cuyo objetivo era robar las credenciales de inicio de sesi\u00f3n.\u00a0 La capacidad de robo de datos del ransomware<\/em><\/strong>\u00a0 no deber\u00eda sorprendernos, especialmente porque ahora las empresas reconocen la necesidad de crear copias de seguridad de su informaci\u00f3n.<\/p>\n

Es preocupante que las copias de seguridad ya no ofrezcen una defensa<\/strong> contra estos ciberataques. Si tus m\u00e1quinas se infectan, no existe modo de evitar las p\u00e9rdidas, que no se limitar\u00e1n necesariamente al pago de un rescate, pues los chantajistas no ofrecen ninguna garant\u00eda. La \u00fanica manera de protegerse es impedir que el malware<\/a><\/em><\/strong> penetre en tus sistemas inform\u00e1ticos.<\/p>\n

C\u00f3mo protegerse del ransomware<\/em><\/strong><\/h2>\n

A\u00fan queda por ver si esta nueva tendencia en el ransomware<\/em><\/strong> es efectiva o se abandonar\u00e1. Estos ataques apenas est\u00e1n ganando impulso, as\u00ed que necesitas mantenerte protegido contra las ciberamenazas. Eso no solo significa evitar el da\u00f1o en la reputaci\u00f3n y la divulgaci\u00f3n no autorizada de los secretos comerciales<\/strong>, pues si permites que alguien robe los datos personales de un cliente, tendr\u00e1s que pagar multas muy elevadas<\/a><\/strong>. As\u00ed pues, te ofrecemos algunos consejos de ciberseguridad<\/strong>:<\/p>\n