Uno de cada siete intentos de extorsión de ransomware filtra registros tecnológicos operativos clave

Una de cada siete filtraciones de datos de extorsión de ransomware revela datos de tecnología operativa crítica para el negocio, dicen los investigadores.

El ransomware ha evolucionado desde el cifrado básico y las demandas básicas de pago hasta convertirse en algo potencialmente mucho más grave en los últimos años.

Una vez, el ransomware se usó en masa para infectar sistemas y extorsionar pagos de chantaje al público en general, normalmente en criptomonedas como Bitcoin (BTC), pero ahora, los operadores apuntan a objetivos de alto valor para obtener mayores ganancias.

En lo que algunos expertos en seguridad cibernética llaman «caza de caza mayor», los grupos de ransomware buscan grandes empresas, servicios públicos, hospitales y actores clave de la cadena de suministro.

Si bien puede tomar más tiempo realizar el reconocimiento requerido para ingresar a las redes propiedad de las grandes empresas, una vez que se ha obtenido la entrada, es posible que un ataque pueda generarles millones de dólares.

Colonial Pipeline es un ejemplo de cuán debilitante puede ser un ataque de ransomware. Los sistemas del proveedor de combustible fueron secuestrados por ransomware en 2021 por DarkSide, y aunque se pagó un rescate de 4,4 millones de dólares para restaurar la red de Colonial Pipeline, el daño ya estaba hecho: el ataque provocó compras de pánico y escasez de combustible en todo Estados Unidos.

Sin embargo, los ataques de ransomware contra la empresa ahora van más allá. Cisco Secure acuñó el término extorsión «one-two-punch», en el que los operadores de ransomware robarán datos confidenciales antes de que comience el cifrado y amenazarán con filtrar esta información si la víctima se niega a pagar.

Además: los piratas informáticos secuestran contratos inteligentes en estafas de salida de ‘extracción de alfombra’ de fichas de criptomonedas

Muchos operadores de ransomware administran sitios de fugas en línea que publican volcados de datos robados y, según Mandiant Threat Intelligence, durante 2021, miles de víctimas se vieron sujetas a estas tácticas de extorsión.

En solo un período de 12 meses, más de 1300 organizaciones de servicios críticos, infraestructura y el sector industrial se vieron afectadas.

Mandiant recolectó muestras de víctimas que aprovechan las tecnologías operativas (OT) para su producción. Después de revisar los volcados de datos filtrados en los sitios web de nombre y vergüenza, los investigadores encontraron de todo, desde diagramas de red e ingeniería hasta información sobre proveedores asociados y paneles de operador.

Entre las muestras examinadas se encontraban credenciales de empleados robadas, etiquetas de activos, acuerdos de proveedores externos y documentos legales, archivos de proyectos, diagramas de productos, documentos de procesos, hojas de cálculo, visualizaciones y, en un caso, el código fuente patentado de la plataforma GPS de un rastreador de vehículos por satélite. .

«Según nuestro análisis, es probable que una de cada siete filtraciones de organizaciones industriales publicadas en sitios de extorsión de ransomware exponga documentación confidencial de OT», dicen los investigadores. «El acceso a este tipo de datos puede permitir a los actores de amenazas aprender sobre un entorno industrial, identificar rutas de menor resistencia y diseñar ataques ciberfísicos».

Para empeorar las cosas, los registros de OT filtrados también pueden proporcionar a los atacantes cibernéticos, ya sea el grupo original o un equipo imitador que busca atacar a la misma víctima, una imagen de la cultura, el personal, las finanzas, los procesos de producción, la investigación, la propiedad intelectual y la información de una empresa. más.

«Recomendamos que las organizaciones en estos sectores apliquen políticas sólidas de manejo de datos para empleados y subcontratistas para garantizar que la documentación técnica interna esté protegida», comentó Daniel Kapellmann Zafra, gerente senior de análisis técnico de Mandiant. «Esto es particularmente importante para la infraestructura crítica como el ferrocarril, que brinda servicios a miles de pasajeros todos los días».

«Si encuentra que sus datos han sido expuestos en un sitio de extorsión de ransomware, es importante evaluar el valor de estos datos filtrados y determinar si se deben implementar controles adicionales para disminuir el riesgo de que un adversario use estos datos en el futuro».

El mes pasado, Trellix (McAfee Enterprise/FireEye) publicó los resultados de un análisis de los ataques de ransomware entre julio y septiembre de 2021. La empresa dijo que las organizaciones de los sectores financiero y minorista, junto con los servicios públicos, eran los objetivos más comunes, con un 58 % de incidentes de ransomware informados.

Ver también


¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0


Deja un comentario