Autores de ransomware que divulgan datos de víctimas que no pagan el rescate
Infectarse con un ransomware puede ser muy destructivo para una empresa u organizaciones gubernamentales, sin embargo, los desarrolladores de ciberdelincuentes intentan empeorarlo aún más para los usuarios víctimas. Una vez que un ransomware encripta los archivos cruciales y los datos de los usuarios almacenados dentro de sus sistemas, mantiene a todos los datos como rehenes hasta que las víctimas pagan una suma de rescate a los atacantes para desbloquearlos. Pero ahora, también amenazan con revelar los datos vitales en línea si el rescate no se hace a tiempo.
En diciembre de 2019, los desarrolladores del ransomware Sodinokibi amenazaron con dar esos pasos en una reunión clandestina de piratas informáticos rusos. La publicación fue compartida con la comunidad por el investigador de seguridad Damian, quien descubrió que UNKN, la representación pública del ransomware, había publicado la amenaza. Tal táctica se ha visto antes con Maze, otra variante de ransomware, que publicó 700 MB de datos robados de Allied Universal. En ese momento, se creía que esto era solo el 10% de los datos robados por los piratas informáticos mientras realizaban simultáneamente operaciones de ransomware. Los datos se divulgaron en respuesta a que la víctima no realizó el pago. Sodinokibi ahora ha seguido su ejemplo.
Todos aprovechamos el cifrado cuando mantiene privados nuestros archivos y comunicaciones, pero la misma táctica hace posible el ransomware. El cripto virus puede apuntar a individuos, pero los actores detrás de estas operaciones se han dirigido cada vez más a compañías con bolsillos más profundos que el usuario promedio de una computadora. Al infectar una PC, el ransomware encripta archivos importantes y elimina los originales. Para recuperar los archivos, la víctima tiene que pagar un rescate (generalmente en Bitcoin) a cambio de la clave de descifrado.
UNKN ha hecho riesgos relacionados en el pasado, a saber, a Travelex y CDH Investments, sin embargo, la amenaza no se actuó. Ahora eso parece haber cambiado con un anuncio de uno de los representantes del ransomware de que los datos pertenecientes a Artech se han filtrado al público. El anuncio contenía enlaces a aproximadamente 337 MB de datos pertenecientes a la compañía que se describe a sí misma como una compañía de personal de TI.
Maze ha establecido una nueva altura peligrosa para que otros autores de infecciones de codificación de archivos intenten seguirla. A principios de enero comenzaron a surgir informes de que quienes estaban detrás del ransomware habían filtrado 14 GB de datos pertenecientes a Southwire, un fabricante de cables y aparente víctima de Maze. Supuestamente, se robaron 120 GB de datos y los que estaban detrás de Maze inicialmente filtraron 2 GB de datos, lo mismo que se había hecho anteriormente a la Ciudad de Pensacola, y los piratas informáticos exigieron más de 6 millones de dólares en Bitcoin para descifrar los archivos cifrados. Además, los que están detrás de Maze declararon en una publicación:
“Pero ahora nuestro sitio web está de regreso, pero no solo eso. Debido a las acciones de Southwire, ahora comenzaremos a compartir su información privada con usted, esto es solo el 10% de su información y publicaremos el próximo 10% de la información cada semana hasta que acuerden negociar. Use esta información de cualquier manera nefasta que desee “.