La semana pasada, el proveedor tecnológico IFX Networks sufría un ataque de ransomware que puso (y mantiene) en jaque a cientos de empresas e instituciones en Colombia, Chile y Panamá, entre otros. Unos días antes era el turno del Ayuntamiento de Sevilla, víctima del grupo de ransomware LockBit. El goteo es continuo, y así lo ha sido durante los últimos años. Pero, aunque el objetivo de este software malicioso no ha cambiado (chantajear a las víctimas para recibir un pago económico), las técnicas han ido evolucionando. Mucho ha llovido desde el conocido como “primer ransomware de la historia” con el nombre de PC Cyborg o AIDS, que exigía un pago de 189 dólares, distribuido en disquetes un congreso médico en 1989. Hoy estamos hablando ya del ransomware de cuarta o cuádruple extorsión. 

Aunque todavía no es la técnica que más prevalece, desde las compañías de seguridad están empezando a dar la voz de alarma. Viene el ransomware de cuádruple extorsión, y viene pisando fuerte. Mediante esta técnica, los atacantes no se guardan un as bajo la manga, tienen cuatro. Avisados estamos. 

“La cuádruple extorsión es una técnica utilizada en ciberataques de ransomware cuyo objetivo consiste en maximizar la capacidad de monetización que espera el actor de amenazas responsable de la campaña”. Así lo apunta Raquel Puebla, analista de ciberinteligencia en Entelgy Innotec Security. 

El objetivo de los cibercriminales con esta cuarta extorsión no es otro que tratar de garantizar que la entidad afectada abone el pago exigido por los atacantes como rescate. ¿Y no es esta la finalidad de todos los ataques de ransomware? Sí, aunque por supuesto no siempre lo consiguen. La compañía estima que más de la mitad de las compañías que son atacadas por un ransomware acceden a la extorsión. Pero los cibercriminales quieren más. 

Puebla explica que esta técnica“no se entiende como un ciberataque en sí mismo, sino una capa adicional a los ciberataques de ransomware”. Algo similar a lo que ocurre con los ataques de ransomware de triple extorsión, en los que los atacantes ya añadían una tercera capa al denominado ransomware de doble extorsión, que consiste en el cifrado de la información o los sistemas, y la amenaza de filtrar información confidencial robada. Técnica vivida por el Hospital Clínic de Barcelona, que experimentó cómo RansomHouse terminó por filtrar todos los datos obtenidos en el ciberataque ante la negativa de pagar el rescate.

Estas son las fases del ransomware de cuádruple extorsión

En definitiva, se denomina ransomware de cuádruple extorsión o cuarta fase de extorsión debido a que habitualmente tiene lugar después de otras tres etapas que suelen acompañar a estos ciberataques. 

La primera fase es el cifrado de los datos o los sistemas. Este es el ransomware clásico. En el modus operandi tradicional, los ciberatacantes logran que la víctima descargue un software malicioso en un equipo informático (normalmente a través de ingeniería social, como un ataque de phishing). Los archivos quedan cifrados, y la víctima no puede acceder a ellos, a no ser que pague el rescate económico que le imponga el atacante. Tras el pago le hará llegar la clave de descifrado para poder recuperar los archivos.  

La recomendación ha sido y es siempre no ceder a ese chantaje. El problema es que muchos usuarios y empresas no han contado con copias de seguridad de la información cifrada, y se han visto forzadas a pagar para poder recuperar su operativa.

Sin embargo, ante el avance de las medidas de ciberseguridad en este sentido, los atacantes evolucionaron sus técnicas.

La segunda fase, la que se incorpora en el ransomware de doble extorsión, es la fase de amenaza de filtrado de información.Los ciberdelincuentes no sólo cifran, sino que también logran extraer información sensible de los sistemas. Los atacantes elevan el nivel de extorsión amenazando con hacerla pública si no se cede y se paga el rescate económico. 

La tercera fase pasa por añadir otra técnica de ciberataque a las anteriores. Habitualmente se realiza una campaña de ataques de denegación de servicio distribuido (DDoS), que logran tumbar servicios y recursos de las empresas (como puede ser un sitio web), que quedan inutilizados. Añade una capa más de complejidad, y un elemento más para forzar a la entidad a realizar el pago. Principalmente en el caso de comercios online cuyo modelo de negocio se basa en la actividad de ese sitio web.

En la cuarta fase, que se añade en el ransomware de cuádruple extorsión, los ciberatacantes establecen contacto con personas relacionadas con la empresa atacada. Pueden ser clientes, empleados, socios e incluso medios de comunicación. Los ciberdelincuentes les comunican que se ha comprometido información sensible que les afecta a ellos. Para ello, antes de ponerse en contacto, los atacantes obtienen datos que lo corroboran dentro de la información robada. 

De esta manera, los atacantes intentan generar una presión extra en la víctima, desgastándola para que realice el pago, por esto lo denominan también fase agresiva o de acoso. Y gracias a ello, también pueden pedir rescates más altos.

“Los atacantes pretenden que sean los agentes relacionados con la organización los que promuevan que la entidad acceda a pagar la extorsión para que se elimine la filtración de datos que les afecta”, explica Puebla. Estas capas de extorsión funcionan conjuntamente “incrementando las pérdidas de la organización afectada por el ciberataque, presionándola y desgastándola hasta que considere que el pago exigido por los cibercriminales resulta menos costoso que subsanar el impacto mediante el cauce legal de respuesta a incidentes correspondiente”, añade.

Junto al ransomware, la compañía señala a la suplantación de identidad y los ataques DDoS como las principales ciberamenazas que se están observando en la actualidad. ¿La clave de todas ellas? El aumento de la especialización de los atacantes, la sofisticación de las técnicas y el incremento del cybercrime-as-a-service, el cibercrimen como servicio, o cibercrimen a sueldo. Precisamente este es el modus operandi del grupo LockBit, detrás de ciberataques tan sonados como el del Ayuntamiento de Sevilla.

Así funciona el ransomware de triple extorsión que está poniendo en jaque a las empresas

¿Qué hacer ante el ransomware de cuádruple extorsión?

Como la mayoría de los ataques de ransomware, la puerta de entrada suele ser un usuario o empleado, que accede a un enlace o descarga un archivo malicioso. Pueden llegar a través del correo electrónico, SMS o cualquier otra herramienta. Conocer el funcionamiento, establecer formaciones y concienciación en ciberseguridad para que los usuarios puedan detectar estos ataques basados en la ingeniería social es vital en términos de prevención.

Los especialistas apuntan también a la importancia de la detección de peticiones anómalas, o de conexiones desde direcciones IP desconocidas y la monitorización sobre los accesos a cuentas, direcciones de correo y perfiles corporativos, así como por supuesto contar con herramientas, soluciones de ciberseguridad y una estrategia frente al ransomware.

Contar con una buena política de copias de seguridad es siempre fundamental, sobre todo para el caso del ransomware tradicional, que permitirá recuperar los archivos. Pero en el caso de que exista exfiltración de información, chantaje doble extorsión, triple o cuádruple extorsión, la prevención es clave. 

Mónica Valle
https://monicavalle.es
Periodista especializada en seguridad informática y tecnología. Cofundadora y directora editorial de Bit Life Media, web dedicada a la actualidad de la tecnología, ciberseguridad e innovación. Presentadora de eventos y ponente especializada en seguridad informática y concienciación. Autora de "Ciberseguridad, consejos para tener vidas digitales más seguras".

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre