El último perfil alto hazañas de ciberdelincuencia atribuidos al equipo de ransomware Clop no son el tipo tradicional de ataques de ransomware (si "tradicional" es la palabra correcta para un mecanismo de extorsión que se remonta a 1989).
Los ataques de ransomware convencionales son cuando sus archivos se codifican, su negocio se descarrila por completo y aparece un mensaje que le informa que hay una clave de descifrado disponible para sus datos...
…por lo que suele ser una cantidad de dinero deslumbrante.
Evolución delictiva
Como puedes imaginar, dado que el ransomware vuelve a los días antes de que todos tuvieran acceso a Internet (y cuando aquellos que estaban en línea tenían velocidades de transferencia de datos medidas no en gigabits o incluso megabits por segundo, sino a menudo simplemente en kilobits), la idea de codificar sus archivos donde estaban era un truco cobarde para ahorrar tiempo.
Los delincuentes terminaron con un control total sobre sus datos, sin necesidad de cargar todo primero y luego sobrescribir los archivos originales en el disco.
Mejor aún para los ladrones, podrían perseguir cientos, miles o incluso millones de computadoras a la vez, y no necesitaban quedarse con todos sus datos con la esperanza de “vendérselos”. (Antes de que el almacenamiento en la nube se convirtiera en un servicio de consumo, el espacio en disco para la copia de seguridad era costoso y no se podía adquirir fácilmente bajo demanda en un instante).
Irónicamente, las víctimas del ransomware de cifrado de archivos terminan actuando como guardianes de sus propios datos.
Sus archivos se dejan tentadoramente al alcance de la mano, a menudo con sus nombres de archivo originales (aunque con una extensión adicional como .locked agregado al final para frotar sal en la herida), pero completamente ininteligible para las aplicaciones que normalmente los abrirían.
Pero en el mundo actual de la computación en la nube, los ataques cibernéticos en los que los delincuentes de ransomware realmente toman copias de todos, o al menos muchos, de sus archivos vitales no solo son técnicamente posibles, sino que son comunes.
Para que quede claro, en muchos casos, si no en la mayoría, los atacantes también codifican sus archivos locales, porque pueden hacerlo.
Después de todo, codificar archivos en miles de computadoras simultáneamente es generalmente mucho más rápido que cargarlos todos en la nube.
Los dispositivos de almacenamiento local generalmente brindan un ancho de banda de datos de varios gigabits por segundo por unidad por computadora, mientras que muchas redes corporativas tienen una conexión a Internet de unos cientos de megabits por segundo, o incluso menos, compartida entre todos.
Codificar todos sus archivos en todas sus computadoras portátiles y servidores en todas sus redes significa que los atacantes pueden chantajearlo sobre la base de llevar su negocio a la bancarrota si no puede recuperar sus copias de seguridad a tiempo.
(Los ladrones de ransomware de hoy a menudo hacen todo lo posible para destruir la mayor cantidad de sus datos respaldados que puedan encontrar antes de hacer la parte de codificación de archivos).
La primera capa de chantaje dice: “Pague y le daremos las claves de descifrado que necesita para reconstruir todos sus archivos justo donde están en cada computadora, así que incluso si tiene copias de seguridad lentas, parciales o inexistentes, pronto estará en funcionamiento nuevamente; si se niega a pagar, sus operaciones comerciales se quedarán donde están, muertas en el agua”.
Al mismo tiempo, incluso si los delincuentes solo tienen tiempo para robar algunos de sus archivos más interesantes de algunas de sus computadoras más interesantes, obtienen una segunda espada de Damocles para sostenerla sobre su cabeza.
Esa segunda capa de chantaje va en la línea de, “Pague y prometemos eliminar los datos robados; se niegan a pagar y no nos aferraremos a él, sino que nos volveremos locos con él”.
Los delincuentes suelen amenazar con vender los datos de su trofeo a otros delincuentes, reenviarlos a los reguladores y los medios de comunicación de su país, o simplemente publicarlos abiertamente en línea para que todos puedan descargarlos y atiborrarse.
Olvídate del cifrado
En algunos ataques de extorsión cibernética, los delincuentes que ya han robado sus datos se saltan la parte de codificación de archivos o no pueden lograrlo.
En ese caso, las víctimas terminan siendo chantajeadas solo sobre la base de mantener callados a los delincuentes, no de recuperar sus archivos para que su negocio vuelva a funcionar.
Eso parece ser lo que sucedió en el reciente evento de alto perfil MOVEit ataca, donde la pandilla Clop, o sus afiliados, conocían una vulnerabilidad de día cero explotable en el software conocido como MOVEit...
…sucede que se trata de cargar, administrar y compartir datos corporativos de manera segura, incluido un componente que permite a los usuarios acceder al sistema usando nada más complejo que sus navegadores web.
Desafortunadamente, el agujero de día cero existía en el código basado en la web de MOVEit, por lo que cualquier persona que hubiera activado el acceso basado en la web exponía inadvertidamente sus bases de datos de archivos corporativos a comandos SQL inyectados de forma remota.
Aparentemente, ahora se sospecha que a más de 130 empresas se les robaron datos antes de que se descubriera y reparara el día cero de MOVEit.
Muchas de las víctimas parecen ser empleados cuyos datos de nómina fueron violados y robados, no porque su propio empleador fuera cliente de MOVEit, sino porque el procesador de nómina subcontratado de su empleador lo era y sus datos fueron robados de la base de datos de nómina de ese proveedor.
Además, parece que al menos algunas de las organizaciones pirateadas de esta manera (ya sea directamente a través de su propia configuración de MOVEit o indirectamente a través de uno de sus proveedores de servicios) eran organismos de servicio público de EE. UU.
Recompensa en juego
Esta combinación de circunstancias llevó al equipo de Recompensas por la Justicia de EE. UU. (RFJ), parte del Departamento de Estado de EE. UU. (el equivalente de su país podría llamarse Asuntos Exteriores o Ministerio de Relaciones Exteriores), recordando a todos en Twitter lo siguiente:
Los RFJ propio sitio web dice, como se cita en el tweet anterior:
Recompensas por la Justicia ofrece una recompensa de hasta $10 millones por información que conduzca a la identificación o ubicación de cualquier persona que, mientras actúa bajo la dirección o el control de un gobierno extranjero, participe en actividades cibernéticas maliciosas contra la infraestructura crítica de EE. UU. en violación de la Ley de Abuso y Fraude Informático (CFAA).
No está claro si los informantes podrían terminar con varios múltiplos de $ 10,000,000 si identifican a varios delincuentes, y cada recompensa se especifica como "hasta" $ 10 millones en lugar de $ 10 millones sin diluir cada vez...
…pero será interesante ver si alguien decide intentar reclamar el dinero.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/06/28/interested-in-10000000-ready-to-turn-in-the-clop-ransomware-crew/
