Sus copias de seguridad en la nube podrían ser el objetivo de los operadores de ransomware
Hemos mencionado antes que las personas y las organizaciones ahora son mucho más conscientes de la amenaza del ransomware de lo que solían ser. Esta es parte de la razón por la cual, al menos en lo que respecta a las estadísticas, el malware de cifrado de archivos ya no es el mayor problema de ciberseguridad para los usuarios domésticos. Sin embargo, todavía está vivo y coleando, y eso es porque las personas continúan pensando que mientras tengan copias de seguridad, estarán a salvo. El medio de noticias de seguridad Bleeping Computer señaló recientemente que este tipo de pensamiento podría poner a los usuarios finales y a las grandes organizaciones en una situación muy mala.
Table of Contents
Los operadores de ransomware se están entrometiendo con las copias de seguridad en la nube de las víctimas
Bleeping Computer ha estado siguiendo los desarrollos en torno a familias de ransomware dirigidas a empresas como DoppelPaymer y Maze desde hace un tiempo. El mes pasado, el sitio web de noticias vio la aparición de "filtraciones Dopple", un portal en línea administrado y mantenido por la pandilla DopplePaymer que se utiliza para exponer la información confidencial de las organizaciones que han sido afectadas por el ransomware pero se niegan a pagar el rescate.
Poco después del lanzamiento de las filtraciones Dopple, los delincuentes publicaron la ubicación y las credenciales de inicio de sesión de una copia de seguridad en la nube Veeam que pertenece a una de las víctimas. Este fue un movimiento curioso por parte de los ladrones, y Bleeping Computer decidió contactarlos para averiguar qué estaba pasando.
Los ataques de ransomware dan a los cibercriminales acceso completo a los datos de una empresa, incluidas sus copias de seguridad
El medio de comunicación se puso en contacto con las pandillas que operan las familias de ransomware DoppplePaymer y Maze y les preguntó cómo consiguen esos datos de inicio de sesión y por qué a veces deciden publicarlos. No es sorprendente que los delincuentes no quisieran dar demasiados detalles, pero sí proporcionaron suficiente información para darnos una idea de cómo funcionan los ataques de ransomware dirigidos a las empresas en estos días.
Los piratas informáticos comienzan por comprometer un punto final único mediante phishing, malware o un servicio de protocolo de escritorio remoto mal configurado. Bloquear los datos en una sola computadora puede ser bastante devastador a veces, pero los delincuentes quieren garantizar el máximo daño, por lo que luego intentan moverse lateralmente dentro de la red. El objetivo final es extraer las credenciales de administrador que les dan control total sobre la infraestructura de TI de la víctima. Para obtener estas credenciales, los ladrones usan keyloggers, ataques de phishing y kits de pruebas de penetración como Mimikatz. Incluso después de asumir el control sobre la red de la víctima, los delincuentes no proceden inmediatamente con la etapa de cifrado de archivos.
Los ataques modernos de ransomware implican herramientas que buscan copias de seguridad locales y en la nube. Si hay copias de seguridad, los operadores de ransomware pueden copiar los datos a los servidores controlados por ellos y usarlos para otros ataques más adelante. También pueden eliminarlo para asegurarse de que la víctima no tenga otra opción que pagar el rescate. En muchos casos, las copias de seguridad almacenadas en la nube están protegidas por nombres de usuario y contraseñas, pero a menudo, son accesibles con las credenciales administrativas que los ladrones ya han robado, por lo que acceder a ellas no es un problema.
Los operadores de ransomware quieren mostrar al mundo lo peligrosos que pueden ser
Realmente no debería sorprendernos el hecho de que los operadores de ransomware pueden obtener acceso a las copias de seguridad de las víctimas. Hace unos meses, los expertos en seguridad notaron que los ciberdelincuentes comenzaron a robar datos confidenciales de la compañía antes de encriptarlos, y era normal suponer que tarde o temprano obtendrían algunas copias de seguridad.
Sin embargo, el ataque sobre el que escribió Bleeping Computer fue un poco extraño, porque durante el mismo, los delincuentes decidieron no eliminar las copias de seguridad y dejar a su víctima sin ninguna forma de restaurar los datos de forma gratuita. Tampoco hicieron intentos de monetizar la información respaldada vendiéndola en los mercados subterráneos. En cambio, simplemente lo pusieron en un sitio web público donde cualquiera podía acceder a él.
Los operadores de DopplePaymer le dijeron a Bleeping Computer que hicieron esto para mostrarle al mundo cuánto control tienen sobre las redes de las víctimas. En otras palabras, le están diciendo a todos lo peligrosos que pueden ser sus ataques, y si tenemos que buscar el lado positivo en todo el incidente, probablemente diríamos que ha aumentado las posibilidades de que las compañías vuelvan a pensar sus políticas de respaldo.
Las personas deben dejar de suponer que una sola copia de seguridad es suficiente para garantizar una recuperación perfecta a raíz de un ataque de ransomware. Incluso podría argumentar que, especialmente cuando se trata de organizaciones empresariales, no existe una recuperación perfecta. Sin embargo, esto no significa que las copias de seguridad no sean importantes. De hecho, en todo caso, incidentes como el descrito anteriormente muestran que la copia de seguridad de los datos es un proceso largo que implica mucha toma de decisiones y un alto nivel de atención a los detalles.
