En los últimos años, los grupos de ransomware han aumentado las amenazas contra las víctimas para incentivarlas a pagar el rescate a cambio de sus datos robados y cifrados. Pero un nuevo grupo está destruyendo esencialmente los archivos de más de 2 MB, por lo que los datos de esos archivos se pierden incluso si se paga el rescate.
El grupo que está detrás de la operación Onyx está sobrescribiendo los datos de esos archivos con datos basura en lugar de cifrarlos, por lo que los datos no pueden recuperarse mediante una clave de descifrado. Por ello, se insta a las víctimas de los ataques de ransomware Onyx a no pagar el rescate.
“Hay un gran problema: como el ransomware que están utilizando es un trash skidware, está destruyendo una parte de los archivos de las víctimas”, escribieron en un tuit los analistas de Malware Hunter Team. “Diría que ninguna empresa debería pagar a estos idiotas ya que los archivos más pequeños son desencriptables, los grandes no pueden desencriptar, pero también están robando archivos”.
El equipo del CERT de la República Checa dijo que Onyx se basa en el constructor de ransomware Chaos, que tiene características similares. Los cazadores de amenazas de Qualys dijeron que, aunque Chaos se anuncia como ransomware, actúa más como un malware limpiador, que sobrescribe o borra los datos de los archivos.
En cuanto a Onyx, Christopher Boyd, de Malwarebytes Labs, cuestionó que la sobrescritura de los datos por parte del grupo Onyx fuera intencionada.
“La sospecha inicial era que esta sobrescritura de archivos de más de 200MB era un intento deliberado de tirar a la basura los archivos más grandes disponibles”, escribió Boyd, analista principal de inteligencia de malware de Malwarebytes, en una entrada de blog. “Sin embargo, dado que en realidad son más de 2MB, es más probable que esta sobreescritura de archivos sea accidental”.
Sin embargo, escribió, “ya sea por malicia deliberada o por un error de codificación accidental, esto no es bueno. Se sobrescribirán y perderán muchos más archivos debido al menor tamaño de los mismos, y habrá mucha gente muy enfadada en las organizaciones afectadas.”
La operación de Onyx es un recordatorio para las empresas víctimas del ransomware, según Nasser Fattah, presidente del Comité Directivo para Norteamérica del proveedor de gestión de riesgos de terceros Shared Assessments.
“Como en todos los ataques de ransomware, no hay garantías de que una organización infligida pueda reconstituir sus datos aunque el atacante proporcione una clave de descifrado “correcta” o evite otros problemas relacionados”, dijo Fattah a The Register.
“De ahí la importancia de tomar medidas preparatorias con antelación, incluyendo copias de seguridad activas, ciberhigiene y seguir las mejores prácticas, como las directrices [de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos] sobre el ransomware.”
Es el último paso de los grupos de ransomware para violar lo que Boyd llama el “círculo de confianza” que tienen con las víctimas. El ransomware es un ataque con motivación económica, cuyo objetivo es conseguir el dinero en mano.
Y hay dinero para hacer: El grupo de inteligencia de amenazas Palo Alto Networks Unit 42 dijo que la demanda promedio de rescate en 2021 alcanzó los 2,2 millones de dólares, un aumento del 144% año tras año.
Si una operación de ransomware se gana la reputación de no descifrar los archivos después de un pago, las víctimas pueden ser menos propensas a pagar el rescate. Dicho esto, en los últimos años los grupos de amenazas han aumentado la presión sobre las víctimas con amenazas de volver a atacar a la misma empresa si no paga la primera vez.
También existen ahora amenazas de doble y triple extorsión, en las que los cibercriminales no sólo cifran los datos, sino que también los roban y amenazan con divulgarlos públicamente si no se paga el rescate. Algunos grupos también amenazan con borrar o sobrescribir los datos, haciéndolos irrecuperables. Boyd, de Malwarebytes, señaló que el 83% de los ataques de ransomware que tienen éxito son ahora operaciones de doble o triple extorsión.
Ese círculo de confianza ya se estaba deshilachando antes de este año. Grupos de ransomware como Conti y Maze empezaron hace dos años a publicar algunos datos incluso si se pagaba el rescate y Boyd señaló que en 2021, solo el 8% de las víctimas de ransomware recuperaban sus datos.
Es poco probable que un grupo de ciberdelincuentes deje en paz a una empresa aunque pague el rescate, porque hay muchos datos ahí fuera y muchas formas de sacar provecho de ellos.
Cada vez es más difícil seguir confiando en que las bandas de ransomware cumplan sus promesas de devolver los datos intactos aunque se pague el dinero, escribió Boyd, y añadió que “las tácticas de romper y agarrar pueden acabar transformándose en romper, con el agarre opcional”.
Mr. X
Exploitables es una comunidad de ciberseguridad y tecnología nacida en Málaga. Queremos compartir conocimientos de manera desinteresada.
