El ransomware supone un riesgo serio para las empresas. Sin embargo, actualmente se habla cada vez más del ransomware de Doble Extorsión. ¿Qué es, qué significan estos ataques para las empresas y cómo puedes protegerte? Os lo contaremos en esta entrada del blog.

¿Qué es el ransomware Double Extortion?

Extorsión doble se traduce en «extorsión doble». Esto no implica necesariamente chantaje múltiple, sino que los ciberdelincuentes utilizan varios medios de extorsión para su chantaje. Con el ransomware que ha sido común hasta ahora, normalmente existe una forma de ejercer presión: los datos de un ordenador, red o sistema están cifrados. Se exige un rescate para el descifrado. En el caso del ransomware Double Extortion, los ciberdelincuentes añaden más ventaja para hacer que el pago del rescate sea lo más inevitable posible para la empresa chantajeada.

¿Con qué amenazan los ciberdelincuentes en caso de una doble extorsión?

En muchas extorsiones dobles, los ciberdelincuentes copian los datos antes de que se cifren. Para ello, prefieren información lo más sensible posible, como secretos de la empresa o datos personales. Más tarde, amenazan con publicar exactamente estos datos o subastarlos en la darknet.

Otros posibles medios de presión por parte de los ciberdelincuentes:

• Ataques DDoS que los ciberdelincuentes utilizan para dejar inutilizable la página web de la empresa chantajeada.
• Las violaciones de la normativa por parte de la empresa detectadas por los ciberdelincuentes, como el RGPD. Entonces, las demandas de rescate suelen estar por debajo de la multa esperada.

¿Cómo funciona un ataque típico de doble extorsión?

Conocer la secuencia típica de estos ataques ayuda a protegerte de forma más eficaz contra ellos.

1. Compromiso de la red corporativa. Por ejemplo, a través de un correo electrónico de phishing exitoso, sobre brechas de seguridad que aún no se han cerrado con actualizaciones o ataques al acceso remoto.
2. Distribución en la red. Los ciberdelincuentes amplían su acceso y exploran el sistema y sus datos.
3. Exfiltración de datos. Los ciberdelincuentes copian la mayor cantidad posible de datos de la empresa y lo más sensibles posible.
4. Activación del ransomware. Cifrado de todos los datos y sistemas de la empresa accesibles para los ciberdelincuentes; Presentación de la nota de rescate.
5. La publicación o subasta de los datos copiados puede ser amenazada si la empresa se niega a pagar el rescate. Sin embargo, también puede prometerse directamente con la primera demanda de rescate.

Los vectores de ataque más comunes utilizados por los ciberdelincuentes

Para los ciberdelincuentes, el primer compromiso de la red corporativa es crucial. Para ello, utilizan diferentes rutas de ataque:

• Correos electrónicos de phishing
• Vulnerabilidades en software y hardware
• Vulnerabilidades de las conexiones VPN
• Ataques de fuerza bruta sobre el acceso remoto a la red corporativa (estos accesos también se conocen como Protocolo de Escritorio Remoto, RDP para abreviar).
• Credenciales compradas en la dark web a redes que ya han sido comprometidas

¿Cómo puedes proteger mejor a tu empresa contra ataques de doble extorsión?

Básicamente, debes establecer tu plan de protección de dos maneras:

• Prevención de ataques exitosos (prevención)
• Control de daños en ataques exitosos (reacción)

Implementar una protección de base de ciberseguridad bien pensada ya marca una gran diferencia. Además, recomendamos medidas específicas para prevenir procesos típicos de ataques de doble extorsión, o al menos para detectarlos rápidamente y poder reaccionar de inmediato.

Un modelo de Confianza Cero implementado de forma consistente, que se complementa con medidas específicas, ofrece una protección especial.

Una estrategia de seguridad eficaz se adapta individualmente a tu empresa, incluyendo sus condiciones, posibilidades y límites técnicos, humanos y relacionados con el contenido. Los expertos de Perseus estarán encantados de asesorarte al respecto.

Sin embargo, nos gustaría ofrecerte aquí algunas medidas especialmente importantes.

Medidas particularmente importantes para prevenir ataques de doble extorsión

• Concienciación y formación en prevención de phishing para tus empleados
• Aplicación inmediata de actualizaciones y parches, especialmente para puntos de ataque comunes como VPN y RDP.
• Da acceso a puntos de ataque comunes solo a quienes realmente los necesiten. Asegura estos accesos con autenticación multifactor si es posible.
• Proteger los datos sensibles de manera dirigida, por ejemplo, mediante cifrado o almacenamiento externalizado.
• Segmentar la red de la empresa en áreas lo más separadas posible.

Medidas particularmente importantes para limitar el daño en ataques de doble extorsión

• Monitorización del sistema para detectar procesos sospechosos.
• Cumple con el RGPD y otras normativas para reducir el chantaje.
• Promover una cultura de seguridad positiva y atenta para que los compromisos se detecten y reporten rápidamente. Solo entonces se puede dar una respuesta adecuada.
• Un plan de contingencia familiar y accesible para todos los empleados. Debe nombrar las medidas iniciales y las personas de contacto para la emergencia cibernética.
• Si es necesario, utiliza hardware y software que prevenga fugas de datos en caso de un compromiso exitoso. Estos productos también se conocen como prevención de pérdida de datos.
• Copias de seguridad actualizadas almacenadas por separado del sistema
• Estrategia para restaurar el sistema de forma fácil y rápida a partir de copias de seguridad recientes

¿A quién puedes contactar en un caso agudo?

¿Sospechas que tu red se compromete o incluso tienes una demanda de rescate delante? Entonces actúa inmediatamente:

Los miembros de Perseus pueden contar con nuestra respuesta a incidentes las 24 horas del día, todos los días.

Más información

En una conversación personal, estaremos encantados de asesorarte sobre el tema de la doble extorsión y cómo puedes proteger mejor tu empresa. Si quieres leer sobre este tema, échale un vistazo aquí:

• No More Ransom es una iniciativa de la Unidad Nacional de Crimen de Alta Tecnología de la policía neerlandesa y del Centro Europeo de Ciberdelitos de Europol, entre otros. Aquí encontrarás información sobre el tema y muchos consejos de prevención.
• Este informe analiza detalladamente el estado actual del ransomware y la creciente prevalencia del ransomware de doble extorsión. La organización detrás del informe es el Royal United Service Institute (RUSI), un instituto británico independiente dedicado a la seguridad nacional e internacional.