Los primeros días del ransomware fueron muy transaccionales. Recibías un correo electrónico no solicitado, hacías clic en un enlace o abrías un archivo adjunto, y finalmente se ejecutaba un archivo el binario de ransomware que cifraba todos los archivos de tu ordenador. El proceso de recuperación era bastante sencillo. O recuperabas los archivos de una copia de seguridad (después de reinstalar completamente el sistema operativo del ordenador) o enviabas unos Bitcoins a los cibercriminales a cambio de la clave de descifrado.
Con el tiempo, los delincuentes agregaron la capacidad de comunicarse con ellos y las cosas se volvieron un poco más personales.
Esas comunicaciones se realizaban principalmente para dar soporte a la hora del pago del rescate. Los delincuentes no solo pudieron aumentar su reputación como delincuentes “confiables”, sino que también algunas víctimas pudieron negociar las condiciones de pago.
Un grupo que se hacía llamar “Shadow Kill Hackers” atacó la ciudad de Johannesburgo, alegando haber robado datos de los sistemas comprometidos de la ciudad. La diferencia en este caso es que los atacantes no cifraron ningún archivo. En este ataque puramente social, los delincuentes amenazaron con revelar los datos financieros y personales de los ciudadanos de Johannesburgo si el pago (4 BTC) no se realizaba antes de la fecha límite. La ciudad rechazó la demanda de rescate y los atacantes no publicaron ningún dato. Esta nueva táctica tardó menos de un mes en captar la atención de ciberdelincuentes más “serios”.
Los cibercriminales detrás del ransomware Maze comenzaron a incorporar esta táctica de robar y compartir como presión de extorsión adicional en sus operaciones de ransomware. El primer incidente de este tipo ocurrió en noviembre de 2019 cuando el equipo de Maze publicó una parte de los datos robados de las víctimas en una demostración de fuerza y agregó presión social por la falta de pago de la empresa. Desde entonces, hemos visto a los operadores de Maze continuar con este comportamiento y otras bandas prominentes de ransomware se han unido a ellos.
Hoy en día no es raro escuchar que una víctima de ransomware ha sido extorsionada para que pague un rescate bajo amenaza de filtración de datos. Hemos visto a algunos ciberdelincuentes utilizar su acceso total a los sistemas comprometidos de una organización para enfrentar a los empleados con sus propios directivos y el departamento de TI amenazando con liberar los datos robados de los empleados si la empresa no negocia el pago con los ciberdelincuentes.
Si bien es demasiado pronto para determinar si esta forma de presión social será más rentable que los métodos más tradicionales, no deja intuir una nueva era en el ransomware en la que la presión social y la vergüenza pública se utilizan para aumentar los beneficios de los atacantes.
Dejar un comentario