Ransomware de doble extorsión - Cifrar y filtrar
Lectura de 2 min aprox.
La doble extorsión (Double Extortion) es una técnica empleada en los ataques de ransomware en la que, además de cifrar los datos, los atacantes amenazan con publicar los datos robados para exigir un rescate. El grupo de ransomware Maze la ejecutó de forma sistemática por primera vez a finales de 2019, y desde entonces se ha convertido en una táctica estándar de los ataques de ransomware. En el modelo convencional de «cifrar y vender la clave de descifrado», los ingresos del atacante caen a cero en cuanto la víctima se recupera desde una copia de seguridad, por lo que, al añadir la publicación de datos como segundo eje de extorsión, esta técnica aumenta drásticamente la presión para pagar el rescate.
El flujo de ataque de la doble extorsión
Cabe destacar que el robo de datos se completa antes del cifrado. Los atacantes acechan dentro de la red durante días o semanas, identifican los datos de alto valor y los exfiltran antes de ejecutar el cifrado. Es decir, para cuando se detecta el cifrado, la filtración de datos ya se ha consumado.
La evolución de la extorsión que comenzó con Maze
En noviembre de 2019, el grupo Maze publicó parte de los datos robados a la empresa de seguridad estadounidense Allied Universal y presionó para que se pagara un rescate. Este fue el primer caso a gran escala de doble extorsión. Maze estableció un modelo en el que creaba un sitio de filtraciones dedicado (sitio de fuga de datos) y publicaba de forma gradual los datos de las víctimas que se negaban a negociar.
Al ver el «éxito» de esta técnica, otros grupos la imitaron uno tras otro, y desde 2020 casi todos los grupos de ransomware importantes, incluidos REvil, Conti, LockBit y BlackCat (ALPHV), han adoptado la doble extorsión como táctica estándar.
La evolución hacia la triple extorsión
También se ha observado la «triple extorsión», una evolución adicional de la doble extorsión.
Cifrar los datos. El atacante exige un rescate a cambio de la clave de descifrado. Es la técnica básica del ransomware convencional.
Publicar los datos robados. El atacante amenaza con una divulgación gradual en un sitio de filtraciones o con denunciar a los medios o a los reguladores.
Contactar directamente con los socios comerciales y clientes de la víctima, o combinar el ataque con un ataque DDoS. Esto presiona la continuidad del negocio de la víctima desde múltiples frentes.
Por qué las copias de seguridad por sí solas no bastan
En la defensa convencional contra el ransomware, la idea aceptada era que «puedes recuperarte siempre que tengas copias de seguridad periódicas». Sin embargo, con la doble extorsión, la amenaza de una filtración de datos no desaparece ni siquiera tras restaurar desde una copia de seguridad. El atacante ya posee una copia de los datos y amenaza con publicarlos a menos que se pague el rescate.
| Medida | Efecto contra el cifrado | Efecto contra la fuga de datos |
|---|---|---|
| Copia de seguridad sin conexión | Efectiva (recuperación posible) | Inefectiva (no evita la fuga) |
| Aislamiento de red | Limita el alcance del daño | Frena el movimiento lateral y reduce el volumen robado |
| Cifrado de los datos almacenados | Sin efecto | Difícil de descifrar aunque sea robado |
| DLP (prevención de pérdida de datos) | Sin efecto | Detecta y bloquea las transferencias masivas de datos al exterior |
| Confianza cero | Frena el movimiento lateral | Limita los datos accesibles mediante el mínimo privilegio |
La realidad de los sitios de filtración de datos (Leak Site)
Los grupos de ataque operan sitios de filtración en la red Tor y publican de forma gradual los datos de las víctimas que se niegan a negociar. Primero publican el nombre de la empresa y parte de los datos robados (capturas de pantalla o listas de archivos) y usan un temporizador de cuenta atrás para mostrar el plazo hasta la publicación de todos los datos. Esto supone una presión psicológica sobre la víctima y, a la vez, sirve de «escarmiento» para otras víctimas potenciales. Los datos publicados pueden ser descargados por cualquiera, incluidos competidores, delincuentes y organismos estatales, lo que amplía el daño secundario de una violación de datos.
Un enfoque de defensa integral
Identifica y clasifica los datos confidenciales y aplica el cifrado en reposo. Aunque los datos sean robados, si están cifrados el atacante no puede leer su contenido, por lo que no sirven como palanca de extorsión.
Detecta patrones de comunicación anómalos en los que se transfieren grandes volúmenes de datos al exterior. Supervisa el volumen de transferencias salientes con SIEM o DLP de red y emite una alerta cuando se supera un umbral.
Verifica cada acceso, incluso desde el interior de la red. Esto dificulta el movimiento lateral aunque un atacante penetre y mantiene al mínimo el alcance de los datos accesibles.
La defensa contra la doble extorsión es, en esencia, una defensa en capas que combina el cifrado de los datos almacenados con la confianza cero. Consulta también defensa contra el ransomware, respuesta a violaciones de datos e introducción a las copias de seguridad.libros sobre defensa contra el ransomware (Amazon) son recomendables para aprender las estrategias de defensa más recientes.
¿Te resultó útil este artículo?