Banda de ransomware amenaza con filtrar datos si la víctima contacta a las autoridades
Todo lo que hacen los negociadores de ransomware o investigadores del FBI es estropear las cosas. Por lo tanto, publicaremos tus datos en nuestro sitio de filtración de datos en la dark net si pides ayuda.
Banda de ransomware Ragnar Locker
En un anuncio que conocimos esta semana, los operadores de ransomware amenazaron con publicar todos los datos de las organizaciones victimizadas que buscan ayuda de las autoridades policiales o de los investigadores tras los ataques de ransomware.
Lo mismo ocurrirá con las víctimas que llaman a expertos en recuperación de datos que intentan descifrar archivos y/o ayudar a negociar el rescate y/o el proceso de descifrado.
“En nuestra práctica nos hemos enfrentado con los negociadores profesionales con mucha más frecuencia en los últimos días”, decía el anuncio en inglés. “Desafortunadamente, no hace que el proceso sea más fácil ni más seguro, al contrario, en realidad lo empeora todo”.
Sin negociadores
Dichos negociadores están asociados a las autoridades policiales o los investigadores o trabajan directamente con ellos, afirmó la banda. De cualquier manera, están en esto por sí mismos y no se preocupan por el bienestar financiero de sus clientes o la privacidad de sus datos, concluyeron.
Para echar sal en las heridas de las empresas de las que Ragnar Locker se aprovecha, la banda pasó a referirse a sus víctimas como “clientes”. Algo así como que cualquiera de su larga lista de objetivos lo hubiera reflexionado y decidido que ya era hora de tener sus archivos cifrados y sus negocios paralizados. Y, por lo tanto, habían contratado al grupo Ragnar Locker para hacer el trabajo.
La seria amenaza afirma que “A partir de este momento advertimos a todos nuestros clientes. Si contratan alguna empresa de recuperación para las negociaciones o si envían solicitudes a la Policía/FBI/Investigadores, lo consideraremos como un intento hostil e iniciaremos la publicación de todos los datos comprometidos inmediatamente. “No creas por favor que algún negociador pueda engañarnos, tenemos suficiente experiencia y muchas formas de reconocer tal treta”.
Modus operandi
Como explicó el FBI en noviembre de 2020 en una alerta sobre el aumento de la actividad de Ragnar Locker, la banda tiene una muy bien cuidada metodología. Los operadores primero obtienen acceso a la red de una víctima y luego realizan un reconocimiento para ubicar recursos de red, copias de seguridad u otros archivos confidenciales que pueden cifrar y robar. En la etapa final del ataque, implementan manualmente el ransomware, cifrando los datos de la víctima.
La familia de ransomware Ragnar Locker cambia con frecuencia las técnicas de ofuscación para pasar por alto la detección y la prevención. El ransomware se identifica con la extensión “.RGNR_<ID>”, donde <ID> es un hash del nombre NETBIOS de la computadora. Los atacantes se identifican a sí mismos como “RAGNAR_LOCKER” y dejan una nota de rescate .txt, con instrucciones sobre cómo pagar.
Ragnar Locker ha utilizado VMProtect, UPX y algoritmos de empaquetado personalizados. El ransomware también se ha implementado dentro de la máquina virtual Windows XP personalizada de un atacante en el sitio de un objetivo, según el FBI.
La alerta siguió a la primera observación del FBI de Ragnar Locker en abril de 2020. En ese momento cuando la banda cifró 10 TB de datos pertenecientes a una gran corporación no identificada, exigiendo un rescate de $ 11 millones.
En aquel momento, el FBI dijo que Ragnar Locker estaba atacando cada vez más a una variedad de víctimas. Las victimas incluían proveedores de servicios en la nube, comunicaciones, construcción, viajes y empresas de software empresarial.
Lista de victimas
Los ciberdelincuentes detrás de Ragnar Locker han ido tras una mezcolanza de industrias. Algunos de sus ataques más notorios son:
Julio de 2020: el líder de viajes corporativos CWT puede haber efectuado el pago de $4.5 millones en un ataque de ransomware atribuido a Ragnar Locker.
Noviembre de 2020. La marca italiana de licores Campari fue atacada por una banda que usó Ragnar Locker para cifrar la mayoría de los servidores de Campari.
Noviembre de 2020. Capcom, el desarrollador de videojuegos japonés detrás de Resident Evil, Street Fighter y Darkstalkers, sufrió un ataque de Ragnar Locker en el que se cifró 1 TB de datos confidenciales. A enero de 2021, las repercusiones se habían ampliado. La compañía dijo que los datos personales de hasta 400,000 de sus clientes se vieron comprometidos en el ataque.
Diciembre de 2020. El gigante de la aviación Dassault Falcon Jet, la filial estadounidense de la empresa aeroespacial francesa Dassault Aviation, informó a los clientes de una infracción tras un ataque de Ragnar Locker.
Junio de 2021. El fabricante taiwanés de memorias y dispositivos de almacenamiento ADATA admitió que se vio obligado a desconectar sus sistemas. Esto ocurrió después de ser blanco de un ataque de Ragnar Locker a fines de mayo.
¿Deberías pagar?
La última técnica de la banda de tratar de asustar a las víctimas para que no busquen ayuda agregará aún más presión para pagar las demandas de rescate. Puedes imaginarte el proceso de análisis: si pedir ayuda conlleva que los delincuentes publicarán datos confidenciales, ¿por qué molestarte?
Pero hay muchas buenas razones para no pagar, a pesar de la nueva amenaza del grupo. Una de las razones más citadas es el sentido común puro: es decir, son delincuentes. No puedes confiar en ellos.
Para poner un poco de contexto en torno a lo que las víctimas de ransomware eligen hacer, una encuesta reciente concluyó que un 80% de las víctimas, de hecho, no pagan.
La principal razón citada, que representa el 42%de las respuestas, es que pagar el rescate no garantiza una clave de descifrado.
Pagar el rescate ni siquiera garantiza que no te volverán a atacar. En una encuesta separada realizada por Cybereason, el 80% de las organizaciones que pagaron el rescate dijeron que fueron víctimas de un segundo ataque. Sorprendentemente, casi la mitad fue atacada por la misma banda y un tercio por una banda diferente.