Un estudio revela que la mayoría de las soluciones de ransomware solo pagan Cripto

Un estudio de ProPublica descubrió que la mayoría de los proveedores de soluciones ransomware tienen un truco extraño para deshacerse de los piratas informáticos: pagarles.

La actividad de ransomware crece semanalmente según los expertos deCoveware¿El resultado? Empresas que solo quieren pagar el rescate y seguir adelante.

Según Coveware, los ataques de ransomware aumentaron en el primer trimestre de 2019:

En el primer trimestre de 2019, el rescate promedio aumentó un 89%, alcanzando los 12.762 dólares, en comparación con los 6.733 dólares del cuarto trimestre de 2018. Este aumento refleja el aumento de infecciones de ransomware más costosos, como Ryuk, Bitpaymer e Iencrypt. Estos tipos de ransomware se utilizan principalmente en ataques dirigidos a gran escala contra empresas de mayor tamaño.

Sin embargo, una vez que los hackers cifran una computadora infectada, la verdadera pregunta es cómo desbloquear sus datos. ProPublica descubrió que muchas empresas de recuperación de datos simplemente pagan el rescate y luego cobran una prima por las molestias.

Proven Data prometió ayudar a las víctimas de ransomware desbloqueando sus datos con la " Tecnología más avanzada", según correos electrónicos de la empresa y antiguos clientes. En cambio, obtuvo herramientas de descifrado de los ciberatacantes mediante el pago de rescates, según Storfer y una declaración jurada del FBI obtenida por ProPublica.





Otra empresa estadounidense, MonsterCloud, con sede en Florida, también afirma utilizar sus propios métodos de recuperación de datos, pero en su lugar paga rescates, a veces sin informar a las víctimas, como las fuerzas del orden locales, según ha descubierto ProPublica. Ambas empresas se parecen en otros aspectos. Ambas cobran a las víctimas tarifas considerables, además del importe del rescate. También ofrecen otros servicios, como el sellado de brechas de seguridad para protegerlas de futuros ataques. Ambas empresas han utilizado alias para sus empleados, en lugar de nombres reales, al comunicarse con las víctimas.

Subiendo

El ransomware está empeorando.

Después de que el Fiscal General de los Estados Unidos rastreó yacusadoDos hackers iraníes publicaron el ransomware SamSam. Las autoridades esperaban que la prevalencia de los ataques disminuyera. Sin embargo, aumentó, superando considerablemente los niveles de 2018.

Muchos creen que la razón es el alto costo del ransomware. Los hackers pueden lanzar un ataque y, cuando las víctimas descubren el ataque, negocian brevemente con empresas como MonsterCloud y otras para desbloquear los equipos. Sin embargo, muchas de estas empresas ofrecen métodos de recuperación y muchos investigadores de seguridad trabajan en métodos gratuitos, este ONE para... popular WannaCryransomware.

Desafortunadamente, los ataques están empeorando y el software necesario es cada vez más complejo.

Coveware admite

Para negociar con los estafadores. Han descubierto que es ONE de los métodos más sencillos para recuperar datos. Sin embargo, la preocupación es que estos esfuerzos estén financiando inadvertidamente el terrorismo. Además, escriben, está tardando más en descifrar los ordenadores pirateados, debido a las nuevas versiones del ransomware. En el primer trimestre de 2019, escribió Coveware, el «tiempo de inactividad promedio aumentó a 7,3 días, desde los 6,2 días del cuarto trimestre de 2018».

Reconocimiento de patrones

Bill Siegel, director ejecutivo de Coveware, ha descubierto que la recuperación promedio de un ataque de ransomware no es realmente una negociación con "terroristas", como creen los funcionarios del gobierno estadounidense. Han negociado cientos de casos de ransomware este año y han descubierto que cada hacker es diferente y, a menudo, simplemente frustrado.

"Nuestra impresión, basada en nuestro estudio de la industria y nuestra experiencia, es que la gran mayoría son personas relativamente normales que no tienen perspectivas económicas legales que se ajusten a sus capacidades técnicas", dijo Siegel. "Además, viven en zonas del mundo que están fuera de la jurisdicción de las fuerzas del orden occidentales y se muestran ambivalentes respecto a robar a Occidente".

Su proceso para hablar con los hackers también es bastante preciso.

Estudiamos sus patrones de comunicación para crear una base de datos con nuestra experiencia. Existe un grupo sorprendentemente pequeño de actores de amenazas activos en un momento dado, por lo que identificarlos es relativamente sencillo. A partir de ahí, contamos con guiones y tácticas perfeccionados a lo largo de nuestra experiencia. Nos basamos en ellos para desarrollar una estrategia de negociación en nombre de nuestro cliente. Conocemos a los hackers por su perfil y patrones. No nos comunicamos con ellos fuera de la representación de nuestros clientes en una negociación. Todos los datos recopilados de nuestros casos se proporcionan también a las fuerzas del orden trimestralmente.

Zohar Pinhasi de MonsterCloud dijo que su compañía trabajó duro para utilizar ambos métodos: recuperación y rescate.

El proceso de recuperación varía según el caso, dependiendo del alcance y la naturaleza del ciberataque. Nuestros métodos para lograr la recuperación y protección de datos son fruto de años de experiencia y conocimientos técnicos, y no divulgamos el proceso al público ni a nuestros clientes. Esto se comunica claramente desde el principio. Sin embargo, lo que sí puedo asegurarles es que somos una empresa de ciberseguridad, no de recuperación de datos. Contamos con un amplio conocimiento y experiencia en el tratamiento de estos delincuentes, y dedicamos incontables horas a estar al tanto de sus métodos en constante evolución para brindar a nuestros clientes protección contra futuros atacantes, no solo contra el que se infiltra en sus datos en el momento en que acuden a nosotros. Ofrecemos una garantía de devolución de dinero a cualquier cliente si no logramos recuperar sus datos, y hasta la fecha, ningún cliente ha reportado un nuevo ataque de los mismos delincuentes ni de ningún otro atacante.

Aunque enviar unos cuantos miles de BTC a una dirección desconocida podría no ser bien visto por muchas víctimas, sigue LOOKS la mejor manera de reducir los tiempos de inactividad. Al fin y al cabo, la organización fue la responsable de detectar el virus del ransomware. Más vale prevenir que curar, como dicen.

Imagen vía archivo de CoinDesk .