Nueva táctica de ransomware: pague o el mundo verá sus claves

Los creadores deRansomware MazeHan añadido una nueva faceta al típico modus operandi del hacker. En lugar de infectar discretamente y solicitar rescates a las víctimas, el llamado equipo Maze las expone públicamente mostrando archivos reales extraídos de sus servidores hackeados.

Esta táctica podría ser un desastre para las empresas de Cripto que hayan colocado claves privadas u otros datos financieros importantes en sus archivos privados, en caso de que sean vulnerados.

"Las empresas representadas aquí no desean cooperar con nosotros e intentan ocultar nuestro exitoso ataque a sus recursos. Esperen sus bases de datos y documentos privados aquí", escriben los hackers en su sitio web público, mazenews.top. "¡Síguenos las noticias!"

Las empresas que ya se han visto afectadas por el grupo incluyen una cadena de supermercados, Busch's Inc., en Ann Arbor, Michigan, y una empresa de jardinería y césped,Servicios MasseyEn Florida. Nos hemos puesto en contacto con las presuntas víctimas de Maze; muchas ya han hecho pública la información sobre los ataques en sus sitios web.

Otro grupo, llamado REvil, promete liberar gratuitamente o vender información vital de la empresa a la competencia si no se paga el rescate. Los hackers escribieron:

Cada ataque incluye una copia de información comercial privada. Si se niegan a pagar, los datos se venderán a la competencia o se publicarán en fuentes abiertas. Nos interesa ver cómo reaccionan las autoridades responsables del RGPD (Reglamento General de Protección de Datos). Si no quieren pagarnos, pueden pagarle 10 CoinDesk más al gobierno. No hay problema.

“Durante años, los desarrolladores y afiliados de ransomware han estado diciendo a las víctimas que deben pagar el rescate o los datos robados se harán públicos”, dijo Lawrence Abrams, investigador de ransomware enBleepingComputerSi bien es un Secret a voces que los actores de ransomware espían los datos de las víctimas y, en muchos casos, los roban antes de que estén cifrados, nunca cumplieron sus amenazas de liberarlos.

Esta es una noticia especialmente terrible para las empresas que ya podrían enfrentarse a fuertes multas y otras sanciones por no informar sobre las infracciones y proteger los datos de sus clientes. Por ejemplo, los proveedores de atención médica deben informar sobre los incidentes de ransomware al Departamento de Salud y Servicios Human de EE. UU., que a menudo documenta las infracciones relacionadas con la pérdida o el robo de datos médicos en su propio sitio web", escribió un investigador de seguridad. Brian Krebs.

Una cosa es una lista de facturas; otra muy distinta es publicar las claves de las cuentas de Cripto de una empresa. Dada la cantidad de datos involucrados, es imposible saber qué información valiosa podría estar oculta entre la documentación de una empresa.

Una víctima reaccionó QUICK públicamente a un ataque del 9 de diciembre.

"Ya el martes por la mañana [10 de diciembre], comenzamos a poner en funcionamiento nuevamente los sistemas comerciales clave, priorizando las funciones de fabricación y logística que nos permiten fabricar y enviar productos de calidad a nuestros clientes", escribió Rich Stinson, director ejecutivo del fabricante.SouthWireEstamos trabajando diligentemente con nuestro socio de ciberseguridad para comprender los hechos detrás de este evento, resolver esta interrupción y reanudar las operaciones comerciales normales lo antes posible.