Los atacantes y las víctimas de Ransomware son víctimas del robo de rescate

Publicado en Gestión de TI, Todos el Feb 13, 2018

Recientemente, ha habido una serie de ataques que afectan a algunos ransomware, víctimas que han pagado el rescate en un intento de recuperar el acceso a sus datos encriptados. Estos pagos de rescate están siendo interceptados por un tercero, convirtiendo irrazonablemente a los atacantes de ransomware en la segunda víctima. Como resultado, las víctimas originales de ransomware son victimizadas por segunda vez, ya que no obtendrán sus datos ya que los atacantes del ransomware nunca reciben el dinero del rescate.

Entonces, ¿cómo se ataca, como estos suceden? Los autores de estos ataques de "hombre en el medio" son los propietarios del servicio proxy de Tor. Pero, ¿qué son exactamente los servicios proxy de Tor? Para entender esto, primero hablemos de la red Tor, la darknet más famosa. La comunicación en Tor es muy difícil de rastrear, por lo que a los ciberdelincuentes les gusta usarla para enmascarar sus huellas en línea. En el caso del ransomware, los atacantes requieren que las víctimas descarguen el navegador Tor para realizar pagos de rescate. Sin embargo, muchas víctimas pueden tener dificultades para descargar estos navegadores, por lo que los atacantes pueden simplificar el proceso y requerir que las víctimas usen el servicio Tor proxy. Estos servicios permiten a los usuarios comunicarse a través de la red Tor utilizando un navegador común.

La seguridad en Proofpoint ha descubierto que algunos propietarios de servicios proxy de Tor han encontrado la manera de aprovechar esto. Estos propietarios utilizan el servicio de proxy para buscar a través de las URL a las que se accede, identificar cadenas que parecen ser direcciones de billetera de Bitcoin y reemplazarlas con sus propias direcciones de billetera. Las familias de ransomware específicas que han sido víctimas de este tipo de ataque son LockeR, GlobeImposter y Sigma.

Los ciberdelincuentes que usan el ransomware no lo están tomando con los brazos cruzados, y la mayoría simplemente ha eliminado el uso de los servicios proxy por completo. Algunos, como los atacantes detrás de MagniBer, están dividiendo sus direcciones de billetera Bitcoin en cuatro cadenas más cortas en la URL para que los propietarios del servicio proxy no puedan identificar fácilmente estas direcciones.

Los investigadores han intentado rastrear la cantidad retenida en estos monederos de reemplazo y hasta ahora solo han encontrado 2 bitcoins. Pero es posible que esto represente solo una pequeña fracción del monto del rescate robado, ya que este dinero es difícil de rastrear, y es posible que los atacantes ya hayan utilizado el dinero robado. No está claro en este momento si estos ataques son solo una tendencia pasajera o se convertirán en algo más grande.

Las víctimas de Ransomware se quedan cortas en esos ataques, ya que terminan pagando el rescate, pero nunca podrán recuperar sus datos. Estos ataques son una razón más por la que nunca deberíamos ceder a las demandas de rescate. Tomar las medidas preventivas y de remediación adecuadas es la mejor manera de enfrentar la amenaza del ransomware; ceder a las demandas de un atacante, en el otro lado, no encaja en la lista de soluciones efectivas.

Publicado en Gestión de TI, Todos el Feb 13, 2018