A partir del año pasado, los operadores de ransomware han intensificado sus estrategias de extorsión al robar archivos de las víctimas antes de cifrar sus datos. Estos archivos robados se usan luego como un apalancamiento adicional para obligar a las víctimas a pagar.

Muchos operadores de ransomware han creado sitios de fuga de datos para avergonzar públicamente a sus víctimas y publicar los archivos que robaron.

Como esta es ahora una táctica estándar para el ransomware, todos los ataques deben tratarse como una violación de datos.

A continuación se muestra una lista de las operaciones de ransomware que tienen un sitio dedicado para filtrar datos robados de sus víctimas.

 

La lista de ransomware con sitios de fuga de datos

AKO Ransomware

El ransomware AKO comenzó a operar en enero de 2020 cuando comenzaron a apuntar a redes corporativas con servicios de escritorio remoto expuestos.

A diferencia de otros ransomware, Ako requiere que las compañías más grandes con información más valiosa paguen un rescate y exijan una extorsión adicional para eliminar los datos robados.

Si no se realiza el pago, los datos de la víctima se publican en su “Blog de fuga de datos”. 

CL0P Ransomware

CL0P comenzó como una variante de CryptoMix y pronto se convirtió en el ransomware de elección para un grupo APT conocido como TA505.

Las actividades de ransomware de este grupo ganaron la atención de los medios después de cifrar 267 servidores en la Universidad de Maastricht.

En marzo de 2020, CL0P lanzó un sitio de fuga de datos llamado ‘CL0P ^ -LEAKS’, donde publican los datos de la víctima.

DoppelPaymer Ransomware

En julio de 2019, apareció un nuevo ransomware que se veía y actuaba como otro ransomware llamado BitPaymer.

Nombrado DoppelPaymer por los investigadores de Crowdstrike, se cree que un miembro del grupo BitPaymer se separó y creó este ransomware como una nueva operación.

Poco después de que los investigadores de CrowdStrike publicaran su informe, los operadores de ransomware adoptaron el nombre de pila y comenzaron a usarlo en su sitio de pago Tor.

DoppelPaymer apunta a sus víctimas a través de hacks remotos de escritorio y acceso dado por el troyano Dridex.

Las víctimas de alto perfil de DoppelPaymer incluyen Bretagne Télécom y la Ciudad de Torrance en el condado de Los Ángeles.

En febrero de 2020, DoppelPaymer lanzó un sitio dedicado para filtraciones que llaman “Dopple Leaks” y amenazó con vender datos en la web oscura si una víctima no paga.

Maze Ransomware

El ransomware Maze tiene la culpa de la nueva táctica de robar archivos y usarlos como palanca para que la víctima pague.

Descubierto por primera vez en mayo de 2019, Maze intensificó rápidamente sus ataques a través de kits de exploits, spam y brechas en la red.

En noviembre de 2019, Maze publicó los datos robados de Allied Universal por no pagar el rescate.

Desde entonces, comenzaron a publicar los datos de numerosas víctimas a través de publicaciones en foros de piratas informáticos y, finalmente, en un sitio dedicado a filtraciones. Poco después, todos los demás operadores de ransomware comenzaron a usar la misma táctica para extorsionar a sus víctimas.

Maze es responsable de numerosos ataques de alto perfil, incluidos los contra la ciberseguradora Chubb, la ciudad de Pensacola, Bouygues Construction y el Banco BCR.

En febrero de 2020, DoppelPaymer lanzó un sitio dedicado para filtraciones que llaman “Dopple Leaks” y amenazó con vender datos en la web oscura si una víctima no paga.

Nemty Ransomware

Lanzado originalmente en enero de 2019 como Ransomware-as-a-Service (RaaS) llamado JSWorm, el ransomware cambió su nombre a Nemty en agosto de 2019.

A medida que los afiliados distribuyen este ransomware, también utiliza una amplia gama de ataques, incluidos kits de exploits, spam, ataques RDP y troyanos.

En marzo, Nemty creó un sitio de fuga de datos para publicar los datos de la víctima. Este sitio no es accesible en este momento.

Nephilim Ransomware

El 30 de marzo, el operador de ransomware Nemty comenzó a construir un nuevo equipo de afiliados para un Ransomware-as-a-Service privado llamado Nephilim.

A diferencia de Nemty, un RaaS gratuito para todos que permitía a cualquiera unirse, Nephilim se creó desde cero reclutando solo distribuidores y piratas informáticos con experiencia.

Poco después, crearon un sitio llamado ‘Corporate Leaks’ que usan para publicar los datos robados de las víctimas que se niegan a pagar un rescate.

Netwalker Ransomware

Comenzando como el ransomware Mailto en octubre de 2019, el ransomware cambió su nombre a Netwalker en febrero de 2020.

Mejor conocido por su ataque contra la compañía de transporte australiana Toll Group, Netwalker apunta a redes corporativas a través de hacks remotos de escritorio y spam.

En mayo de 2020, Newalker comenzó a reclutar afiliados con el atractivo de grandes pagos y un sitio de filtración de datos de publicación automática que utiliza una cuenta regresiva para tratar de asustar a las víctimas para que paguen.

Pysa Ransomware (Mespinoza)

Pysa apareció por primera vez en octubre de 2019 cuando las compañías comenzaron a informar que un nuevo ransomware había encriptado sus servidores.

Al comenzar, el ransomware usó la extensión .locked para archivos cifrados y cambió a la extensión .pysa en noviembre de 2019.

Con notas de rescate que comienzan con “Hola empresa” y las víctimas que informan de hacks de escritorio remotos, este ransomware apunta a redes corporativas.

Para aquellos interesados en leer más sobre este ransomware, CERT-FR tiene un excelente informe sobre sus TTP.

Los operadores de ransomware han creado un sitio de fuga de datos llamado ‘Pysa Homepage’ donde publican los archivos robados de sus “socios” si no se paga un rescate.

Ragnar Locker Ransomware

Visto por primera vez en febrero de 2020, Ragnar Locker fue el primero en atacar y finalizar en gran medida los procesos utilizados por los proveedores de servicios gestionados (MSP).

Esta táctica mostró que estaban apuntando a redes corporativas y terminando estos procesos para evadir la detección por parte de un MSP y dificultar la detención de un ataque continuo.

Ragnar Locker llamó la atención de los medios después de encriptar al gigante energético portugués Energias de Portugal (EDP) y solicitó un rescate de 1.580 BTC.

RagnarLocker ha creado un sitio web llamado ‘Ragnar Leaks News’ donde publican los datos robados de las víctimas que no pagan un rescate.

Los operadores de ransomware han creado un sitio de fuga de datos llamado ‘Pysa Homepage’ donde publican los archivos robados de sus “socios” si no se paga un rescate.

REvil / Sodinokibi Ransomware

Sodinokibi entró en funcionamiento en abril de 2019 y se cree que es el sucesor de GandCrab, que cerró su operación de ransomware en 2019.

También conocido como REvil, Sodinokibi ha sido un flagelo en las redes corporativas después de reclutar a un equipo estelar de afiliados que se enfocan en ataques de alto nivel utilizando exploits, MSP pirateados y spam.

Las víctimas conocidas del ransomware REvil incluyen Grubman Shire Meiselas & Sacks (GSMLaw), SeaChange, Travelex, Kenneth Cole y GEDIA Automotive Group.

Después de que Maze comenzó a publicar archivos robados, Sodinokibi hizo lo mismo publicando primero los datos robados en un foro de piratas informáticos y luego lanzando un sitio dedicado de fuga de datos “Happy Blog”

Sekhmet Ransomware

Sekhmet apareció en marzo de 2020 cuando comenzó a apuntar a redes corporativas.

“La red de su empresa ha sido pirateada y violada. Descargamos datos confidenciales y privados. En caso de no contactarnos en 3 días hábiles, estos datos se publicarán en un sitio web especial disponible para la vista del público”, señala la nota de rescate de Sekhmet.

Los operadores de Sekhmet han creado un sitio web titulado ‘Fugas, fugas y fugas’ donde publican datos robados de sus víctimas.

Snatch Ransomware

En funcionamiento desde finales de 2018, Snatch fue una de las primeras infecciones de ransomware en robar datos y amenazar con publicarlos.

Anteriormente tenían un sitio de fuga creado en múltiples direcciones TOR, pero desde entonces se han cerrado. No se sabe si continúan robando datos.

Ransomware who leak data without dedicated sites

En lugar de crear sitios dedicados de “fuga”, las operaciones de ransomware a continuación filtran archivos robados en foros de piratas informáticos o enviando correos electrónicos a los medios.

CryLock Ransomware

Operando desde 2014/2015, el ransomware conocido como Cryakl cambió de nombre este año como CryLock.

Como parte del cambio de marca, también comenzaron a robar datos de compañías antes de cifrar sus archivos y filtrarlos si no se pagaban.

ProLock Ransomware

El ProLock Ransomware comenzó como PwndLcker en 2019 cuando comenzaron a apuntar a redes corporativas con demandas de rescate que oscilaban entre $ 175,000 y más de $ 660,000.

Después de que una debilidad permitiera crear un descifrador, los operadores de ransomware arreglaron el error y cambiaron su nombre a ProLock.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

compartir en ....
Avatar

Acerca de Brian Alexander Diaz

Brian Alexander Diaz Investigador en temas de seguridad y Devops Mi nombre es Brian Alexander Diaz. El objetivo de este blog es promover la cultura y mentalidad en seguridad por todo el Internet y que la gente aprenda a facilitar su vida y crear  sistemas mas seguros .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *