¿Qué Es El Ransomware De Doble Extorsión, Cómo Evitarlo Y Cuáles Son Los Riesgos?

Descubre qué es el ransomware de doble extorsión, cómo evitarlo y cuáles son los riesgos. Verás cómo funciona y cuáles son las principales familias.

¿Qué es la doble extorsión?

La doble extorsión es una forma de extorsión en la que la víctima se ve obligada a pagar dos veces al delincuente.

Por lo tanto, el ransomware de doble extorsión funciona pidiéndole a la víctima que pague el rescate dos veces.

La primera vez que el malware ingresa a tu dispositivo, encripta todos los archivos y datos que encuentra y solicita un pago a cambio de la clave de descifrado.

Posteriormente, los piratas informáticos amenazan a la víctima con publicar la información robada en la web.

Para evitar que esto suceda, te piden otro pago.

Según la encuesta realizada por Sophos, el rescate promedio pagado casi quintuplicó al del año anterior, alcanzando los 812.360 dólares.

El ransomware de doble extorsión también puede denominarse ransomware “double-dip”.

Significado de doble extorsión

En el aviso promulgado a finales de 2021 por FinCEN, la organización estadounidense contra los delitos financieros, se afirma que los delitos informáticos con doble extorsión van en aumento.

Aquí se explica cómo se producen estos ataques:

“Implican eliminar datos confidenciales de redes específicas y cifrar archivos del sistema y hacer una nota de rescate. Luego, los ciberdelincuentes amenazan con publicar o vender los datos robados si la víctima no paga el rescate. También han surgido otros esquemas de extorsión en los que los ciberdelincuentes utilizan la violación del sistema para apuntar a partes adicionales relacionadas con la víctima inicial, como los socios comerciales o clientes de la víctima, en un intento de identificar objetivos posteriores”.

En ambos casos, la doble extorsión supone una doble solicitud de chantaje por parte de los ciberdelincuentes.

Orígenes del ransomware de doble extorsión

Se puede decir que los orígenes del ransomware de doble extorsión se remontan a los orígenes de los ataques de ransomware.

La razón por la cual los expertos de HelpRansomware repiten constantemente que no debes pagar el rescate es porque una vez que envías el dinero a los delincuentes, no estás seguro de que los datos sean devueltos.

En cualquier momento, los ciberdelincuentes pueden regresar a la víctima y realizar más amenazas.

Sin embargo, ha habido un fuerte aumento en este tipo de extorsión en los últimos años.

Esto se debe a una serie de factores, en primer lugar el aumento del teletrabajo y la digitalización de muchas infraestructuras, como la sanidad.

Según las estimaciones de CipherTrace, el ransomware de doble extorsión aumentó un +500 % en 2021.

¿Cuándo empezó la doble extorsión?

La técnica del ransomware de doble extorsión existe desde 2013, pero reapareció con fuerza en 2019.

Ese año, de hecho, una organización criminal llamada TA2101 usó el ransomware Maze para llevar a cabo un ataque de doble extorsión.

La agencia BleepingComputer es informada de un ataque a través de un correo electrónico firmado «Maze Crew».

La víctima de este ataque fue Allied Universal, un gran proveedor estadounidense de sistemas y servicios de seguridad.

El grupo TA2101, en lugar de simplemente proceder con el cifrado normal de datos usando ransomware, los exportó y amenazó a la empresa con publicarlos en línea.

La condición para no hacer públicos los datos era el pago de un rescate de 2,3 millones de dólares en bitcoin.

¿Cómo funciona el ransomware de doble extorsión?

Un ataque de ransomware de doble extorsión es similar a la llamada Advanced Persistent Threat (APT).

Según informa el Instituto Nacional de Estándares y Seguridad (NIST), estos ataques:

“Permiten mediante el uso de múltiples vectores de ataque diferentes (por ejemplo, cibernéticos, físicos y engañosos), generar oportunidades para lograr sus objetivos. Estos generalmente consisten en establecer y extender su presencia dentro de las infraestructuras de TI de las organizaciones con el fin de filtrar continuamente información y/o socavar u obstruir aspectos críticos de una misión, programa u organización, o ponerse en condiciones de hacerlo en el futuro”.

La misma estrategia es utilizada por el ransomware de doble extorsión, para que los piratas informáticos puedan ingresar y explotar los datos de la víctima repetidamente.

Eliminar ransomware de este tipo es más difícil.

De hecho, un ataque de doble extorsión consiste en una serie de acciones en parte manuales (dependiendo del usuario) y en parte automatizadas.

Las etapas de la extorsión de ransomware

Las etapas que componen la extorsión de un ataque de ransomware son las siguientes:

• El ransomware se introduce en el sistema a través de una vulnerabilidad de seguridad, un correo electrónico de phishing o un download drive-by;
• Una vez que el malware está instalado en el sistema, escanea y mapea todos los archivos y carpetas en el dispositivo;
• Cifra estos archivos con un algoritmo de cifrado avanzado y agrega la extensión .encrypted a cada archivo;
• Al mismo tiempo, se exportan todos los archivos y el hacker hace una copia de ellos;
• La víctima recibe una advertencia del ransomware de que sus archivos han sido cifrados y no podrá descifrarlos sin pagar un rescate;
• En caso de falta de pago, los piratas informáticos amenazan con publicar los datos online.

Sin embargo, el pago del rescate no garantiza la devolución de los datos.

Si eres víctima de un ataque de ransomware, contacta de inmediato con una empresa especializada en la eliminación de ransomware y la recuperación de datos, como HelpRansomware.

Single extortion

Un solo ataque de ransomware de extorsión única requiere que los datos de la víctima estén encriptados.

Los ataques de ransomware tradicionales se basan en la suposición de que una vez que la víctima paga el rescate, recuperará el acceso a sus datos y a los sistemas que los alojan.

Estos ataques tienen como objetivo los datos críticos necesarios para las operaciones diarias, así como otros objetivos digitales que pueden destruir la funcionalidad de servidores o redes completas.

Según el informe publicado por Veeam, el 80% de los atacantes buscan sistemas tradicionales con vulnerabilidades conocidas.

Estos incluyen sistemas operativos e hipervisores comunes, así como plataformas NAS y servidores de bases de datos.

¿Qué es el ransomware de doble extorsión?

El ransomware de doble extorsión forma parte del mundo más complejo del ransomware como servicio (RaaS).

Este tipo de ransomware involucra técnicas de intrusión que van desde las automatizadas hasta las manuales, requiriendo la acción de la futura víctima, como en el caso del doxing.

El aumento exponencial representa un fuerte riesgo para las empresas, que se ven en riesgo tanto en términos de ganancias como en términos de robo de información.

Como muestran las tendencias desarrolladas por SonicWall, en 2021 hubo un aumento de +105 % en los ataques de ransomware.

Eso es un total de 623,3 millones de ataques.

La situación de inestabilidad a nivel europeo provocada por el conflicto ruso apunta a un crecimiento exponencial también para 2022.

Ransomware de triple extorsión

El ransomware de triple extorsión representa una evolución respecto al ransomware de doble extorsión.

Este tipo de amenazas incorpora las técnicas del ataque tradicional, en el que el hacker exige un rescate a la empresa a cambio de descifrar archivos ransomware con una clave de descifrado.

A esto se suma la amenaza de difundir datos e información confidencial.

En la modalidad de triple extorsión se añade la posibilidad de lanzar un ataque DDoS (Distributed Denial of Service).

La sucesión de estas presiones hace que la víctima se sienta cada vez más obligada a pagar el rescate.

El ejemplo más llamativo de ransomware de triple extorsión es el de Vastaamo, la red más grande de proveedores privados de salud mental en Finlandia.

Según informó el Helsinki Times, el ataque sacudió a toda la nación: 25.000 pacientes informaron haber recibido correos electrónicos de chantaje.

Cuádruple extorsión

Los ataques de ransomware pueden provocar hasta cuatro extorsiones.

En estos casos, el ataque consta de cuatro chantajes:

• Cifrado de todos los archivos en el dispositivo: los piratas informáticos exigen un rescate por la clave de descifrado que se utiliza para abrir archivos cifrados;
• Amenaza de difusión de datos en línea si no se paga el rescate;
• Ataques DoS o DDoS, para bloquear los sitios web de la víctima;
• Contacto con clientes, proveedores de servicios o medios de comunicación: los hackers contactan con la prensa o directamente con los clientes de la empresa, amenazándolos con publicar sus datos.

Los ciberdelincuentes aprovechan cada vez más las cuatro técnicas para ganar más dinero.

Según informes de Acronis, el daño causado por el ransomware en 2023 puede alcanzar los 30 mil millones de dólares.

¿Cuál es la diferencia entre ransomware y extorsión?

La extorsión puede considerarse como una evolución del ransomware.

Si bien el ransomware comenzó como malware para cifrar archivos en un dispositivo y luego exigir un rescate, la extorsión se suma a la amenaza de difundir datos online.

Los hackers que atacan con doble, triple o cuádruple extorsión, aumentan los niveles de amenaza de su acción.

Esto hace que sea más difícil eliminar ransomware y descifrar archivos sin la ayuda de especialistas.

Sin embargo, tanto el ransomware como la extorsión acceden a la computadora o dispositivo de la víctima para exfiltrar y bloquear todos los archivos.

Mientras que el ransomware ataca muchos PC personales, los ataques de extorsión se dirigen principalmente a las redes corporativas.

La razón es sencilla: la cantidad de datos, y por tanto de beneficio, es mayor.

Además, mientras que el ransomware cifra automáticamente todos los archivos del dispositivo, el ataque de extorsión cifra los recursos de forma selectiva.

Los ataques de ransomware de doble extorsión también incluyen técnicas de anti recuperación de archivos más avanzadas.

Ataques de ransomware de doble extorsión

Los ataques de ransomware de doble extorsión son un modo de ataque que intenta extorsionar a la víctima dos veces.

Por lo general, comienzan cifrando los datos de la víctima y exigiendo un rescate por la clave de descifrado.

Si la víctima paga, a menudo no podrá descifrar sus datos porque no hay una clave.

En caso de que la víctima se niegue a pagar, el hacker enviará otro mensaje con una nueva nota de rescate y un límite de tiempo para el pago.

El ransomware de doble extorsión está entre los tipos de ransomware relativamente nuevos.

Este tipo de ataque también tiene mucho éxito porque actúa con relativa calma y la víctima no se da cuenta de que ha sido atacada hasta que se le pide el rescate.

La evolución del ransomware de doble extorsión

Ha habido un aumento dramático en los ataques de ransomware de doble extorsión en los últimos doce meses.

La razón principal es que las empresas han tenido que enfrentarse con un debilitamiento de los sistemas debido al trabajo a distancia.

Según datos reportados por el gobierno británico, por ejemplo, el 39% de las empresas del país han tenido que lidiar con una filtración de datos.

Además, el 21% de las empresas reconoce que se trató de un ataque más sofisticado, como DoS.

La evolución de los ataques de ransomware continúa avanzando hacia mayores ganancias para los piratas informáticos.

Los delincuentes han encontrado otra vía para la extorsión y las organizaciones deben estar preparadas para superar esta nueva amenaza.

Con esta táctica, de hecho, ya no es suficiente tener una copia de seguridad de los datos para su restauración.

Tipos de ransomware

El ransomware está en constante evolución y por esta razón representa una amenaza.

Ten en cuenta que no todos tienen herramientas de descifrado de ransomware que se pueden usar para recuperar archivos cifrados.

A continuación se muestran las familias de ransomware más comunes y rentables para los ciberdelincuentes.

Revil

Revil también se conoce como ransomware Sodinokibi, un tipo de ransomware que encripta archivos en la computadora de la víctima y exige un rescate por la clave de descifrado.

La nota de rescate incluirá instrucciones sobre cómo pagar el rescate y también enlaces a sitios Tor donde las víctimas pueden comprar Bitcoin.

Según el informe de IBM, el ransomware Revil fue responsable del 37% de los ataques de ransomware de 2021.

El ransomware Revil es notable porque encripta los archivos en el ordenador de la víctima en lugar de simplemente bloquearlos con una contraseña.

Además, para ingresar al dispositivo de la víctima, utiliza sistemas automatizados que no necesitan la interacción del usuario.

El ransomware a menudo se dirige a los sistemas Microsoft Windows, pero también encripta archivos en máquinas Apple OSX y Linux. Utiliza el cifrado AES-256 de forma predeterminada, pero la víctima puede optar por utilizar el intercambio de claves RSA o Diffie-Hellman en su lugar.

WannaCry

WannaCry es un malware que bloquea los datos almacenados en una computadora y exige un rescate para descifrar los archivos de ransomware.

Este es uno de los ataques más masivos de la historia, lanzado a partir de mayo de 2017.

WannaCry ransomware no se define a sí mismo como un virus porque no se replica, pero es un cyberworm porque se propaga infectando los ordenadores en la red.

Cryptolocker

Cryptolocker también cifra los archivos del usuario y luego requiere el pago para descifrarlos.

El ransomware Cryptolocker se descubrió por primera vez en septiembre de 2013.

Los creadores de este malware han desarrollado varias versiones del software que se han lanzado al público.

Normalmente requiere pagos en Bitcoin que son difíciles de rastrear porque no necesitan ninguna identificación o verificación para las transacciones.

Petya

Petya es un ransomware que se detectó por primera vez en 2016 y se cree que es una variante del ransomware WannaCry.

La vulnerabilidad fue descubierta por el investigador británico Marcus Hutchins, a quien se le atribuye haber frenado la propagación del exploit WannaCry.

El ransomware se propaga a través de un worm que escanea grandes redes conectadas a Internet en busca de máquinas vulnerables.

Una vez encontrado, explota las vulnerabilidades de Windows, incluida una en SMB Server para la que Microsoft lanzó una solución a principios de este año.

Ryuk

El ransomware Ryuk cifra los datos mediante el algoritmo AES-256 con una clave generada por números aleatorios (RNG).

También elimina las instantáneas de la máquina, de modo que incluso si alguien tiene una copia de seguridad antigua de sus archivos, no podrá recuperarla sin pagar por ella.

Ryuk apunta a tipos de archivos específicos como .docx, .pdf, .xlsx, .pptx, etc., lo que dificulta la recuperación de datos sin pagar un rescate.

Fue visto por primera vez en agosto de 2018, pero ya ha sido responsable de ataques a instituciones públicas, universidades y agencias gubernamentales.

Locky

Locky existe desde 2016 y todavía se usa para extorsionar a personas de todo el mundo.

No solo afecta a un área en particular, sino a todos los que tienen una conexión a Internet, lo que significa que no hay límites para este ransomware. Según Smart Data Collective, este ransomware infectó inicialmente 90.000 dispositivos al día.

Locky generalmente se propaga a través de archivos adjuntos de correo electrónico o enlaces en plataformas de redes sociales como Facebook, Twitter y LinkedIn.

Ransomware Conti de doble extorsión

Conti es un ransomware que se descubrió por primera vez en noviembre de 2017.

Lo más probable es que haya sido desarrollado por un grupo de hackers de habla rusa.

El malware cifra los datos en el disco duro de la víctima y exige un rescate para descifrarlos.

En algunos casos, el ransomware Conti bloquea los archivos y los elimina incluso sin solicitar el pago.

Este ransomware fue el responsable del ataque al gobierno de Costa Rica.

Principales familias de ransomware de doble extorsión

El punto de inflexión de los ataques de ransomware de doble extorsión se produce en 2019, por parte del grupo Maze.

Este ransomware puede ejecutarse en cualquier sistema operativo Windows y cifra todo tipo de archivos, incluidas imágenes, vídeos y documentos.

Maze utiliza el cifrado AES para bloquear los archivos de los usuarios y solicitar el pago en Bitcoin; posteriormente amenaza con la difusión de datos online.

Comenzando con el ejemplo de Maze, las familias de ransomware de doble extorsión han aumentado.

Aquí están algunas:

• DarkSide: como se informó en el análisis de BrandDefense, este ransomware recaudó $90 millones entre octubre de 2020 y mayo de 2021;

• Egregor: se han atribuido más de 150 ataques a este ransomware;
• DoppelPaymer, de la familia BitPaymer: responsable del ataque a la petrolera estatal mexicana Pemex que, según informó Reuters, le costó a la empresa 5 millones de dólares;

Obviamente estas son solo algunas de las familias más comunes, pero la evolución es constante.

Ejemplos recientes de alto perfil

Uno de los casos más atroces de un ataque de ransomware de doble extorsión se remonta a mayo de 2021.

Como se indica en el comunicado de prensa de la Oficina de Seguridad de la Información, Seguridad Energética y Respuesta a Emergencias de EE. UU.:

«El 7 de mayo de 2021, Colonial Pipeline Company cerró proactivamente su sistema de tuberías en respuesta a un ataque de ransomware».

El ataque afectó al mayor proveedor de gasolina y combustible para aviones en la costa este de Estados Unidos.

Los piratas informáticos eran del grupo DarkSide y robaron 100 GB exigiendo un rescate de unos 5 millones de dólares en Bitcoin para restaurar archivos cifrados.

Según lo informado por el artículo de Reuters, de hecho, el CEO de Colonial Pipeline, Joseph Blount, dijo que los piratas informáticos ingresaron al sistema de la compañía gracias a una VPN que solo brindaba autenticación de un solo factor.

Entre las empresas afectadas por un ransomware se encuentra JBS SA, la compañía procesadora de carne más grande del mundo.

Según la BBC, la firma brasileña pagó un rescate de 11 millones de dólares para recuperar los datos robados durante un ataque de ransomware Conti.

La compañía declaró que pagó el rescate para proteger a los clientes que fueron amenazados.

¿Por qué se produce la doble extorsión?

La doble extorsión es una evolución del ransomware normal.

Esta táctica permite a los ciberdelincuentes ganar el doble de cada ciberataque al dificultar el recuperar archivos encriptados.

Los objetivos preferidos del ransomware de doble extorsión son las grandes empresas o todas las instituciones que trabajan con información confidencial, como información legal y de salud.

Hay muchas razones por las que esto sucede:

• La víctima paga el primer rescate y no denuncia el ataque;
• Después de pagar el primer rescate, la víctima contacta a la policía pero el proceso la recuperación de archivos es larga y difícil;
• Las amenazas continúan y la víctima cede al pago del rescate porque, como en el caso de los hospitales, necesita acceder a la información.

Esta actitud convierte a la víctima en un objetivo vulnerable.

Lo mejor si has sido víctima de un ataque de ransomware de doble extorsión es contactar con una empresa especializada como HelpRansomware.

Los servicios ofrecidos por HelpRansomware incluyen eliminación de ransomware, descifrado de archivos y recuperación del sistema.

¿Cuáles son los riesgos de un ransomware de doble extorsión?

El primer riesgo del ransomware de doble extorsión es que bloquea el acceso a tus datos y archivos.

Esto es un problema especialmente en el caso de aquellas empresas que trabajan a través de internet y manejan muchos datos sensibles de clientes o proveedores.

Conectado a esto está el hecho de que una empresa podría verse interrumpida en su flujo de trabajo, registrando grandes pérdidas.

El coste de un ciberataque en Estados Unidos pasó de 8,64 millones en 2020 a 9,44 millones en 2022, según Statista.

El segundo riesgo es que, después del ataque del ransomware, los piratas informáticos no te devuelvan los archivos descifrados, sino que, por el contrario, los difundan en la web.

No creas que pagar el rescate es suficiente para evitar esto.

De hecho, si pagas el rescate, te expones como una víctima potencial para atacar en el futuro.

Difundir datos confidenciales de tu organización o de tus clientes o proveedores online puede generar problemas importantes.

Además de la pérdida de credibilidad y el daño causado a la imagen en línea, el costo para tu empresa también será muy alto en la gestión de la relación con el cliente.

¿Cómo evitar el ransomware de doble extorsión?

Para evitar ser víctima de un ataque de ransomware de doble extorsión puedes seguir estos consejos:

• Asegúrate de que el software anti-ransomware esté instalado y actualizado en tu computadora;
• No visites sitios web no seguros;
• Ejecuta escaneos de virus regularmente;
• Haz una copia de seguridad de tus datos en un disco duro externo o almacenamiento en la nube;
• Mantén actualizado el sistema operativo.

Además, también es fundamental prestar mucha atención a los correos electrónicos, ya que el phishing sigue siendo una de las formas más comunes de infectar un dispositivo.

Cómo protegerse de los ataques de doble extorsión

Para protegerse del ransomware de doble extorsión, no es suficiente tener una copia de seguridad de tus datos.

Tener una copia de seguridad, de hecho, solo te protege de la primera extorsión, pero no de la posibilidad de difundir tus datos en la web.

Seguramente lo mejor que puedes hacer es tener tu software antivirus y sistema operativo siempre actualizado.

Las empresas siempre deben utilizar un enfoque de confianza cero que, como ilustra Microsoft, les permita mitigar los riesgos.

Además, las empresas deben incluir varias líneas de defensa para bloquear el cifrado ilegítimo, como la autenticación multifactor.

Conclusiones

En este texto, te mostramos todo lo que necesitas saber sobre el ransomware de doble extorsión, cómo evitarlo y proteger tus datos.

A continuación puedes leer las conclusiones que se pueden extraer de este artículo:

• El ransomware de doble extorsión funciona pidiéndole a la víctima que pague el rescate dos veces;
• El peligro de este tipo de ataque es que los piratas informáticos difunden los datos robados de tu dispositivo en línea incluso después de que se haya pagado el rescate;
• En 2022, el rescate medio pagado casi se quintuplicó respecto al año anterior, alcanzando los 812.360 dólares;
• El ransomware de doble extorsión aumentó un +500 % en 2021;
• Forma parte del mundo más complejo del ransomware como servicio (RaaS);
• En la modalidad de triple extorsión se añade la posibilidad de lanzar un ataque DDoS; en la cuádruple extorsión se contacta a clientes o proveedores de servicios para extender la amenaza;
• El daño causado por el ransomware en 2023 puede alcanzar los 30 mil millones de dólares;
• El primer ataque de ransomware de doble extorsión data de 2013, por parte del grupo Maze.

El ransomware de doble extorsión requiere la intervención de un equipo de especialistas como HelpRansomware.

HelpRansomware puede ayudarte a detener el ransomware y restaurar tus datos.