Durante los últimos tiempos se ha disparado hacia arriba el número de compañías afectadas por ataques mediante Ransomware que básicamente actúan de dos maneras: cifrando todos los documentos que encuentran en la red de la víctima para pedir dinero a cambio de la clave de descifrado, y/o mediante el robo de una gran cantidad de datos para pedir dinero a cambio de no publicarlos.

Por lo general la amenaza del cifrado local de datos “suele”, entre comillas, preocupar menos cuando las compañías cuentan con potentes sistemas de backup, capaces de revertir grandes cantidades de datos a su estado anterior en poco tiempo.

Por cierto, un detalle que no se debe jamás olvidar cuando se es víctima de un ataque de este tipo es, antes de intentar recuperar los datos desde las copias de seguridad, hacer un backup nuevo de los datos tal y como están,  o sea “cifrados”. De esta manera si por cualquier motivo la recuperación completa resultara imposible y lamentablemente tuviésemos que acceder de algún modo al chantaje, la recuperación sería posible. De otro modo, al haber “machacado” los datos cifrados con el restore del backup, esta salida de emergencia la tendríamos bloqueada sin remedio.

No obstante cada vez son más las compañías que se ven afectadas por la segunda modalidad de Ransomware, la que exfiltra datos y amenaza con publicarlos si no accedemos a un pago. El principal motivo es sin duda el RGPD (Reglamento General de Protección de Datos), toda vez que los cyber-delincuentes saben muy bien que a las compañías les pueden asustar más las posibles sanciones que los daños causados por la publicación de esos datos.

Lo habitual es que cuando una compañía es ‘hackeada’ y le extraen datos, los responsables de esta compañía reciban emails de aviso por parte de los cyber-delincuentes indicándoles lo que ha pasado, los pasos a seguir y a lo que se exponen en caso de no hacerlo. Las cantidades económicas varían, siempre en cryptomonedas, entre unos pocos miles de Euros hasta los varios cientos de millones, aumentando su valor conforme más tiempo pasa.

Técnicas del Laboratorio de Iberlayer han detectado hoy una nueva forma de “chantaje”, sencilla pero muy posiblemente eficaz: Los cyberdelicuentes, tras robar los datos, no sólo han enviado la amenaza a la víctima como es habitual, sino que han enviado correos electrónicos a todas las personas y compañías que han encontrado en esos datos robados, explicándoles lo que ha pasado y que si la víctima no accede al chantaje, perdón, al pago, serán sus datos los que se harán públicos.

He aquí un ejemplo real de uno de estos correos:

Evidentemente el objetivo es que se multiplique exponencialmente la presión sobre la víctima y que esta termine pagando.

Es una idea muy sencilla y que mucho nos tememos va tristemente a funcionar como esperan, ya no solo por la presión que un montón de terceros puede hacer, que por supuesto, sino por la imagen que ante ellos haya podido causar esa compañía. 

Nuestra solución de protección completa del correo electrónico, Iberlayer Email Guardian, aporta la tranquilidad que las grandes compañías necesitan tener hoy en día sobre su correo electrónico, detectando no solo las amenazas directas sino también las indirectas, de forma tan segura como filtrado a mano.

Pedro David Marco.

Iberlayer.com