La dinámica de los ciberatacantes que utilizan ransomware suele tener procedimientos en común: tras el cifrado de los datos de la víctima, reclama a esta mediante un correo electrónico la entrega de un rescate —por lo general, en Bitcoins o similares— para poder recuperar la información; esta misiva suele ir acompañada de alguna prueba de descifrado con algunos archivos de muestra, y un plazo breve vencido el cual suele haber una amenaza. La filtración de información o el incremento del precio del rescate suelen ser tácticas habituales de presión. Pero ahora, los ciberatacantes empiezan a ir más lejo, según desvela el FBI: llaman por teléfono y amenazan abiertamente a sus víctimas.

Al parecer, la organización dedicada al ransomware conocida como DoppelPaymer habría efectuado llamadas telefónicas a los directivos de las compañías víctimas de un ataque con el objeto de precipitar, bajo amenazas, el pago del rescate. Según han informado las autoridades estadounidenses a través de la mencionada agencia, los incidentes comenzaron en febrero de 2020.

Llamadas telefónicas con amenazas físicas_

“Los ciberatacantes mediante ransomware habrían sido acompañados de diversas llamadas telefónicas por parte DopplePaymer”, informa el FBI, que añade que en estas comunicaciones se amenazaba a las víctimas con hacer públicos datos sensibles de la empresa o bien, con amenazas de carácter personal. La agencia pone como ejemplo un caso en concreto en el que los ciberatacantes afirmaron llamar desde Corea del Norte, pero emplearon un número de teléfono estadounidense falsificado.

En este caso en concreto, la llamada, además de advertir que en caso de no pagarse el rescate se publicarían datos de la firma, fue un paso más allá con amenazas personales hacia la víctima y advirtiendo que iría una persona al domicilio de la misma, indicando la dirección completa del directivo como prueba. Aunque es poco frecuente que estas amenazas físicas se llevan a término, no sucede lo mismo con la publicación del contenido comprometido, que suele ser filtrado si no se satisface el rescate.

La mayoría de las empresas que han sido ciberatacadas opta por restaurar la información bloqueada desde copias de seguridad, pero otras prefieren efectuar el pago del rescate para evitar daños mayores con la filtración de información privada. Si bien son cerca de una veintena las organizaciones que están detrás de los ciberataques mediante ransomware, el FBI ha advertido específicamente sobre DopplePaymer ante la virulencia de sus actuaciones. ¿Qué cantidades económicas demandan como extorsión?

Basándonos en información previa, se sabe que la cifra del rescate se encuentra en la horquilla entre los 25.000 y 1.200.000 dólares, siempre exigidos en bitcoins. Según la agencia de seguridad, los ciberatacantes optan en cada vez más ocasiones por efectuar llamadas para exigir el pago del rescate y así aumentar la presión, y el FBI insta a las víctimas a no ceder al chantaje y poner en conocimiento de las autoridades el suceso.

Cómo evitar ser víctima del ransomware_

Una vez llevado a cabo el ciberataque, la víctima únicamente tiene dos opciones: pagar el rescate para recuperar la información y evitar que se pierda, o bien, optar por no pagar y recurrir a una copia de seguridad, a sabiendas que los ciberatacantes publicarán datos privados de la compañía. Son dos escenarios a evitar, por cuestiones evidentes y lo mejor es no llegar a ellos. ¿Cómo puede una organización protegerse de ciberataques de ransomware que pueden ir demasiado lejos, como el caso de DoppelPaymer?

  • Protección avanzada: es imprescindible proteger los endpoints con soluciones que sean capaces de anticiparse a un ciberataque desconfiando por defecto de cualquier binario, como es el caso de Cytomic EDPR con Zero Trust, capaz de detectar malware tanto conocido como desconocido y evitar su difusión dentro de la organizació
  • Concienciación: La ciberseguridad en una organización es responsabilidad de todos sus componentes. Por eso, deben tomar conciencia del peligro potencial del phishing y mantenerse alerta evitando conductas como abrir adjuntos en los correos electrónicos cuyo origen pueda despertar alguna suspicacia.
  • Respaldos actualizados: Contar con una copia de seguridad lo más actualizada posible otorga a la víctima un as, el de restaurar la información, que le puede evitar el pago del rescate; disponer de un sistema de respaldos operativo y frecuente puede resultar determinante.
  • Sistemas actualizados: Los desarrolladores de las principales plataformas invierten un incesante esfuerzo en mantener los sistemas operativos protegidos ante las nuevas amenazas. La única forma de contar con estos parches de seguridad consiste en mantener los sistemas operativos y el software actualizados en todos los ordenadores y evitar ser víctima de un ciberataque como le sucedió a la firma británica Travelex.