Alfonso Orrantia
Alfonso Orrantia

Especialista en Marketing Digital, egresado de la carrera de Ingeniería en Sistemas Computacionales por el Instituto Tecnológico de Chihuahua II, apasionado por el campo de las tecnologías de la Información.

Recientemente, ha habido una serie de ataques que afectan a algunos ransomware, víctimas que han pagado el rescate en un intento de recuperar el acceso a sus datos encriptados. Estos pagos de rescate están siendo interceptados por un tercero, convirtiendo irrazonablemente a los atacantes de ransomware en la segunda víctima. Como resultado, las víctimas originales de ransomware son victimizadas por segunda vez, ya que no obtendrán sus datos ya que los atacantes del ransomware nunca reciben el dinero del rescate.
Entonces, ¿cómo se ataca, como estos suceden? Los autores de estos ataques de "hombre en el medio" son los propietarios del servicio proxy de Tor. Pero, ¿qué son exactamente los servicios proxy de Tor? Para entender esto, primero hablemos de la red Tor, la darknet más famosa. La comunicación en Tor es muy difícil de rastrear, por lo que a los ciberdelincuentes les gusta usarla para enmascarar sus huellas en línea. En el caso del ransomware, los atacantes requieren que las víctimas descarguen el navegador Tor para realizar pagos de rescate. Sin embargo, muchas víctimas pueden tener dificultades para descargar estos navegadores, por lo que los atacantes pueden simplificar el proceso y requerir que las víctimas usen el servicio Tor proxy. Estos servicios permiten a los usuarios comunicarse a través de la red Tor utilizando un navegador común.
La seguridad en Proofpoint ha descubierto que algunos propietarios de servicios proxy de Tor han encontrado la manera de aprovechar esto. Estos propietarios utilizan el servicio de proxy para buscar a través de las URL a las que se accede, identificar cadenas que parecen ser direcciones de billetera de Bitcoin y reemplazarlas con sus propias direcciones de billetera. Las familias de ransomware específicas que han sido víctimas de este tipo de ataque son LockeR, GlobeImposter y Sigma.
Los ciberdelincuentes que usan el ransomware no lo están tomando con los brazos cruzados, y la mayoría simplemente ha eliminado el uso de los servicios proxy por completo. Algunos, como los atacantes detrás de MagniBer, están dividiendo sus direcciones de billetera Bitcoin en cuatro cadenas más cortas en la URL para que los propietarios del servicio proxy no puedan identificar fácilmente estas direcciones.
Los investigadores han intentado rastrear la cantidad retenida en estos monederos de reemplazo y hasta ahora solo han encontrado 2 bitcoins. Pero es posible que esto represente solo una pequeña fracción del monto del rescate robado, ya que este dinero es difícil de rastrear, y es posible que los atacantes ya hayan utilizado el dinero robado. No está claro en este momento si estos ataques son solo una tendencia pasajera o se convertirán en algo más grande.
Las víctimas de Ransomware se quedan cortas en esos ataques, ya que terminan pagando el rescate, pero nunca podrán recuperar sus datos. Estos ataques son una razón más por la que nunca deberíamos ceder a las demandas de rescate. Tomar las medidas preventivas y de remediación adecuadas es la mejor manera de enfrentar la amenaza del ransomware; ceder a las demandas de un atacante, en el otro lado, no encaja en la lista de soluciones efectivas.

Visitas: 28

ARTICULOS RELACIONADOS

Cinco claves de ManageEngine para prevenir la fuga de información

Conozca cuales son las cinco claves de ManageEngine para evitar la fuga de información y fortalecer la seguridad informática en su organización.

Seguir leyendo keyboard_arrow_right
Dec 2019 Visitas: 69

Un año de Meltdown y Espectre: preguntas que aún permanecen

Fue en el verano de 2017 cuando dos de las variantes de ransomware más devastadoras que el mundo ha visto, WannaCry y NotPetya, se desataron, infectando más de 300,000 máquinas e infligiendo pérdidas por un total de más de $ 4 mil millones.

Seguir leyendo keyboard_arrow_right
Mar 2019 Visitas: 33

Seis razones por las que las copias de seguridad de datos son cruciales para su negocio

El aumento en los ataques de ransomware y las violaciones de datos de alto perfil en los últimos años ha reforzado la importancia de la seguridad de los datos.

Seguir leyendo keyboard_arrow_right
Mar 2019 Visitas: 60

COMENTARIOS