Los ataques de ransomware son un mal que puede afectar a cualquier organización o institución pública. Cada día conocemos una nueva amenaza de este tipo a toda clase de ramos y sectores.
Poco a poco han ido evolucionando hacia formas más complejas. A diferencia de en los tradicionales, en los ataques de doble extorsión no solo se cifran los datos. Una copia de seguridad puede desmontar la amenaza y dejar a los cibermalos con las manos vacías, así que van un paso más allá.
Los ataques de doble extorsión combinan la encriptación con otra etapa que sucede antes del cifrado. Los grupos de ransomware analizan archivos y documentos en la red atacada para robar datos.
Estos pueden usarse como palanca en las negociaciones. Así, los cibermalos pueden amenazar con su divulgación pública o venderlos a algunas partes interesadas. Si no hay acuerdo, se comercializarán en la dark web.
Ahora un estudio pone de relevancia cuáles son los datos más valiosos para los actores de amenazas en estos ataques. Para realizar su investigación Rapid 7 analizó 161 divulgaciones de datos entre abril de 2020 y febrero de 2022.
Los ciberdelincuentes consideran a algunos datos más valiosos que otros. Así, aquellos que pueden utlizarse como palanca, como archivos de pacientes, documentos financieros o archivos de propiedad intelectual, son más valiosos en promedio que los de otros tipos de datos.
La información financiera es la más golosa
El valor también puede depender mucho de cada sector, claro. No obstante, para todas las industrias, la información financiera y contable fue la que más se utilizó, seguida de los datos de clientes y pacientes, y los datos de propiedad intelectual y recursos humanos de los empleados.
Los primeros estuvieron presentes en el 63% de los ataques de ransomware de doble extorsión y la de clientes o pacientes en el 48% de los incidentes.
Los datos relacionados con la propiedad intelectual son algo menos recurrentes y aparecen en el 12% del ransomware de doble extorsión. Sin embargo, cuando se trata de propiedad intelectual en farmacéuticas la cosa cambia, estando presentes en el 43% de los robos.
Otro hallazgo es que cada grupo de ransomware suele compartir distintos tipos de datos. Los financieros y de cuentas fueron divulgados al 100% por el grupo Darkside, pero solo el 30% de las veces por CI0p. Por su parte, el primero reveló datos de ventas y marketing en el 67% de las ocasiones, mientras que otros grupos solo compartieron estos el 27% o el 30% de las veces.