La Oficina Federal de Investigaciones (FBI) de EE. UU. ha advertido que los grupos de ransomware están aprovechando "eventos financieros importantes", como fusiones y adquisiciones, para apuntar a las empresas involucradas y ejercer una presión adicional sobre ellas para que paguen sus demandas de rescate.
"Antes de un ataque, los actores del ransomware investigan la información disponible públicamente, como la valoración de las acciones de la víctima, así como información importante no pública. Si las víctimas no pagan rápidamente un rescate, los actores del ransomware amenazarán con divulgar esta información públicamente, lo que provocará una posible reacción violenta de los inversores", ha escrito el FBI en un aviso publicado este miércoles para empresas privadas.
"El ransomware es a menudo un proceso de dos etapas que comienza con una intrusión inicial a través de un malware troyano, que permite a un agente de acceso realizar un reconocimiento y determinar la mejor manera de monetizar el acceso", explica. No obstante, el FBI apunta que, si bien los grupos de ransomware distribuyen malware de manera indiscriminada, es habitual que seleccionen "cuidadosamente" a sus víctimas en función de la información que obtienen en sus intrusiones iniciales.
Una vez que los operadores de ransomware consiguen acceder a la red de una empresa, buscan información confidencial que pueden utilizar para presionar a sus víctimas a pagar el rescate. "Durante la fase de reconocimiento inicial, los ciberdelincuentes identifican información que no está disponible públicamente, que amenazan con divulgar o utilizar como palanca durante la extorsión para atraer a las víctimas a cumplir con las demandas de rescate. Eventos inminentes que podrían afectar el valor de las acciones de una víctima, como anuncios, fusiones, y adquisiciones, alientan a los actores de ransomware a apuntar a una red o a ajustar su cronograma para la extorsión", indica el aviso.
Casos que ejemplifican esta tendencia
El FBI enumera varios casos en los que los actores de ransomware alentaron a otros atacantes a usar la bolsa de valores Nasdaq como una forma de presionar a las víctimas a pagar. Por ejemplo, un actor de ransomware apodado "Unknown" ("Desconocido"), que a principios de 2020 animó a otros ciberdelincuentes a seguir este método en el foro de piratería ruso "Exploit".
"Entre marzo de 2020 y julio de 2020, se apuntó al menos a tres empresas estadounidenses que cotizan en bolsa y que participaron activamente en fusiones y adquisiciones, dos de las cuales estaban en negociaciones privadas", indica el FBI.
La banda de ransomware "Darkside" también ha utilizado esta táctica y el FBI lo pone de manifiesto compartiendo este mensaje que publicaron en su blog el pasado mes de abril: "Ahora nuestro equipo y socios cifran muchas empresas que cotizan en NASDAQ y otras bolsas de valores. Si la empresa se niega a pagar, estamos listos para brindar información antes de la publicación, para que sea posible ganar en el precio de descuento de las acciones. Escríbanos en 'Contáctenos' y le proporcionaremos información detallada".
Desaconseja pagar el rescate
El FBI ha instado durante mucho tiempo a las organizaciones a no ceder a las demandas de rescate y en este aviso vuelve a insistir en ello. "Pagar un rescate envalentona a los atacantes para apuntar a organizaciones adicionales, alienta a otros actores criminales a participar en la distribución de ransomware y/o puede financiar actividades ilícitas", afirma indicando además que tampoco garantiza a la víctima la recuperación de sus archivos.
Sin embargo, el FBI también señala que "comprende que cuando las empresas se enfrentan a una incapacidad para funcionar, los ejecutivos evaluará todas las opciones para proteger a sus accionistas, empleados y clientes".
"Independientemente de si usted o su organización ha decidido pagar el rescate, el FBI le insta a que informe de los incidentes de ransomware a su Oficina Local del FBI. Hacerlo proporciona al FBI la información crítica que necesita para prevenir futuros ataques mediante la identificación y el seguimiento de los atacantes de ransomware y haciéndolos responsables bajo la ley de Estados Unidos", añade el FBI en su aviso.