grandeduc - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Doxware: ¿Nueva amenaza de ransomware o solo extortionware renombrado?

La amenaza del ransomware continúa evolucionando, con un nuevo giro en extortionware, llamado doxware, que está diseñado para apuntar y potencialmente exponer datos sensibles de víctimas de ransomware.

La forma más fácil de asustar a las empresas en estos días es anunciar una nueva amenaza de ransomware, pero los expertos no están seguros de si el doxware es una preocupante nueva tendencia de ransomware, o un cambio de marca del extortionware.

En la superficie, doxware y extortionware parecen ser la misma cosa: variantes de malware que combinan la amenaza del secuestro de datos de ransomware con la amenaza añadida de exponer los datos públicamente –en lugar de mantenerlos cifrados indefinidamente– si el rescate no se paga. Así, a los ojos de muchos expertos, los dos términos pueden y han sido utilizados indistintamente.

“No parece haber una diferencia entre esto y lo que tradicionalmente hemos llamado extortionware”, dijo Casey Ellis, CEO de Bugcrowd, a SearchSecurity. "Parece que esto simplemente tiene un nombre más cool".

John Bambenek, gerente de sistemas de amenazas de Fidelis Cybersecurity, dijo que había valor en poner una mejor marca a las amenazas de seguridad.

"Cada pocos años, parece haber un cambio en la forma en que nos referimos a las amenazas", dijo Bambenek a SearchSecurity. "Parte de eso es marketing, y parte de eso es la comunidad de seguridad tratando de aumentar la conciencia de las amenazas que están mejorando en ser criminales".

Sin embargo, Barry Shteiman, director de investigación de amenazas para Exabeam, dijo que una diferencia importante con doxware es que la mitigación tradicional para ransomware de hacer copias de seguridad es irrelevante.

"Mientras que en la mayoría de los ataques de ransomware, una empresa [que] tiene una buena higiene de respaldo puede restaurar los datos. En este caso, la detección temprana y la mitigación es mucho más importante, ya que la restauración de datos desde el respaldo no ayuda si el atacante ha conseguido acceso a los datos reales y está dispuesto a usarlos", dijo Shteiman a SearchSecurity. "También significa que [la prevención de la pérdida de datos] entra en juego, así como la comprensión de si hay algún dato que se exfiltra".

Jim Walter, investigador senior de Cylance Inc., dijo que extortionware y doxware no son realmente diferentes, pero explicó la confusión entre los expertos.

"La única variación es la amenaza adicional de que datos específicos se publiquen o filtren, etc. Así que, en ese sentido, es un poco más enfocado (posiblemente)", dijo Walter a SearchSecurity por correo electrónico. "Más allá de eso, es mecánicamente y fundamentalmente lo mismo. No hay nada nuevo ocurriendo en términos de código".

La sutil diferencia del enfoque es la clave para la evolución del ransomware, según Bambenek. "El ransomware tradicional tiende a ser carreras de spam como 'napalm en la tierra', que no están específicamente diseñados para ser atractivos para una víctima específica”.

En contraste, los ataques de doxware pedirán mayores rescates, porque, a diferencia de los extortionware, donde todas las víctimas están amenazadas con la liberación de datos, los actores de la amenaza apuntarán a individuos y empresas con datos sensibles, o aumentarán el rescate para las víctimas si se encuentran datos confidenciales.

"Doxware es un nuevo enfoque para el extortionware, que puede conducir a infecciones más amplias. En el pasado, el doxing (doxing viene de dox, abreviación de documentos, es la práctica basada en internet de investigar y hacer pública información privada o personal sobre un individuo u organización) era normalmente un ataque dirigido, que requería que los atacantes investigaran al objetivo. El nuevo doxware utiliza el modelo de ransomware, de ataques de phishing de destino masivo, pero además de cifrar los datos y extorsionar el pago para obtener la clave, los atacantes ahora exfiltran los datos y los revisan buscando posibles objetivos de doxing", dijo a SearchSecurity Chris Burchett, vicepresidente de software de seguridad de clientes de Dell. "Ellos hacen esto porque la gente empezó a negarse a pagar por el ransomware después de que instalaran soluciones de respaldo. Así que, efectivamente, los malos están usando ataques de phishing de masa para ‘cultivar’ objetivos y municiones de doxing".

Richard Henderson, estratega global de seguridad de Absolute Software Corp., dijo que el doxware puede obtener mayores rescates, pero puede no ser una amenaza tan extendida.

"Los atacantes solo podrán lanzar pequeñas campañas de doxware, ya que simplemente no tendrán la capacidad de almacenar los millones de archivos que necesitan peinar, buscando material; transferir la escalofriante cantidad de archivos al atacante puede ser detectable, porque si el atacante no mueve los archivos fuera de la máquina infectada, entonces la amenaza de extorsión es hueca", dijo Henderson a SearchSecurity por correo electrónico. "Y, quizás lo más crítico, no deberíamos ver ataques como estos a la escala que hemos visto con el ransomware puro; los objetivos (y los grupos de objetivos) serán elegidos muy específicamente para maximizar el ROI".

Travis Smith, ingeniero senior de investigación en seguridad de Tripwire Inc., acordó que el doxware es un intento de los atacantes de generar más ingresos, pero dijo que "la cantidad de doxware u otras piezas de malware basadas en extorsión no están aumentando a un ritmo preocupante".

"La cantidad de trabajo necesario para llevar a cabo un ataque basado en extorsión como éste requiere una investigación inicial de la víctima, determinando el valor de los datos robados, luego las acciones de seguimiento necesarias sobre qué hacer con los datos, dependiendo de si la víctima pagó o no", dijo Smith a SearchSecurity. "El malware de ransomware típico requiere poca interacción desde el punto de vista del atacante, lo que significa un mayor retorno de la inversión para los esfuerzos criminales. Los ataques basados ​​en extorsión probablemente no aumentarán para el público en general, pero puede ser preocupante para los objetivos de alto valor, conocidos por tener datos valiosos".

Ellis advirtió que el "doxware es una perspectiva mucho más aterrador para los objetivos de negocios del ransomware".

"En un contexto empresarial, las medidas típicas de prevención de la exfiltración ayudarán a hacer la vida más difícil para el doxware, pero la exfiltración de datos es un problema tradicionalmente difícil de resolver", dijo Ellis. "La clave aquí es centrarse en la prevención; encontrar estos temas antes de que los adversarios lo hagan".

Smith dijo que un mejor cifrado y defensas contra el phishing también son necesarias para defenderse contra el doxware.

"Las copias de seguridad seguirán restaurando la confianza en no perder las fotos familiares de una vida, pero harán poco para aquellos que no quieren que fotos privadas o documentos confidenciales estén disponibles para cualquiera en internet. Los mejores métodos para evitar una infección son seguir guías para prevenir un ataque de phishing, como no hacer clic en enlaces o abrir archivos adjuntos de extraños", dijo Smith. "Debido a que es imposible prevenir cada pieza de malware, también es recomendable prepararse para una eventual infección. Para evitar ser víctima de extorsión, los usuarios deben cifrar todos sus archivos mientras están en reposo".

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close