Imágenes RichLegg/Getty
Los operadores de ransomware dicen que están subastando los datos confidenciales de las víctimas en un intento de presionarlas aún más para que paguen tarifas elevadas por su devolución segura.
The Happy Blog, un sitio web oscuro mantenido por los delincuentes detrás del ransomware conocido con los nombres REvil, Sodin y Sodinokibi, comenzó el proceso de licitación en línea el martes. Previamente, el grupo publicó detalles limitados de datos de víctimas seleccionadas y amenazó con transmitir material confidencial adicional si los propietarios no pagaban. Además de robar los datos, el grupo también los cifra para que los propietarios ya no puedan acceder a ellos.
La combinación de la amenaza de publicar los datos y al mismo tiempo bloquearlos de su propietario legítimo está diseñada para aumentar las posibilidades de un pago. La nueva táctica aumenta la presión, posiblemente porque las prácticas anteriores no han dado los resultados deseados. Los rescates exigidos suelen ser elevados, a veces de millones de dólares. Las empresas afectadas también se han negado a alentar más ataques recompensando a las personas que los respaldan. A esa reticencia se suman nuevas presiones financieras provocadas por la pandemia del coronavirus.
En el momento de la publicación, Happy Blog anunciaba subastas de datos de dos empresas. Uno se describe como un distribuidor de alimentos y cosechas. La subasta promete más de 10.000 archivos que contienen análisis confidenciales de flujo de efectivo, datos de distribuidores, contenido de seguros comerciales, información de proveedores e imágenes escaneadas de licencias de conducir pertenecientes a personas en la red de distribución de la empresa.
La otra subasta alega entregar “documentos contables, y cuentas, además de mucha información importante que puede ser de valor para competidores o interesados”. Los subastadores dicen que proviene de una empresa canadiense de producción de cultivos agrícolas (no nombramos a ninguna de las presuntas víctimas).
Una página de subasta adjunta para esta última compañía muestra lo que se supone que es una pequeña muestra de los datos, incluidos los correos electrónicos de los empleados, memorandos confidenciales que documentan las conferencias telefónicas, una declaración de patrimonio personal de un empleado y otros documentos. La subasta pretende cubrir más de 22,000 archivos en formatos PDF, DOCX y XLSX. La oferta mínima es de $50,000 y el precio de «relámpago» es de $100,000. Las tarifas en ambas subastas se pagan con la moneda digital Monero.
Las subastas son una nueva táctica que la pandilla REvil insinuó recientemente que podría comenzar. La pista se produjo después de que el grupo publicara pruebas de que hackeó un destacado bufete de abogados y robó información confidencial de una variedad de sus clientes famosos. Se alega que uno de esos clientes es Madonna. Una de las páginas de la subasta del martes parecía aludir a esta pista diciendo: “Y recordamos a Madonna y otras personas. Pronto.»
El flagelo del ransomware ha prosperado porque proporciona a los piratas informáticos un delito fácilmente monetizable que las víctimas pagan directamente (suponiendo que paguen). El anonimato de las monedas digitales como Monero también juega un papel clave en el éxito y la persistencia del ransomware. La nueva táctica de alta presión sugiere que si bien el crimen tiene poder de permanencia, aún puede ser difícil exigir pagos.
