por 
Imágenes RichLegg / Getty
Los operadores de ransomware afirman que subastan datos confidenciales de las víctimas en un intento de presionarlos adicionalmente para que paguen fuertes impuestos por su retorno seguro.
Happy Blog, un sitio web oscuro administrado por los delincuentes detrás del ransomware conocido con los nombres REvil, Sodin y Sodinokibi, comenzó el proceso de licitación en línea el martes. Anteriormente, el grupo había publicado detalles limitados sobre los datos de las víctimas seleccionadas y había amenazado con transmitir material confidencial adicional si los propietarios no habían pagado. Además de robar los datos, el grupo los cifra para que los propietarios ya no puedan acceder a ellos.
La combinación de la amenaza de publicar datos y simultáneamente bloquearla de su legítimo propietario está diseñada para aumentar las posibilidades de un pago. La nueva táctica promueve la presión, probablemente porque las prácticas anteriores no han producido los resultados deseados. Los rescates requeridos a menudo son altos, a veces en millones de dólares. Las empresas interesadas también detestaban alentar nuevos ataques recompensando a las personas detrás de ellos. A esta reticencia se suman nuevas presiones financieras causadas por la pandemia de coronavirus.
En el momento de la publicación, el feliz blog anunciaba subastas para los datos de dos compañías. Uno se describe como un distribuidor de alimentos y cultivos. La subasta promete más de 10,000 archivos que contienen análisis confidenciales de flujo de efectivo, datos de distribuidores, contenido de seguros corporativos, información del vendedor e imágenes escaneadas de licencias de conducir pertenecientes a personas en la red de distribución de la compañía.
La otra subasta se refiere a la entrega de “documentos y cuentas contables, así como mucha información importante que puede ser útil para competidores o partes interesadas”. Los subastadores dicen que proviene de una compañía de producción agrícola canadiense (no nombramos a ninguna de las presuntas víctimas).
Una página de subasta que acompaña a esta última compañía muestra lo que se supone que es una pequeña muestra de datos, incluidos correos electrónicos de empleados, notas confidenciales que documentan llamadas en conferencia, el extracto bancario personal de un empleado y otros documentos. La subasta pretende cubrir más de 22,000 archivos en formatos PDF, DOCX y XLSX. La oferta mínima es de $ 50,000 y un precio de bombardeo es de $ 100,000. Las tarifas en ambas subastas son pagaderas por la moneda digital Monero.
Las subastas son una nueva táctica que la banda REvil sugirió recientemente que podría comenzar. La sugerencia se produjo después de que el grupo publicara evidencia que violaba una importante firma de abogados y robaba información confidencial para una variedad de clientes famosos. Uno de esos clientes es presumiblemente Madonna. Una de las páginas de la subasta del martes parecía aludir a esta sugerencia diciendo: “Y recordemos a la Virgen y a las otras personas. Rápidamente”.
El flagelo del ransomware ha prosperado porque proporciona a los piratas informáticos un delito fácilmente monetizable que las víctimas deben pagar directamente (suponiendo que paguen). El anonimato de las monedas digitales como Monero también juega un papel clave en el éxito y la persistencia del ransomware. La nueva táctica de alta presión sugiere que si bien el crimen tiene un poder permanente, los pagos exactos aún pueden ser difíciles.
